Umfassende Kennwortrichtlinien Best Practices für 2026

Eine starke Passwortrichtlinie ist oft die erste Verteidigungslinie gegen Cyberangriffe. Dennoch folgen viele Unternehmen weiterhin veralteten Richtlinien, die sie einem erheblichen Risiko aussetzen.

Laut dem DBIR 2025 von Verizon sind kompromittierte Zugangsdaten nach wie vor eine der wichtigsten Hacking-Taktiken – sie wurden bei 22 % der Sicherheitsverletzungen verwendet und waren an 88 % der Angriffe auf einfache Webanwendungen beteiligt – was zeigt, dass schwache oder gestohlene Passwörter nach wie vor für einen Großteil der Datenschutzverletzungen verantwortlich sind.

Die Sicherheit von Passwörtern war noch nie so wichtig wie heute, vor allem, weil ein großer Teil der Belegschaft weiterhin von zu Hause aus arbeitet. Die Bedrohungslage hat sich vergrößert. Daher ist es wichtig, dass Unternehmen ihre Passwortrichtlinien aktualisieren, um ihre Mitarbeiter darin zu schulen, sichere Passwörter zu erstellen und eine solide Verteidigung gegen Cyber-Bedrohungen zu gewährleisten.

Frühere Anleitungen zur Sicherheit von Passwörtern konzentrierten sich auf Einzigartigkeit, Komplexität, Mindestlänge des Passworts und regelmäßige Änderungen des Passworts. Die neuesten Ratschläge weichen jedoch davon ab, da viele dieser Passwortpraktiken Benutzer dazu veranlassen könnten, schwächere statt stärkere Passwörter zu erstellen.

Best Practices für Passwortrichtlinien

Erhöhen Sie die Länge von Passwörtern und reduzieren Sie den Fokus auf die Komplexität von Passwörtern

In der Vergangenheit konzentrierten sich die Ratschläge zur Sicherheit von Passwörtern stark auf die Erstellung komplexer Passwörter, was jedoch häufig dazu führt, dass bestehende Passwörter mit geringfügigen Änderungen wiederverwendet werden. Laut dem National Cyber Security Council: „Die Anforderungen an die Komplexität stellen eine zusätzliche Belastung für die Benutzer dar, von denen viele vorhersehbare Muster verwenden (z. B. das Ersetzen des Buchstabens ‚o‘ durch eine Null oder die Verwendung von Sonderzeichen), um die geforderten ‚Komplexitätskriterien‘ zu erfüllen.

Die Angreifer sind mit diesen Strategien vertraut und nutzen dieses Wissen, um ihre Angriffe zu optimieren.“ Die Länge des Passworts ist oft ein viel wichtigerer Faktor, da ein längeres Passwort statistisch gesehen schwieriger zu knacken ist. NIST und Microsoft empfehlen eine Mindestlänge von 8 Zeichen für ein vom Benutzer erstelltes Passwort. Um die Sicherheit für sensiblere Konten zu erhöhen, empfiehlt NIST, dass Unternehmen die maximale Passwortlänge auf 64 Zeichen festlegen. Dies ermöglicht die Verwendung von Passphrasen. Eine Passphrase ist ein Passwort, das aus einem Satz oder einer Kombination von Wörtern besteht. Sie hilft Benutzern, sich längere Passwörter zu merken und erschwert es Hackern, sie mit roher Gewalt zu erraten.

Passwörter gegen schwarze Listen prüfen

Die Wiederverwendung von Passwörtern ist ein weit verbreitetes Problem. Laut einer Google/Harris-Umfrage verwenden 52% der Menschen dasselbe Passwort für mehrere Konten. Dieses riskante Verhalten hat zu einem enormen Anstieg der Angriffe auf Zugangsdaten geführt, da Hacker versuchen, mit den Milliarden von kompromittierten Zugangsdaten, die im Dark Web zum Kauf angeboten werden, Kasse zu machen. Mit diesen gestohlenen Zugangsdaten können Hacker versuchen, mit demselben kompromittierten Passwort auf weitere Benutzerkonten zuzugreifen.

Um diese Bedrohung zu bekämpfen, empfiehlt das NIST, dass Unternehmen eine Software verwenden, die Passwörter anhand einer schwarzen Liste überprüft, die Wörter aus dem Wörterbuch, sich wiederholende oder aufeinanderfolgende Zeichenfolgen, bei früheren Sicherheitsverletzungen gestohlene Passwörter , häufig verwendete Passphrasen oder andere Wörter und Muster enthält, die Hacker erraten könnten. Dieser Prüfprozess hilft Benutzern, die Auswahl von Passwörtern zu vermeiden, die ein Sicherheitsrisiko darstellen, und zeigt an, wenn ein zuvor sicheres Passwort in Zukunft aufgedeckt wird.

Regelmäßiges Zurücksetzen von Passwörtern entfällt

Viele Unternehmen verlangen von ihren Mitarbeitern, dass sie ihre Passwörter in regelmäßigen Abständen ändern, oft alle 30, 60 oder 90 Tage. Jüngste Studien haben jedoch gezeigt, dass dieser Ansatz für die Passwortsicherheit oft kontraproduktiv ist und die Sicherheit sogar verschlechtern kann. In der Regel haben Benutzer mehrere Passwörter, die sie sich merken müssen. Wenn sie also gezwungen sind, ihre Passwörter regelmäßig zurückzusetzen, greifen sie auf vorhersehbare Verhaltensmuster zurück, wie z. B. die Wahl eines neuen Passworts, das nur eine geringfügige Abwandlung des alten Passworts ist.

Sie können es aktualisieren, indem sie ein einzelnes Zeichen ändern oder ein Symbol hinzufügen, das wie ein Buchstabe aussieht (z.B. ! statt I). Wenn ein Angreifer das bestehende Kennwort des Benutzers bereits kennt, wird es nicht allzu schwer sein, die aktualisierte Version zu knacken. Das NIST empfiehlt, diese Anforderung zu streichen, um die Sicherheit von Kennwörtern benutzerfreundlicher zu machen, und Microsoft rät dazu: „Wenn ein Kennwort nie gestohlen wird, besteht keine Notwendigkeit, es ablaufen zu lassen. Und wenn Sie Beweise dafür haben, dass ein Kennwort gestohlen wurde, würden Sie vermutlich sofort handeln, anstatt auf das Ablaufdatum zu warten, um das Problem zu beheben.“

Kopieren und Einfügen von Passwörtern zulassen

Das NIST hat seine frühere Anleitung überarbeitet und empfiehlt nun die Verwendung von „Kopieren und Einfügen“ bei der Eingabe eines Passworts. Dies trägt dazu bei, die Verwendung von Passwortmanagern zu fördern, die zweifellos die Sicherheit erhöhen, da sie es den Benutzern ermöglichen, längere Passwörter zu erstellen, die schwerer zu knacken sind.

Passwortversuche begrenzen

Mit einem Brute-Force-Angriff können Hacker versuchen, in ein Konto einzubrechen, indem sie sich systematisch anmelden und alle möglichen Kombinationen von Buchstaben, Zahlen und Symbolen ausprobieren, bis sie die richtige Passwortkombination herausfinden. Eine der besten Möglichkeiten, sich gegen diese Art von Angriffen zu schützen, ist die Begrenzung der Anzahl der Passwortversuche, die eine einzelne IP-Adresse innerhalb eines bestimmten Zeitraums unternehmen kann.

Verwenden Sie keine Passwort-Hinweise

Passwort-Hinweise werden häufig von Organisationen verwendet, um ihren Benutzern zu helfen, sich komplexe Passwörter zu merken. Dabei kann es sich um eine einfache Aufforderung handeln oder der Benutzer muss eine persönliche Frage beantworten, wie z. B. „In welcher Stadt wurden Sie geboren?“ oder „Wie lautet der Name Ihrer ersten Schule?“. Die Antworten auf viele dieser Fragen können von einem entschlossenen Angreifer leicht in den sozialen Medien gefunden werden. Dies untergräbt die Sicherheit. Deshalb hat das NIST Organisationen geraten, diese Praxis aufzugeben, da sie das Risiko eines Sicherheitsverstoßes potenziell erhöhen könnte.

Verwenden Sie die Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung (MFA) ist eine der effektivsten Möglichkeiten, ein passwortgeschütztes Konto zusätzlich zu schützen. Laut Microsoft ist die Wahrscheinlichkeit, dass ein Konto kompromittiert wird, um 99,9 % geringer, wenn MFA aktiviert ist.

Es gibt drei Arten der Authentifizierung, die verwendet werden können:

• Etwas, das Sie wissen: Ein Passwort, eine PIN, eine Postleitzahl oder die Antwort auf eine Frage (z.B. der Mädchenname der Mutter).
• Etwas, das Sie haben: Ein Token, ein Telefon, eine Kreditkarte, eine SIM-Karte oder ein physischer Sicherheitsschlüssel.
• Etwas, das Sie sind: Biometrische Daten wie ein Fingerabdruck, eine Stimme oder eine Gesichtserkennung.

Einige dieser Verifizierungsmethoden sind zweifellos sicherer als andere, aber im Wesentlichen bedeutet dies, dass selbst wenn jemand ein Passwort stiehlt oder errät, er ohne einen weiteren Authentifizierungsfaktor nicht auf das Konto zugreifen kann.

Schulung der Mitarbeiter in Bezug auf bewährte Verfahren für Passwörter

Es gibt viele widersprüchliche Ratschläge darüber, was ein sicheres Passwort ist. Daher ist es wichtig, dass Ihre Mitarbeiter die besten Praktiken verstehen und genau wissen, was Ihre Passwortrichtlinie von ihnen verlangt. Schulungen zum Sicherheitsbewusstsein sollten Ihre Mitarbeiter über Folgendes informieren:

• Die Risiken der Wiederverwendung der gleichen Passwörter für private und berufliche Konten
• Wie Sie starke und sichere Passwörter erstellen
• Wie Sie MFA aktivieren
• Wie Sie einen automatischen Passwort-Manager verwenden, um Passwörter sicher zu speichern

Befähigen Sie Ihr Team mit starker Passwortsicherheit

Von der Human Risk Management Plattform, die das Risiko der Mitarbeiter verwaltet, bis hin zu automatisierten Sicherheitsschulungen und fortgeschrittenen Phishing-Simulationen, die das Personal wachsam halten, ist jede Lösung auf Einfachheit und Effektivität ausgelegt. Risk Intelligence & Analytics bieten verwertbare Einblicke, während das Compliance Management sicherstellt, dass die gesetzlichen Anforderungen mühelos erfüllt werden. Eine integrierte Richtlinie für sichere Passwörter ermöglicht es den Mitarbeitern, sichere Anmeldeinformationen zu erstellen und zu pflegen, so dass die mit schwachen oder wiederverwendeten Passwörtern verbundenen Schwachstellen reduziert werden.

Durch die Kombination dieser Tools mit ständiger Weiterbildung und klugen digitalen Gewohnheiten kann Ihr Team sicher durch die digitale Welt navigieren und gleichzeitig das Risiko von Cyberangriffen verringern und die allgemeine Sicherheitskultur stärken.

Stärken Sie die Sicherheit Ihres Unternehmens mit der All-in-One-Plattform von MetaCompliance, die Ihrem Team dabei hilft, solide Cybersicherheitsrichtlinien zu implementieren und aufrechtzuerhalten – einschließlich bewährter Verfahren für sichere Passwörter.