© APA/dpa/Julian Stratenschulte / Julian Stratenschulte

Digital Life
04/26/2019

Microsoft erklärt, warum ablaufende Passwörter sinnlos sind

Microsoft bestätigt, was wir alle wissen: "Ablaufende Passwörter sind antik, obsolet und von sehr niedrigem Wert."

„Ihr Passwort läuft in drei Tagen ab. Drücken Sie Strg + Alt + Entf, um es zu ändern.“ Wer in einem Unternehmen mit einer rückständig-denkenden IT-Abteilung arbeitet, kennt dieses Ärgernis. Der Zwang zum Passwortwechsel ist einfach nur lästig und bringt wenig. Das bestätigt jetzt auch Microsoft.

„Wenn Menschen gezwungen werden, schwer zu merkende Passwörter zu erstellen, schreiben sie diese oft auf, wo sie auch andere sehen können“, schreibt Microsoft in einem Blogeintrag. Und wenn sie gezwungen werden das Passwort zu ändern, „machen sie oft kleine und vorhersehbare Änderungen des existieren Passworts“, damit sie das neue nicht vergessen.

Nahezu sinnlos

Im Endeffekt ist der Zwang zum Passwortwechsel nahezu sinnlos. Dass es den Zwang überhaupt gibt liegt daran, dass Hacker mit alten Datenbanken nicht Zugriff auf aktuelle Daten bekommen sollen. Hat aber jemand in dem Leak von 2017 das Passwort „Ichb!nsuper3“ verwendet, kann man wohl davon ausgehen, dass es jetzt „Ichb!nsuper5“ oder ähnlich lauten wird – weil eben die genervten User keine Lust haben, sich ein neues Passwort zu überlegen und zu merken.

Daher kommt Microsoft zum Schluss: „Ablaufende Passwörter sind antik, obsolet und von sehr niedrigem Wert.“ Deshalb wird die Funktion in Windows aber nicht deaktiviert werden. Das müssen die IT-Abteilungen der jeweiligen Unternehmen machen. Und die Chancen, dass besagte IT-Abteilung diese Änderung durchführt, ist leider gering, wie die meisten Bürotätigen wissen.

Microsoft beschreibt in dem Blog, dass es wichtiger sei, die Basis bei der IT-Sicherheit zu erhöhen. Dazu gehört etwa das Verbot von üblichen schlechten Passwörtern und in der Folge auch solcher, die dann nur ein 1 bis 99 hinten angehängt haben, je nachdem wie oft der User schon das Passwort wechseln musste. Auch der Einsatz einer Mehrfaktor-Authentifizierung wird empfohlen.