Neue Passwörter zu erfinden, bereitet Kopfschmerzen – und ein Sicherheitsrisiko. Also warum müssen wir es so oft tun?

Passwörter auslaufen zu lassen, ist ein überholter weg, Nutzer Konten zu sichern – und könnte sogar mehr schaden als guttun. Passwörter, die alle 30 bis 60 Tage auslaufen kreieren nicht nur Kopfschmerzen für die Nutzer, die sich ein neues Wort erträumen müssen, und sich das auch merken sollten, sondern verbessern die Sicherheit kaum.

Microsoft hat seine Haltung geändert, und löscht die Empfehlung, dass Passwörter veralten sollten, nach einem speziellen Zeitrahmen, was einst Teil seiner Sicherheits-Grundlinien war für Windows 10 und Windows Server. Microsoft verkündet seine Intentionen das Passwort Ablaufdatum endgültig zu verwerfen, als der Entwurf des Leitfadens veröffentlicht wurde, über welchen mein Kollege Liam Tung geschrieben hat.

Wie Microsoft erklärt: “Periodische Passwörter mit Ablaufdatum sind eine Abwehr NUR gegen die Möglichkeit, dass ein Passwort (oder Hash) gestohlen wird, während des validen Intervalls und wird von einer unautorisierten Person genutzt wird. Falls ein Passwort niemals gestohlen wird, gibt es keinen Grund es zu erneuern. Und wenn du Beweise hast, dass dein Passwort gestohlen wurde, kannst du sofort handeln und nicht darauf warten, dass sich das Ablaufdatum nähert, um dein Problem zu lösen.” Es geht weiter: “Periodische Passwörter mit Ablaufdatum ist eine veraltet und überholte Milderung von sehr niedrigem Wert.”

Anstatt auf die komischen Passwörter der Nutzer zu vertrauen (am Ende schreiben diese das Wort auf einen Klebezettel) sollte es einen weiteren Ansatz geben mit besserer Authentifizierung und Sicherheit. Und es heißt nicht, dass wir keine Minimum Passwortlänge brauchen, Geschichte, oder Komplexität. Periodische Passwörter aus der Grundlinie zu nehmen bedeutet, dass Unternehmen ihre eigenen Entscheidungen machen müssen, ohne von Wirtschaftsprüfern bestraft zu werden, so sagt das Unternehmen.

“Es von der Grundlinie zu nehmen, anstatt einen bestimmten Wert oder keinen Ablauf zu empfehlen, bringt Organisationen dazu, zu entscheiden, was ihr Wahrnehmung benötigt, ohne einer gegensätzlichen Leitung. Zur selben Zeit, müssen wir wiederholen, dass wir zusätzlichen Schutz wärmstens empfehlen, dies kann allerdings nicht in unseren Grundlinien niedergeschrieben werden.”, sagt es.

Microsoft hat den Tod der Passwörter schon seit einem Jahrzehnt vorherbestimmt, und vor Kurzem hat es seine Bemühungen hochgefahren, um dies Wirklichkeit zu machen. Es wurde lang diskutiert ob Passwörter ungünstig sind, unsicher und teuer für Unternehmen. Es wird diskutiert, dass Passwörter ersetzt werden sollen mit einer Multi-Formt Authentifikation und Biometrik (obwohl Biometrik seine eigenen Probleme hat.)

Microsoft ist wohl kaum allein mit seinem Beschluss. Das UK Nationale Cyber-Sicherheits-Center (NCSC) hat vor kurzem ein Set der besten Praktiken für Passwörter herausgegeben – und warnt, dass eine schlechte Strategie für Passwörter zu viel Druck auf die Nutzer ausübt und das Unternehmen somit unsicherer macht.

“Zwangsläufig werden Nutzer ihren eigenen Bewältigungsmechanismus entwickeln, um mit der “Passwort Überladung” umgehen zu können. Dies inkludieren den erneuten Nutzen desselben Passwortes über mehrere Systeme, mit der Verwendung einer einfachen und vorhersehbaren Passwort Kreation Strategie, oder es werden Passwörter sogar aufgeschrieben, wo man sie ganz leicht finden kann,” wird gewarnt.

NCSC empfiehlt, dass Organisationen ihr Vertrauen in Passwörter verringert und stattdessen sollten Single Sign-on oder Biometrik verwendet werden, falls dies zur Verfügung steht (obwohl Biometrik im speziellen mit eigenen Risiken kommt). Die Überwachung von Passwort Systemen nach merkwürdigen Verhalten, Konto Drosselung zu verwenden, um Brute Force Angriffe abzuwehren, und die Sperrung von bekannten oder erratbaren Passwörtern sind alles gute Praktiken, so heißtes. Multi Faktor Authentifikation sind eine gute Regelung für wichtige und verletzliche Accounts.

Aber reguläre Passwort Veränderungen zu erzwingen verletzt die Sicherheit mehr, als sie zu verbessern. Nutzer verwenden normalerweise sehr ähnliche Passwort Variationen, mit kleinen Veränderungen, und im Fall, dass ein Passwort gestohlen wird, ist es generell verwendet von den Nutzern, also ist das Zurücksetzen eines Passworts nach 90 Tagen eher Verschwendung der Zeit.

Abgesehen von den Sicherheitsexperten, die den Untergang dieses veralteten Systems bereits vorhersagen, ist es weiterhin verbreitet in vielen, sogar den meisten Organisationen, sodass Passwörter nach kurzer Zeit ablaufen. Meistens kann dies auf Trägheit der Organisation zurückgeführt werden – es gab eine Zeit wo man glaubte, es sei eine gute Idee, Passwörter sehr oft zu wechseln, und den neuen Ansatz hat das Technik Sicherheits-Team durchgefiltert. Es wird aber Vorsicht geboten rund um die veränderten IT Regelungen; niemand will der erste sein, der alles verändert, und dann beschuldigt werden, falls etwas daneben geht.

Aber es gibt viele Unternehmen, die auf aggressive Passwort Ablauf Regelungen vertrauen, als ihre einzige Abwehr gegen das Eindringen in ihre Konten, wobei die Realität weitere Sicherheitsvorkehrungen erfordert. Zumindest für jetzt gibt es noch Passwörter, aber uns alle zu zwingen, alle paar Wochen ein neues Passwort zu erfinden, könnte bald der Vergangenheit angehörten.