Microsoft führt dynamische Blacklist für allzu simple Passwörter ein
Nach mehreren Leaks von Datenbanken mit zahlreichen Einfachst-Passwörtern will Microsoft für seine Dienste gefährlich einfache und von Hackern häufig für Angriffe verwendete Passphrasen verbieten.
(Bild: Microsoft)
Microsoft stellt zurzeit die Nutzerkontenverwaltung von Azure Active Directory und anderen Diensten um. Zu einfache und generische Passwörter sollen nach der Umstellung nicht mehr akzeptiert werden. Eine dynamische Blacklist wird die Kundenkonten auf häufig genutzte Passphrasen und solche abklopfen, die oft bei Angriffen auf Microsoft-Dienste ausprobiert werden.
Einer der Auslöser für diese Maßnahme war eine Liste mit knapp 178 Millionen Passwort-Hashes von LinkedIn, von denen bereits wenige Stunden nach ihrem Auftauchen im Netz rund 80 Prozent geknackt worden waren. Das populäre "123456" fand sich dabei über eine Million mal. Doch auch Konstrukte mit einem Mix aus Buchstaben, Zahlen und Sonderzeichen gelten nicht mehr unbedingt als sicher.
Regelmäßige Passwortänderungen führen zu einfacheren Passwörtern
Kunden, deren aktuell verwendete Passwörter auf der Blacklist stehen, dürften in der nächsten Zeit von Microsoft gebeten werden, ihr Passwort zu ändern. Robyn Hicock, Mitglied des Microsoft Identity Protection Team, hat dazu ein Whitepaper (englisch) mit Vorschlägen für die Wahl eines sicheren Passworts erstellt. Darin hinterfragt er gängige Passwort-Anforderungen wie Mindestlängen sowie den Zwang zum Mischen von Buchstaben und Sonderzeichen oder zum periodischen Ändern des Passworts. Laut dem Paper führt die Aufforderung, ein langes Passwort zu verwenden, oft nur zu Wiederholungen (passwortpasswort) und der Zwang zu einem Mix aus Ziffern und Buchstaben auch nicht unbedingt zu mehr Sicherheit (2easy4you). Wer seinen Nutzern vorschreibt, das Passwort regelmäßig zu wechseln, verführe sie oft nur zum Gebrauch von durchnummerierten Phrasen oder zum Recyclen.
Nutzern empfiehlt Hicock, keine Einzelwörter oder oft genutzte Phrasen (iloveyou) zu verwenden, per Social Engineering erratbare Passwörter (Geburtstag, Lieblings-Band) zu vermeiden und bei jedem Online-Dienst ein separates Passwort zu nutzen. So könnten gestohlene Passwörter wenigstens nicht für den Einbruch in andere Dienste verwendet werden. Eine Lösung, wie man Passwörter dutzender Web-Dienste sicher behält, bietet das Paper aber nicht. (rop)
