Strenge Passwortrichtlinien sind nicht mehr die beste Methode

Lange Zeit herrschte der Irrglaube, dass die strenge Passwortrichtlinie in Unternehmen die Sicherheit gegen unerlaubten Zugriff minimiert. In den meisten Unternehmen mit Activ-Directorys sind die Passwortrichtlinien vor langer Zeit eingerichtet worden und nicht mehr verändert.

Häufig müssten Passwörter mindestens 8 Zeichen lang sein, mindestens drei von vier Zeichenkategorien (Großbuchstabe, kleinbuchstabe, Zahl oder Sonderzeichen) enthalten und es können nicht die letzten 6 Passwörter verwendet werden. Dazu kommt noch, dass die Passwörter alle 71 Tage erneuert werden.

Die strengen Richtlinien bringen nur viele Nachteile und Sicherheitslücken mit sich. Das Problem an diesen Passwortrichtlinien ist, dass die Nutzer die Passwörter nicht mehr merken und daher aufschreiben müssen oder die gleichen Passwörter in unterschiedlichen Diensten verwenden.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat bereits in der letzten Ausgabe der empfohlenen Richtlinie keine Vorgabe mehr zum Passwortalter gemacht. Das BSI empfielt eher eine Passwortlänge von 20 bis 25 Zeichen zu verwenden und daraus ein Passwort zu erstellen, das für den Benutzer logisch zusammenpassen. Die Länge des Passworts ist die einzige Methode die Sicherheit zu steigern.

Unsere Emfehlung

• Einsatz von langen, aber einfach zu merkenden Passwörtern (Ein Satz und von jedem Wort der Anfangsbuchstabe als Passwort)
• Keine Maximale Laufzeit in der Passwortrichtlinie
• Unabhängig von den Passwörtern empfehlen wir eine zweite Authentifizierungsmethode über eine Smartcard oder einen personalifizierten Fido Key für jeden Benutzer in einem Unternehmensnetzwerk.