In vielen IT-Systemen ist die periodische Änderung von Passwörtern verpflichtend vorgeschrieben. Dies ist vielleicht die am meisten gehasste und nutzloseste Anforderung an Sicherheitssysteme. Einige Benutzer ändern einfach die Nummer am Ende als Life-Hack.

Diese Praxis verursachte viele Unannehmlichkeiten. Allerdings mussten die Menschen es ertragen, weil dies der Fall war aus Sicherheitsgründen. Jetzt ist dieser Rat völlig irrelevant. Im Mai 2019 hat sogar Microsoft die Anforderung regelmäßiger Passwortänderungen endgültig aus der Grundstufe der Sicherheitsanforderungen für persönliche und Serverversionen von Windows 10 entfernt: hier offizielles Blog-Statement mit einer Liste der Änderungen an der Version Windows 10 v 1903 (beachten Sie den Satz Abschaffung der Kennwortablaufrichtlinien, die regelmäßige Kennwortänderungen erfordern). Die Regeln selbst und Systemrichtlinien Sicherheitsgrundlinie für Windows 10 Version 1903 und Windows Server 2019 im Bausatz enthalten Microsoft Security Compliance Toolkit 1.0.

Sie können diese Dokumente Ihren Vorgesetzten zeigen und sagen: Die Zeiten haben sich geändert. Obligatorische Passwortänderungen sind archaisch, mittlerweile fast offiziell. Selbst ein Sicherheitsaudit wird diese Anforderung nicht mehr überprüfen (sofern sie auf den offiziellen Regeln zum Grundschutz von Windows-Rechnern basiert).


Ein Fragment einer Liste mit grundlegenden Sicherheitsrichtlinien für Windows 10 v1809 und Änderungen im Jahr 1903, bei denen die entsprechenden Kennwortablaufrichtlinien nicht mehr gelten. Übrigens sind in der neuen Version auch Administrator- und Gastkonten standardmäßig gelöscht

Microsoft erklärt in einem Blogbeitrag bekanntlich, warum es die Regel zur obligatorischen Passwortänderung aufgegeben hat: „Der periodische Passwortablauf schützt nur vor der Möglichkeit, dass das Passwort (oder der Hash) während seiner Lebensdauer gestohlen und von einer unbefugten Person verwendet wird.“ Wenn das Passwort nicht gestohlen wird, macht es keinen Sinn, es zu ändern. Und wenn Sie Beweise dafür haben, dass ein Passwort gestohlen wurde, möchten Sie natürlich sofort handeln, anstatt zu warten, bis das Passwort abläuft, um das Problem zu beheben.“

Microsoft führt weiter aus, dass es im heutigen Umfeld nicht angemessen sei, sich mit dieser Methode vor Passwortdiebstahl zu schützen: „Wenn bekannt ist, dass ein Passwort wahrscheinlich gestohlen wird, wie viele Tage ist ein akzeptabler Zeitraum, den ein Dieb dafür einräumen kann?“ das gestohlene Passwort verwenden? Der Standardwert beträgt 42 Tage. Kommt Ihnen das nicht wie eine lächerlich lange Zeit vor? Dies ist in der Tat eine sehr lange Zeitspanne, und doch wurde unser aktueller Basiswert auf 60 Tage – und zuvor auf 90 Tage – festgelegt, da das Erzwingen häufiger Ablaufzeiten eigene Probleme mit sich bringt. Und wenn das Passwort nicht unbedingt gestohlen wird, erleiden Sie diese Probleme ohne Nutzen. Wenn Ihre Benutzer außerdem bereit sind, ein Passwort gegen Süßigkeiten einzutauschen, hilft keine Richtlinie zum Ablauf des Passworts.“

Alternative

Microsoft schreibt, dass seine grundlegenden Sicherheitsrichtlinien für gut geführte, sicherheitsbewusste Unternehmen gedacht sind. Sie sollen auch als Orientierungshilfe für Prüfer dienen. Wenn eine solche Organisation Listen mit gesperrten Passwörtern, Multi-Faktor-Authentifizierung, Erkennung von Brute-Force-Angriffen auf Passwörter und Erkennung anomaler Anmeldeversuche implementiert hat, ist dann ein regelmäßiger Passwortablauf erforderlich? Und wenn sie keine modernen Sicherheitsmaßnahmen implementiert haben, hilft ihnen dann der Ablauf des Passworts?

Die Logik von Microsoft ist überraschend überzeugend. Wir haben zwei Möglichkeiten:

1. Das Unternehmen hat moderne Sicherheitsmaßnahmen implementiert.
2. Unternehmen nicht hat moderne Sicherheitsmaßnahmen eingeführt.

Im ersten Fall bietet die regelmäßige Änderung des Passworts keine zusätzlichen Vorteile.

Im zweiten Fall ist es sinnlos, das Passwort regelmäßig zu ändern.

Daher müssen Sie anstelle des Ablaufdatums des Passworts zunächst Folgendes verwenden: Multi-Faktor-Authentifizierung. Zusätzliche Sicherheitsmaßnahmen sind oben aufgeführt: Listen verbotener Passwörter, Erkennung von Brute-Force-Angriffen und anderen anomalen Anmeldeversuchen.

«Das regelmäßige Ablaufen von Passwörtern ist eine alte und veraltete Sicherheitsmaßnahme„, schlussfolgert Microsoft, „und wir glauben nicht, dass es einen bestimmten Wert gibt, der es wert wäre, auf unser Grundschutzniveau angewendet zu werden.“ Indem wir es aus unserer Basislinie entfernen, können Unternehmen auswählen, was ihren wahrgenommenen Bedürfnissen am besten entspricht, ohne mit unseren Empfehlungen in Konflikt zu geraten.“

Abschluss

Wenn ein Unternehmen heute Benutzer dazu zwingt, ihre Passwörter regelmäßig zu ändern, was könnte ein externer Beobachter denken?

1. Mai: Das Unternehmen nutzt einen archaischen Abwehrmechanismus.
2. Annahme: Das Unternehmen hat keine modernen Schutzmechanismen implementiert.
3. Fazit: Diese Passwörter sind einfacher zu erhalten und zu verwenden.

Es zeigt sich, dass die regelmäßige Änderung von Passwörtern ein Unternehmen zu einem attraktiveren Angriffsziel macht.

Source: habr.com