Nutzer zu zwingen, regelmäßig die Passwörter zu ändern, ist laut Microsoft eher schädlich, denn der Sicherheit dienlich.
Passwörter sind vielen ein Graus, sie müssen Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten und bislang teilweise sogar regelmäßig geändert werden – Letzteres halten Sicherheitsexperten aber schon seit Jahren für überholt.
Denn man will sich sein Passwort auch nach einer Änderung merken können und genau das machen sich Passwortknacker zu Nutze. Mittlerweile gibt es Wörterbücher mit Millionen Einträgen begonnen bei Filmtiteln bis zu Namen berühmter Persönlichkeiten.
Aaron Margosis, Microsoft:
„Regelmäßiger Passwortablauf ist ein uraltes und überholtes Konzept mit wenig Wert und wir glauben nicht, dass es für uns einen Grund gibt, es zu erzwingen. Wenn Menschen selbst ein Passwort wählen, ist es zu einfach zu erraten.“
Auch das Austauschen von Buchstaben gegen Zahlen, beispielsweise ein O durch eine 0 zu ersetzen, biete keinen zusätzlichen Schutz. Forscher sind sich einig, dass die besten Passwörter mindestens elf Zeichen lang und zufällig generiert mit Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen sind.Leichte Variationen von Passwörtern, also das Ändern einer Zahl oder Anhängen eines Sonderzeichens helfen ebenso wenig, da auch diese Möglichkeiten von Passwortknackern überprüft werden.
Bei alten Betriebssystemen gibt es das Ablaufdatum des Kennworts noch.
Kein Ablauf-Datum mehr
Weil ein gutes Passwort laut obigen Regeln schwer zu merken ist und eine regelmäßige Änderung dem im Weg steht, verzichtet Microsoft zukünftig auf das Ablaufdatum des Passworts in seinen Betriebssystemen und Diensten und will damit einen neuen Trend setzen.Denn Menschen seien allgemein schlecht im Nutzen Passwort-basierter Sicherheitssysteme. Die regelmäßige Änderung zu erzwingen, führe nur dazu, dass Nutzer ihre Passwörter zwischen verschiedenen Diensten tauschen.Doch aufgrund von Datenlecks führe das Tauschen häufig zu einem weiteren Problem – die meisten Nutzer haben bereits in der Vergangenheit kompromittierte Zugangsdaten. Die dann noch weiter zu nutzen, ist ein schwerwiegendes Problem für die Sicherheit.
Passwortmanager hilft
Viel sicherer ist es, für jeden Dienst ein individuelles Passwort zu haben und auf einen Passwortmanager zu setzen. So ist selbst im Falle eines Datenklaus nur ein Account betroffen und nicht gleich eine ganze Reihe.
Security-Tipps für Spieler – Accounts und System schützen
Microsoft selbst hat zur Verbesserung der Sicherheit die Azure AD Password Protection entwickelt, die leicht zu erratende oder weltweit häufig genutzte Passwörter nicht mehr zulässt.Zusätzlich empfiehlt das Unternehmen auf eine Multifaktor-Authentifizierung zu setzen, die es bei Windows 10 bereits seit fast fünf Jahren gibt.