Beschreibung

Falsch konfigurierte Einstellungen für den Passwortablauf in Microsoft Entra ID, die Benutzer in regelmäßigen Abständen zum Ändern ihrer Passwörter zwingen, können unbeabsichtigt Sicherheitslücken verursachen. Traditionelle Ablaufrichtlinien basieren auf der veralteten Annahme, dass Benutzer kompromittierte Anmeldeinformationen häufig aktualisieren. In der Realität führen häufige Passwortänderungen oft zu vorhersagbaren Mustern oder geringfügigen Abweichungen von vorherigen Passwörtern, wodurch die Komplexität insgesamt verringert wird und Konten anfälliger für Brute-Force- und Wörterbuchangriffe werden.

Erzwungene Passwortänderungen können das Risiko erhöhen, dass Passwörter nicht sicher gespeichert werden, da Benutzer Passwörter möglicherweise aufschreiben, an ungeeigneten Orten aufbewahren oder leicht zu erratende Muster erstellen, um sie sich zu merken. Dieses Verhalten untergräbt die Sicherheit und kann zu unbefugtem Zugriff führen. Durch die Verpflichtung zum Passwortablauf könnten Organisationen unbeabsichtigt dazu beitragen, dass Benutzer bewährte Verfahren umgehen, was letztendlich die Angriffsfläche vergrößert

Die Richtlinie MS.AAD.6.1v1 in der CISA „M365 Secure Configuration Baseline for Microsoft Entra ID“, die durch BOD 25-01 vorgeschrieben wird, erfordert, dass Benutzerpasswörter NICHT ablaufen DÜRFEN. Die Nichteinhaltung kann regulatorische und betriebliche Konsequenzen haben, insbesondere für Bundesbehörden und Auftragnehmer, die der CISA unterstehen. In der heutigen Sicherheitslandschaft steht die Erzwingung des Passwortablaufs nicht im Einklang mit identitätsorientierten Sicherheitsprinzipien, nach denen kontinuierliches Monitoring, bedingter Zugriff und bedrohungsbasierte Kontrollen Vorrang vor starren Passwortlebenszyklus-Richtlinien haben. In den modernen Empfehlungen aus NIST SP 800-63 wird zudem von willkürlichen Passwortrotationen abgeraten und darauf hingewiesen, dass erzwungene regelmäßige Passwortänderungen ohne Nachweis einer Kompromittierung die Zufälligkeit des Passworts verringern und die allgemeine Sicherheit schwächen können. Dieser Indicator of Exposure erkennt Domänen, die den Ablauf von Passwörtern nach einem bestimmten Zeitraum zulassen.

Lösung

Aktivieren Sie die Einstellung „Set passwords to never expire“ (Kennwörter so festlegen, dass sie nie ablaufen) in Microsoft Entra ID, um die Richtlinie zum Passwortablauf zu entfernen.

Behandeln Sie Passwörter als statische Geheimnisse und legen Sie Wert auf eine sichere Ersteinrichtung, starke Richtlinien zur Passworterstellung und zuverlässige Mechanismen zur Kontowiederherstellung. Konzentrieren Sie sich auf die Erkennung von anomalem Verhalten und nicht autorisierten Zugriffsversuchen, anstatt zeitbasierte Passwortänderungen zu erzwingen.

Anstatt regelmäßige Passwortänderungen zu erzwingen, sollten Sie sich darauf konzentrieren, Methoden wie Multi-Faktor-Authentifizierung (MFA), Richtlinien für bedingten Zugriffoder passwortlose Optionen wie FIDO2-Schlüssel zu verwenden. Diese Methoden erhöhen die Sicherheit, da sie weniger von Passwörtern abhängig sind und sicherstellen, dass nur verifizierte Benutzer auf Ihre Konten zugreifen können, unabhängig davon, wie alt das Passwort ist.

Die Umsetzung der CISA-Empfehlungen trägt dazu bei, technische Schulden zu reduzieren und die Stabilität sowie Zuverlässigkeit Ihres Identitätssystems zu erhöhen.

Indikatordetails

Name: Passwortablauf erzwungen

Codename: PASSWORD-EXPIRATION-ENFORCED

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK-Informationen: