Microsoft: Bitte keine Passwörter mehr

Fast jedes Jahr veröffentlicht Microsoft einen Blog-Beitrag, in dem die Notwendigkeit betont wird, Passwörter komplett über Bord zu werfen und auf moderne Formen der Authentifizierung wie passwortlose Anmeldung und Multi-Faktor-Authentifizierung (MFA) umzusteigen. Am diesjährigen Welt-Passwort-Tag hat das Unternehmen erneut einen Beitrag über diesen Übergang verfasst und seine Kunden ermutigt, sich von Passwörtern zu verabschieden.

In einem Blogbeitrag schreibt Vasu Jakkal, Corporate Vice President, Security, Compliance, Identity, and Management bei Microsoft, dass Passwörter die häufigste Zielscheibe für Angreifer sind und jede Sekunde 921 Versuche unternommen werden - diese Häufigkeit hat sich seit dem letzten Jahr verdoppelt. Außerdem ist es schwierig, sich Passwörter zu merken und den Überblick zu behalten, vor allem wenn man in einer heterogenen Umgebung arbeitet.

Letztes Jahr hat der Redmonder Technologiekonzern die Möglichkeit eingeführt, Passwörter aus dem Microsoft-Konto zu entfernen, und gestern hat er sich über die FIDO Alliance und das World Wide Web Consortium mit Google und Apple zusammengetan, um einen gemeinsamen passwortlosen Standard zu entwickeln und zu unterstützen.

Für den Moment ermutigt Microsoft seine Kunden, Passwörter komplett aufzugeben und stattdessen Windows Hello, Sicherheitsschlüssel und die Multi-Faktor- und passwortlose Authentifizierung über die Microsoft Authenticator-App zu verwenden.

Wenn Sie jedoch beabsichtigen, in naher Zukunft weiterhin Passwörter zu verwenden, empfiehlt Microsoft die Verwendung des Passwort-Generators in Microsoft Edge sowie die folgenden Kriterien für jedes neue Passwort, das Sie konfigurieren:

  • Mindestens 12 Zeichen lang
  • Eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen
  • Kein Wort, das in einem Wörterbuch gefunden werden kann, oder der Name einer Person, eines Produkts oder einer Organisation
  • Völlig anders als Ihre bisherigen Passwörter
  • Ändern Sie es sofort, wenn Sie den Verdacht haben, dass es kompromittiert worden ist.

Der dritte Tipp in der obigen Liste ist recht interessant, da die britische Regierung im letzten Jahr die Verwendung von Kennwörtern empfohlen hat, die aus einer Kombination von drei zufälligen, aber echten Wörtern bestehen. Ein weiterer interessanter Ansatz, den Microsoft empfohlen hat, ist, dass die Benutzer auf Sicherheitsfragen themenfremde Antworten geben sollten, um Angreifer abzuschrecken. Auf eine Sicherheitsfrage zu Ihrem Geburtsort könnten Sie zum Beispiel mit "Grün" antworten. Damit ist sichergestellt, dass ein Angreifer, selbst wenn er Zugang zu einigen Ihrer grundlegenden Informationen hat, wahrscheinlich nicht in der Lage ist, Ihre Sicherheitsfragen zu beantworten. Die Schwierigkeit bei diesem Ansatz besteht allerdings auch darin, sich themenfremde Antworten zu merken.

Microsoft hat immer wieder betont, dass die kennwortlose Anmeldung bald zur Norm werden wird, so dass es besser ist, sich schon jetzt auf diese neue Realität einzustellen.