Microsoft hat die Empfehlung mit Umgang von Passwörtern in Ihrer Baseline aktualisiert und folgt damit neue Erkenntnissen. Passwörter sollten daher nicht mehr ablaufen und der Anwender nicht mehr zum Ändern gezwungen werden.

Es ist in IT-Sicherheitskreisen schon länger bekannt, dass das regelmässige ändern von Passwörtern eher kontraproduktiv ist und dies zu unsicheren, nur halbherzig ausgedachten, zum wiederholten Male oder für mehrere Accounts verwendeten Passwörter führen kann. Im Schlimmsten Fall, verleitet es den User gar eine Passwortliste in der Schreibtischschublade abzulegen.

Genau diese genannten Gründe führt Microsoft an, warum die Security-Baseline geändert wurde. Microsoft weisst in diesem Zusammenhang auch darauf hin, dass die Baseline nur ein Teil der Sicherheitsstrategie ist. Es empfiehlt sich auch zu überdenken, Passwörter zusätzlich mit weiteren Sicherheitsmechanismen, wie z.B. Multi-Faktor-Authentifizierung (MFA) zu ergänzen. Weiterhin wichtig ist es, eine minimale Passwortlänge (12 Stellen) festzulegen und anomalen Anmeldeversuche zu Überwachen.

Microsoft folgt mit der Änderung der Empfehlung nun also endlich bekannten Sicherheitsanforderungen. Die früher Empfehlung, Passwörter spätestens nach 60 Tagen zu ändern, wurde ersetzen ist somit nicht mehr gültig. Weiterhin sollten aber Passwörter immer dann geändert werden, wenn tatsächlich eine Kompromittierung stattgefunden hat – und dann umgehend.

Beachten Sie bitte, dass diese geänderte Baseline in erster Linie auf Windows 10 und Benutzer Passwörter anzuwenden ist. Für Server gelten weiterhin weitergehende Anforderungen wie Admin Tiers und Just-In-Time Administration (JIT).

Die Baseline ist hier verfügbar: https://docs.microsoft.com/de-de/archive/blogs/secguide/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903