Freigeben über


Empfehlungen zu Kennwortrichtlinien für Microsoft 365 Kennwörter

Sehen Sie sich alle unsere Inhalte für Kleinunternehmen unter Kleine Unternehmen – Hilfe und Lernen an.

Als Administrator eines organization sind Sie dafür verantwortlich, die Kennwortrichtlinie für Benutzer in Ihrem organization festzulegen. Das Festlegen der Kennwortrichtlinie kann kompliziert und verwirrend sein, und dieser Artikel enthält Empfehlungen, um Ihre organization vor Kennwortangriffen sicherer zu machen.

Reine Microsoft-Cloudkonten verfügen über eine vordefinierte Kennwortrichtlinie, die nicht geändert werden kann. Die einzigen Elemente, die Sie ändern können, sind die Anzahl der Tage, bis ein Kennwort abläuft, und ob Kennwörter überhaupt ablaufen.

Um zu ermitteln, wie oft Microsoft 365-Kennwörter in Ihrer Organisation ablaufen, lesen Sie die Informationen unter Festlegen der Kennwortablaufrichtlinie für Microsoft 365.

Weitere Informationen über Microsoft 365-Kennwörter finden Sie unter:

Kennwörter zurücksetzen (Artikel)

Festlegen, dass das Kennwort eines einzelnen Benutzers nie abläuft (Artikel)

Benutzern das Zurücksetzen ihrer eigenen Kennwörter gestatten (Artikel)

Kennwort eines Benutzers erneut senden (Artikel)

Es ist an der Zeit, obligatorische Kennwortänderungen zu überdenken.

Grundlegendes zu Kennwortempfehlungen

Empfohlene Kennwortpraktiken werden in einige allgemeine Kategorien unterteilt:

  • Schutz vor häufig vorkommenden Angriffen Legen Sie fest, wo Benutzer Kennwörter eingeben können (bekannte und vertrauenswürdige Geräte mit guter Erkennung von Malware, überprüften Websites) und welche Kennwörter verwendet werden dürfen (Länge und Eindeutigkeit).

  • Eindämmung erfolgreicher Angriffe Bei der Eindämmung erfolgreicher Hackerangriffe geht es darum, die Gefährdung auf einen bestimmten Dienst einzuschränken oder den Schaden komplett zu verhindern, wenn das Kennwort eines Benutzers gestohlen wird. So sollte beispielsweise sichergestellt werden, dass durch den Angriff auf Ihre Social Networking-Anmeldeinformationen Ihr Bankkonto nicht angreifbar wird oder dass ein schlecht bewachtes Konto keine Reset-Links für ein wichtiges Konto zulässt.

  • Die menschliche Natur verstehen Viele gültige Kennwortpraktiken scheitern an natürlichen menschlichen Verhaltensweisen. Das Verständnis der menschlichen Natur ist wichtig, da Untersuchungen zeigen, dass fast jede Regel, die Sie Ihren Benutzern auferlegen, zu einer Schwächung der Kennwortqualität führt. Anforderungen an Länge, Sonderzeichen und Kennwortänderungen führen zu einer Normalisierung der Kennwörter, was es Angreifern erleichtert, Kennwörter zu erraten oder zu knacken.

Kennwortrichtlinien für Administratoren

Das primäre Ziel eines sichereren Kennwortsystems ist die Vielfalt der Kennwörter. Sie möchten, dass Ihre Kennwortrichtlinie viele verschiedene und schwer zu erratende Kennwörter umfasst. Hier sind ein paar Empfehlungen, wie Sie Ihre Organisation am besten schützen können.

  • Beibehalten einer Mindestlänge von vierzehn Zeichen

  • Legen Sie keine Anforderungen an die Zeichenzusammensetzung fest. Beispiel: *&(^%$

  • Fordern Sie kein obligatorisches periodisches Zurücksetzen der Kennwörter für Benutzerkonten.

  • Verbieten Sie gängige Kennwörter, um die anfälligsten Kennwörter von Ihrem System fernzuhalten.

  • Schulen Sie Ihre Benutzer, ihre organization Kennwörter nicht für nicht arbeitsbezogene Zwecke wiederzuverwenden.

  • Erzwingen Sie die Registrierung für die mehrstufige Authentifizierung

  • Aktivieren von Risikobasierten Multi-Factor Authentication-Herausforderungen

Kennwortratgeber für Benutzer

Hier finden Sie einige Kennwortanleitungen für Benutzer in Ihrer Organisation. Informieren Sie Ihre Benutzer über diese Empfehlungen und setzen Sie die empfohlenen Kennwortrichtlinien auf Organisationsebene durch.

  • Verwenden Sie kein Kennwort, das einem auf anderen Websites verwendeten Kennwort entspricht oder ähnlich ist.

  • Verwenden Sie kein einzelnes Wort wie beispielsweise Kennwort, und keinen häufig verwendeten Ausdruck, z. B. Ichliebedich

  • Machen Sie Kennwörter schwer zu erraten, auch von Personen, die viel über Sie wissen, z. B. die Namen und Geburtstage Ihrer Freunde und Familie, Ihre Lieblingsbands und Ausdrücke, die Sie verwenden möchten

Einige allgemeine Ansätze sowie deren negative Auswirkungen

Dies sind einige der am häufigsten verwendeten Methoden zur Kennwortverwaltung, aber Die Forschung warnt uns vor ihren negativen Auswirkungen.

Anforderungen für den Ablauf von Benutzerkennwörtern

Kennwortablaufanforderungen verursachen mehr Schaden als Nutzen, da sie benutzer dazu bringen, vorhersagbare Kennwörter auszuwählen, die aus sequenziellen Wörtern und Zahlen bestehen, die eng miteinander verbunden sind. In diesen Fällen kann das nächste Kennwort anhand des vorherigen Kennwortes vorhergesagt werden. Anforderungen für den Ablauf von Kennwörtern bieten keine Vorteile hinsichtlich der Abwehr von Angriffen, da Cyberkriminelle Anmeldeinformationen fast immer sofort verwenden, nachdem sie diese herausgefunden haben.

Mindestanforderungen für die Kennwortlänge

Um Benutzer zu ermutigen, über ein eindeutiges Kennwort nachzudenken, empfehlen wir, eine angemessene Mindestlänge von acht Zeichen beizubehalten.

Fordern der Verwendung von mehreren Zeichensätzen

Anforderungen an die Kennwortkomplexität reduzieren den Schlüsselraum und veranlassen Benutzer dazu, auf vorhersehbare Weise zu handeln, wodurch sie mehr Schaden als Nutzen anrichten. Die meisten Systeme erzwingen ein bestimmtes Maß an Anforderungen an die Kennwortkomplexität. Beispielsweise müssen Kennwörter Zeichen aus allen drei der folgenden Kategorien enthalten:

  • Großbuchstaben

  • Kleinbuchstaben

  • Nicht alphanumerische Zeichen

Die meisten Menschen verwenden ähnliche Muster. Beispielsweise ein Großbuchstabe an der ersten Position, ein Symbol im letzten und eine Zahl in der letzten 2. Cyberkriminelle sind sich solcher Muster bewusst, daher führen sie ihre Wörterbuchangriffe mit den häufigsten Ersetzungen aus, "$" für "s", "@" für "a", "1" für "l". Wenn Sie Ihre Benutzer zwingen, eine Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zu wählen, wirkt sich das negativ aus. Einige Komplexitätsanforderungen hindern Benutzer sogar daran, sichere und einprägsame Kennwörter zu verwenden, und zwingen sie dazu, weniger sichere und weniger einprägsame Kennwörter zu wählen.

Erfolgreiche Muster

Im Gegensatz dazu finden Sie hier einige Empfehlungen zur Förderung der Kennwortvielfalt.

Häufig verwendete Kennwörter sperren

Die wichtigste Kennwortanforderung, die Sie Ihren Benutzern bei der Erstellung von Kennwörtern auferlegen sollten, besteht darin, die Verwendung häufig verwendeter Kennwörter zu verbieten, um die Anfälligkeit Ihres Unternehmens für Brute-Force-Kennwortangriffe zu verringern. Allgemeine Benutzerkennwörter sind: abcdefg, password, monkey.

Weisen Sie die Benutzer an, keine Organisationskennwörter an anderer Stelle wiederzuverwenden

Eine der wichtigsten Botschaften, die Sie den Benutzern in Ihrer Organisation vermitteln müssen, ist, dass Sie ihr Organisationskennwort nirgendwo anders wiederverwenden dürfen. Die Verwendung von organization Kennwörtern auf externen Websites erhöht die Wahrscheinlichkeit, dass Cyberkriminelle diese Kennwörter kompromittieren können.

Erzwingen Sie die Registrierung für die mehrstufige Authentifizierung

Stellen Sie sicher, dass Ihre Benutzer Kontakt- und Sicherheitsinformationen wie eine alternative E-Mail-Adresse, Telefonnummer oder ein für Pushbenachrichtigungen registriertes Gerät aktualisieren, damit sie auf Sicherheitsprobleme reagieren und über Sicherheitsereignisse benachrichtigt werden können. Aktualisierte Kontakt- und Sicherheitsinformationen helfen Benutzern, ihre Identität zu überprüfen, wenn sie jemals ihr Kennwort vergessen haben oder wenn jemand anderes versucht, ihr Konto zu übernehmen. Außerdem wird ein Out-of-Band-Benachrichtigungskanal für Sicherheitsereignisse wie Anmeldeversuche oder geänderte Kennwörter bereitgestellt.

Weitere Informationen finden Sie unter Einrichten der mehrstufigen Authentifizierung.

Aktivieren der risikobasierten mehrstufigen Authentifizierung

Die risikobasierte mehrstufige Authentifizierung stellt sicher, dass unser System, wenn verdächtige Aktivitäten erkannt werden, den Benutzer auffordern kann, sicherzustellen, dass er der rechtmäßige Kontobesitzer ist.

Nächste Schritte

Möchten Sie mehr über das Verwalten von Kennwörtern erfahren? Hier einige empfohlene Lektüre:

Kennwörter zurücksetzen (Artikel)
Festlegen, dass das Kennwort eines einzelnen Benutzers nie abläuft (Artikel)
Benutzern das Zurücksetzen ihrer eigenen Kennwörter gestatten (Artikel)
Erneutes Senden eines Benutzerkennworts – Administratorhilfe (Artikel)