Die regelmäßige Änderung von Passwörtern ist eine veraltete Praxis – es ist an der Zeit, davon Abstand zu nehmen.

In vielen IT-Systemen gibt es die obligatorische Regel für die regelmäßige Änderung von Passwörtern. Dies ist wohl die meistgehasste und zugleich die nutzloseste Anforderung der Sicherheitssysteme. Einige Nutzer entschließen sich als kleinen Trick dazu, einfach die Zahl am Ende zu ändern.

Diese Praxis bereitete viele Unannehmlichkeiten. Doch die Menschen mussten damit leben, denn es ging um die Sicherheit. Dieser Rat ist heute völlig überholt. Im Mai 2019 hat selbst Microsoft endlich die Anforderung zur regelmäßigen Änderung von Passwörtern aus den grundlegenden Sicherheitsanforderungen für die persönliche und Serverversion von Windows 10 gestrichen: hier ist die offizielle Mitteilung im Blog mit einer Liste der Änderungen für die Version Windows 10 v 1903 (beachten Sie den Satz Dropping the password-expiration policies that require periodic password changes). Die entsprechenden Regeln und Systemrichtlinien Windows 10 Version 1903 und Windows Server 2019 Security Baseline sind im Paket enthalten Microsoft Security Compliance Toolkit 1.0.

Sie können diese Dokumente Ihrem Vorgesetzten zeigen und sagen: Die Zeiten haben sich geändert. Die verpflichtende Passwortänderung ist ein Relikt der Vergangenheit, jetzt ist es fast offiziell. Selbst Sicherheitsprüfungen werden dieses要求 nicht mehr überprüfen (wenn sie sich an die offiziellen Regeln zur grundlegenden Sicherheit von Windows-Computern orientieren).

Die regelmäßige Änderung von Passwörtern ist eine veraltete Praxis – es ist an der Zeit, davon Abstand zu nehmen.
Eine Übersicht über die grundlegenden Sicherheitsrichtlinien von Windows 10 v1809 und die Änderungen in 1903, in denen die entsprechenden Richtlinien zur Passwortgültigkeit nicht mehr angewendet werden. Übrigens werden in der neuen Version standardmäßig auch die Administrator- und Gastkonten abgeschafft.

Microsoft erklärt in seinem Blog, warum es sich von der Regel der verpflichtenden Passwortänderung distanziert hat: „Die periodische Ablauffrist eines Passworts schützt nur gegen die Wahrscheinlichkeit, dass das Passwort (oder der Hash) während seiner Gültigkeit gestohlen und von einer unbefugten Person verwendet wird. Wenn das Passwort nicht gestohlen wurde, macht es keinen Sinn, es zu ändern. Und wenn Sie Beweise dafür haben, dass das Passwort gestohlen wurde, werden Sie offensichtlich sofort handeln wollen und nicht warten, bis die Frist abgelaufen ist, um das Problem zu beheben.“

Microsoft erklärt, dass es unter den heutigen Bedingungen falsch ist, sich mit dieser Methode gegen Passwortdiebstahl zu schützen: „Wenn bekannt ist, dass ein Passwort wahrscheinlich gestohlen wird, wie viele Tage sind dann akzeptabel, um dem Dieb zu gestatten, dieses gestohlene Passwort zu verwenden? Der Standardwert beträgt 42 Tage. Kommt Ihnen das nicht lächerlich lange vor? In der Tat ist es sehr lange, und dennoch wurde unser aktueller Basiswert auf 60 Tage festgelegt – zuvor sogar auf 90 Tage – denn eine häufige Ablaufpolitik führt zu eigenen Problemen. Und wenn das Passwort nicht unbedingt gestohlen wird, erhalten Sie diese Probleme ohne Nutzen. Außerdem, wenn Ihre Benutzer bereit sind, das Passwort gegen eine Belohnung zu tauschen, wird keine Richtlinie zur Ablaufzeit der Passwörter helfen.“

Alternative

Microsoft erklärt, dass ihre grundlegenden Sicherheitsrichtlinien für gut gemanagte, sicherheitsbewusste Unternehmen gedacht sind. Sie sollen auch als Leitfaden für Auditoren dienen. Wenn eine solche Organisation Listen verbotener Passwörter, multifaktorielle Authentifizierung, Erkennung von Brute-Force-Angriffen und Erkennung anomaler Anmeldeversuche implementiert hat, ist dann eine regelmäßige Ablauffrist für Passwörter erforderlich? Und wenn sie keine modernen Schutzmaßnahmen implementiert haben, würde eine Ablauffrist für Passwörter ihnen dann helfen?

Die Argumentation von Microsoft ist überraschend überzeugend. Wir haben zwei Möglichkeiten:

  1. Das Unternehmen hat moderne Schutzmaßnahmen implementiert.
  2. Das Unternehmen nicht moderne Schutzmaßnahmen implementiert.

Im ersten Fall bietet eine regelmäßige Passwortänderung keinen zusätzlichen Vorteil.

Im zweiten Fall ist eine regelmäßige Passwortänderung nutzlos.

Daher sollten anstelle einer Ablauffrist für Passwörter in erster Linie multifaktorielle Authentifizierungverwendet werden. Zusätzliche Schutzmaßnahmen sind oben aufgeführt: Listen verbotener Passwörter, Erkennung von Brute-Force- und anderen anomalen Anmeldeversuchen.

«Die regelmäßige Änderung von Passwörtern ist eine veraltete und überholte Sicherheitsmaßnahme., — fasst Microsoft zusammen, — und wir glauben nicht, dass es sinnvoll ist, einen bestimmten Wert für unser grundlegendes Schutzniveau festzulegen. Indem wir diese Anforderung aus unserem Basisangebot entfernen, können Organisationen das auswählen, was am besten zu ihren spezifischen Bedürfnissen passt, ohne unseren Empfehlungen zu widersprechen.

Fazit

Wenn ein Unternehmen heute die Nutzer dazu zwingt, ihre Passwörter regelmäßig zu ändern, was könnte ein Außenstehender darüber denken?

  1. Gegeben: Das Unternehmen verwendet einen veralteten Sicherheitsmechanismus.
  2. Annahme: das Unternehmen hat keine modernen Sicherheitsmechanismen implementiert.
  3. Fazit: diese Passwörter sind leichter zu erlangen und zu missbrauchen.

Es ergibt sich, dass die regelmäßige Änderung der Passwörter das Unternehmen zu einem attraktiveren Ziel für Angriffe macht.

Die regelmäßige Änderung von Passwörtern ist eine veraltete Praxis – es ist an der Zeit, davon Abstand zu nehmen.


Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster