Die naheliegende Reaktion auf wiederholte Kontokompromittierungen ist, die Passwortrichtlinien zu verschärfen. Viele Organisationen tun sich jedoch schwer damit, Sicherheit und Benutzerfreundlichkeit auszubalancieren — und wenn etwas nicht funktioniert, klingelt beim Helpdesk das Telefon.
Ein Kernproblem sind unklare Fehlermeldungen. Wenn Nutzern nur mitgeteilt wird, ein Passwort „erfülle die Komplexitätsanforderungen nicht", bleibt offen, welche Regel verletzt wurde oder was fehlt. Nach einigen Fehlversuchen hören die meisten auf, die Richtlinie verstehen zu wollen, und suchen den schnellsten Weg daran vorbei: Alte Passwörter werden mit kleinen Abwandlungen wiederverwendet oder Zugangsdaten unsicher abgespeichert. Das geschieht ohne böse Absicht, erhöht aber die Wahrscheinlichkeit weiterer Vorfälle — von Sperren bis zur Kontoübernahme.
Ohne eine Prüfung auf bereits geleakte Passwörter verlassen sich Organisationen auf zeitbasierte Zurücksetzungen, um Risiken zu steuern. Doch ein Passwort wird nicht unsicher, weil es alt ist, sondern weil es offengelegt wurde. Selbst kurze Ablauffristen ändern nichts daran, dass sich Nutzer weiterhin mit bereits in Datenlecks aufgetauchten Zugangsdaten anmelden können. Ohne Einblick in diese Offenlegung bleibt das dem Zufall überlassen, während IT-Teams die unnötigen Zurücksetzungen abarbeiten, ohne die eigentliche Ursache zu adressieren.
An dieser Stelle setzt nach Darstellung des Anbieters das Werkzeug Specops Password Policy an. Dessen Funktion Breached Password Protection gleicht Benutzerkonten fortlaufend mit einer Datenbank von mehr als 5,8 Milliarden kompromittierten Passwörtern ab. Taucht ein Passwort darin auf, fordern anpassbare Warnungen die Nutzer zum Zurücksetzen auf und verkürzen so das Zeitfenster, in dem Angreifer die Zugangsdaten missbrauchen können.
Erzwungene regelmäßige Zurücksetzungen galten lange als Sicherheitsstandard, schaffen in der Praxis aber oft mehr Probleme als sie lösen. Müssen Nutzer ihr Passwort alle 60 oder 90 Tage ändern, wird das Verhalten vorhersehbar: kleine, schrittweise Änderungen am bestehenden Passwort oder leicht merkbare Varianten unter Zeitdruck. Das Ergebnis sind nicht stärkere, sondern schwächere Zugangsdaten — und jede Zurücksetzung ist eine mögliche Sperre und ein weiteres Helpdesk-Ticket.
Deshalb hat sich die Empfehlung von Institutionen wie NIST von verpflichtenden periodischen Änderungen wegbewegt — hin zum Zurücksetzen nur dann, wenn Hinweise auf eine Kompromittierung vorliegen. Passwörter ganz abzuschaffen erfordert sorgfältige Abwägung, doch die aktualisierten Vorgaben sollten Anlass sein, willkürliche Ablaufdaten zu überdenken.
Auch beim Übergang zu passwortloser Authentifizierung bleiben Passwörter die Grundlage der Identitätssicherheit: Passwortlose Verfahren setzen weiterhin starke zugrunde liegende Zugangsdaten voraus. Kompromittierte oder zu simple Passwörter eröffnen Angreifern legitimen Zugang, mit dem sie sich unauffällig seitlich im Netzwerk bewegen können. Weniger kompromittierte Konten bedeuten weniger Vorfälle, weniger Aufwand für die Behebung und weniger Störung im Tagesgeschäft.
