Die traditionelle Ansicht auf Passwortkomplexität – gemischte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – führt regelmäßig zu vorhersehbaren Mustern wie “Passwort!2026”. Nutzer versuchen, die Anforderungen zu erfüllen, wählen aber Kombinationen, die zwar die Regeln erfüllen, aber leicht zu knacken sind. Ein besserer Weg: Länge vor Komplexität. Das National Institute of Standards and Technology (NIST) empfiehlt Passwörter bis zu 64 Zeichen. Praktisch heißt das für Unternehmen: eine Mindestlänge von 15 oder mehr Zeichen festlegen. Diese Passphrasen sind merkbar, aber deutlich schwerer anzugreifen.
Ein kritisches Problem bleibt: Selbst lange Passwörter können schwach sein, wenn Nutzer häufige oder kompromittierte Begriffe wählen. Password-Spraying-Attacken exploitieren genau diese Tendenz. Unternehmen sollten deshalb aktiv schwache Passwörter bei der Erstellung blockieren – nicht erst, nachdem Konten gehackt wurden.
Ein weiterer häufiger Fehler ist zu häufige Passwort-Rotation. Wenn Nutzer ihre Passwörter alle 30 oder 60 Tage ändern müssen, greifen sie zu minimalen Anpassungen – etwa ein Ausrufezeichen hinzufügen. Besser: Längere Ablauf-Zeiträume festlegen, insbesondere wenn Passwörter länger und robuster sind. Längenbasierte Rotation – längere Passwörter = längeres Verfallsdatum – schafft einen positiven Anreiz.
Passwort-Wiederverwendung ist eine der größten Schwachstellen. Nutzer verwenden ihr AD-Passwort auch auf privaten Plattformen, die möglicherweise weniger sicher sind. Ein unternehmenseigener Password Manager, sicher implementiert, löst dieses Problem: Mitarbeiter können lange, einzigartige Passwörter für jedes System generieren und speichern – ohne sich alles merken zu müssen.
Ebenso wichtig: Selbstbedienung bei Passwort-Zurücksetzen. Mit Multi-Faktor-Authentifizierung verifiziert, können Nutzer ihre Passwörter selbst zurücksetzen. Das reduziert Helpdesk-Tickets erheblich und vermeidet lange Sperrzeiten, die zu riskanten Workarounds führen.
Klare, rechtzeitige Benachrichtigungen machen einen großen Unterschied – ebenso wie aussagekräftige Fehlermeldungen. Statt vagem “Passwort erfüllt nicht die Anforderungen” sollten Systeme präzises Feedback geben: Strength-Meter, Listen gesperrter Passwörter und konkrete Anforderungen. Damit sehen Nutzer sofort, was zu tun ist.
Deutsche Unternehmen sollten ihre AD-Umgebung regelmäßig auditieren, um Passwort-Sicherheitslücken zu identifizieren. Mit modernen Lösungen zur Policy-Verwaltung, durchgehender Überwachung auf kompromittierte Passwörter und User-Education entsteht ein ausgewogenes System: starke Sicherheit, ohne Nutzer zu frustrieren.