Längere Passwörter aus mehreren Wörtern sind laut dem Ratgeber leichter zu merken und deutlich schwerer zu knacken. Das NIST empfiehlt, Passwörter mit bis zu 64 Zeichen zuzulassen. Auch wenn die meisten Nutzer diese Grenze nicht ausschöpfen, stärkt eine höhere Mindestlänge – etwa 15 Zeichen oder mehr – die Sicherheit und verringert den Zwang zu umständlichen, fehleranfälligen Passwörtern.

Selbst bei längeren Passwörtern greifen Nutzer weiterhin zu schwachen oder gängigen Varianten. Genau das nutzen Password-Spraying-Angriffe aus, weshalb Organisationen die Erstellung schwacher Passwörter aktiv blockieren sollten. Lösungen wie Specops Password Policy setzen an dieser Stelle an: Schwache Passwörter bereits bei der Erstellung zu verhindern, sei weit wirksamer, als das Problem nach einer Kontokompromittierung zu beheben.

Beim Thema Ablauffristen rät der Beitrag, von erzwungenem Passwortablauf abzurücken, sofern keine Hinweise auf eine Kompromittierung vorliegen. Werden Nutzer zu häufig zum Zurücksetzen gezwungen, nehmen sie meist nur minimale Änderungen vor. Ganz abschaffen sollte man den Ablauf jedoch nicht unüberlegt, insbesondere wenn Mehrfachverwendung ein Risiko ist. Bei langen, robusten Passwörtern und vorhandener Erkennung kompromittierter Zugangsdaten spreche aber viel für verlängerte Fristen. Eine längenabhängige Alterung verstärkt diesen Ansatz: Längere Passwörter werden mit verlängertem oder ganz entfallendem Ablauf belohnt, solange keine Kompromittierung erkannt wird.

Laut dem Data Breach Investigations Report von Verizon sind gestohlene Zugangsdaten an 44,7 Prozent der Sicherheitsverletzungen beteiligt. Eine der größten Hürden bleibt die Mehrfachverwendung: Auch ein gutes AD-Passwort wird häufig auf anderen Systemen wiederverwendet, weil sich kaum jemand Dutzende Zugangsdaten merken kann. Ein freigegebener, sicher eingerichteter Passwort-Manager nimmt diese Last ab, indem er lange, einzigartige Passwörter erzeugt und speichert. Für IT-Teams unterstützen Enterprise-Passwort-Manager zudem die Kontrolle über geteilte und privilegierte Konten.

Passwort-Resets zählen zu den häufigsten Ursachen für Helpdesk-Tickets in AD-Umgebungen. Ein sicheres Self-Service-Zurücksetzen entlastet hier: Nach Identitätsprüfung per MFA oder anderen Verfahren können Mitarbeitende ihr Passwort selbst zurücksetzen, oft ganz ohne Ticket. Das verkürzt Ausfallzeiten und schränkt riskante Umgehungslösungen ein.

Auch die Kommunikation spielt eine Rolle: Plötzliche Sperren oder kurzfristige Ablaufwarnungen sollten Nutzer nicht überraschen. Klare, rechtzeitige Hinweise zeigen, wann Handlungsbedarf besteht. Vage Meldungen wie „Passwort erfüllt die Anforderungen nicht" sind dagegen wenig hilfreich. Stärkeanzeigen, Prüfungen gegen verbotene Passwörter und konkrete Hinweise in Echtzeit machen die Anforderungen unmittelbar sichtbar und führen zu stärkeren Zugangsdaten.

Als Ausgangspunkt empfiehlt der Beitrag, die AD-Umgebung mit Werkzeugen wie Specops Password Auditor zu prüfen. Das kostenlose Tool führt einen rein lesenden Scan durch und weist auf passwortbezogene Schwachstellen hin. Specops Password Policy soll anschließend bei der Behebung helfen und die Durchsetzung sicherstellen – unter anderem durch fortlaufendes Scannen nach kompromittierten Passwörtern und Unterstützung von Passphrasen. Der Beitrag verweist darauf, mehr als vier Milliarden kompromittierte Passwörter blockieren zu können.