Wenn jetzt alle ins Home Office gehen, ist es vielleicht praktisch, man wüsste das Windows-Passwortalter. Nur damit man sich nicht im Home Office aussperrt. Denn nichts ist schlimmer, als wenn man das Passwort zwar kennt, aber es vielleicht ablaufen könnte. Und wer weiß, vielleicht ist die Meldung ausgeblendet, dass das Passwort in soundso vielen Tagen abläuft. Darum ist es gut, wenn man mal schaut, wie lang das Passwort für die Windows-Domäne in der Firma noch gültig ist.
Wieso ist das Windows-Passwortalter begrenzt?
Aufgrund von Krankheit, Bedrohung, was auch immer kann es immer wieder gerechtfertigt sein, ins Home Office zu wechseln, wo es möglich ist. Und dort kann man dann natürlich fast wie gewohnt seiner Arbeit nachgehen. Allerdings meldet man sich gewöhnlich an der Domäne des Unternehmens an. Nehmen wir eine Windows Domäne. Dort gelten Windows-Passwörter. Und hier gibt es ein zeitlich begrenztes Windows-Passwortalter. Nach einer festgelegten Zeit muss man sich ein neues Passwort überlegen.
Lange Zeit ging man dazu über, ein festes Windows-Passwortalter festzulegen, um die Sicherheit in der Windows-Domäne zu erhöhen. Mittlerweile hat sich das ja eigentlich erübrigt, weil immer mehr Zwei-Faktor-Authentifizierung eingeführt wird. So lang das aber so ist, dass man in regelmäßigen Abständen das Passwort wechseln muss, muss man sich auch einmal darüber unterhalten, wie zum Geier man herausfindet, wie alt das Passwort ist und wann es denn abläuft.
Wann läuft mein Passwort ab?
In Windows-Domänen kann man vieles auch als Standardnutzer herausfinden. So eben auch das Windows-Passwortalter. Bevor wir also alle endgültig ins Home Office springen, sollten wir mal schauen, wann wir das letzte Mal das Passwort geändert haben und wie lang das noch gültig ist. Das geht ganz einfach mit einem Befehl, nämlich diesem:
net user username /domain
Ihr müsst natürlich euren Nutzernamen statt „username“ eintragen. Und all das hackt ihr in die Eingabeaufforderung oder die PowerShell. Beides kann ich über das Startmenü von Windows 10 erreichen:
Tja, und in eins der beiden Tools tragt ihr dann den oben genannten Befehl ein. Ihr erhaltet danach eine Übersicht über allerlei Dinge. Aus Datenschutzgründen kann ich nicht alle Informationen darstellen. Aber im Großen und Ganzen handelt es sich um solche Informationen wie:
- Benutzername
- Wann das Passwort zuletzt geändert wurde
- Wann es abläuft
- Ob ein Anmeldescript läuft
- Welchen Gruppen der Anwender angehört
- etc.
Entweder ich ändere gleich nochmal mein Passwort oder bin halt nicht überrascht, wenn der Dialog erscheint, dass das Passwort abgelaufen ist. Vielerorts kann ich dann ja auch mein Passwort über „Outlook im Web“ oder halt OWA ändern. Das muss aber auch nichts bedeuten. Und gerade in Zeiten von firmenweitem oder landesweitem Home Office muss es nicht so sein, dass man jemanden aus dem firmeneigenen IT Support ans Rohr bekommt. Darum ist es ganz sinnvoll, sich über solche Dinge klar zu werden.
Ist das noch zeitgemäß?
Schon lang gibt es die Vermutungen, dass das Windows-Passwortalter gar nicht mehr zeitgemäß ist. Zu ausgeklügelt sind die Mechanismen, mit denen Login-Versuche ausgeschnüffelt werden. Ist einem Angreifer erstmal bekannt, wie die in der Firma angewandte Kennwortrichtlinie ist, kann auf diesem Weg natürlich auch das eigentliche Passwort ermittelt werden. Aus diesem Grund hatte auch das Bundesamt für Sicherheit in der Informationstechnik – BSI – seine Empfehlungen geändert.
Es wird nicht mehr empfohlen, das Passwort regelmäßig zu ändern. Auch direkte Vorgaben hinsichtlich der Komplexität sind nicht mehr enthalten. Mussten Passwörter erst möglichst kompliziert sein (Also Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen in einen Sack, schütteln und dann gucken, was herauskommt), so hält sich das BSI neuerdings damit einigermaßen zurück. Und deshalb fällt das Windows-Passwortalter auch nach und nach immer mehr aus der Mode.
So lang das aber noch in vielen Unternehmen von Bedeutung ist, so lang kann man ja auch schauen, wie alt das verwendete Passwort ist. In Zeiten von angeordnetem Home Office kann es eine gute Idee sein, möglichst wenige Überraschungen zu haben. Habe ich Recht?