Microsoft schreibt aus Sicherheitsgründen für sämtliche Microsoft-Konten eine Mindestlänge für Passwörter vor. Um auch alle lokalen Konten besser zu schützen, kann man in Windows 10 eine solche Mindestlänge für jedes Benutzerkonto festlegen. Im Folgenden erklären wir, wie das funktioniert.
Wenn man in Windows 10 ein neues lokales Benutzerkonto anlegt, ist standardmäßig kein Passwort erforderlich. Um jedoch eine Mindestlänge für Passwörter für alle Konten zu erzwingen, gibt es verschiedene Methoden, um die Sicherheit des Computers zu erhöhen.
Festlegen einer minimalen Passwortlänge über die Kommandozeile (für Privatanwender)
Zunächst muss man eine Eingabeaufforderung mit erhöhten Rechten starten. Alternativ kann auch PowerShell verwendet werden. Der folgende Befehl funktioniert in beiden Programmen auf die gleiche Weise. Bei Verwendung von PowerShell ist jedoch sicherzustellen, dass man auf „Als Administrator ausführen“ klickt.
Dazu klickt man auf die Startschaltfläche, tippt „cmd“ in das Suchfeld ein, klickt mit der rechten Maustaste auf das Ergebnis „Eingabeaufforderung“ und wählt dann „Als Administrator ausführen“ aus.
An der Eingabeaufforderung gibt man folgenden Befehl ein (wobei „PassLength“ durch die gewünschte Mindestpasswortlänge ersetzt wird):
net accounts /minpwlen:PassLength
Nach Betätigen der Eingabetaste wird eine Meldung angezeigt, die den erfolgreichen Abschluss des Befehls bestätigt.
Hinweis: Technisch gesehen ist eine Länge von 1 bis 20 Zeichen möglich, jedoch sollte man eine Länge wählen, die ausreichend Sicherheit bietet und sich die Benutzer trotzdem gut merken können.
Um die erfolgreiche Anwendung zu überprüfen, gibt man folgenden Befehl ein und bestätigt mit der Eingabetaste:
net accounts
Um die Mindestpasswortlänge wieder zu entfernen, verwendet man folgenden Befehl, der keine Passwortpflicht für lokale Konten mehr erzwingt:
net accounts /minpwlen:0
Zur weiteren Erhöhung der Sicherheit kann auch eine maximale Passwortgültigkeitsdauer festgelegt werden, die Benutzer zwingt, nach einer bestimmten Zeit ein neues Passwort zu erstellen.
Festlegen einer minimalen Passwortlänge über die Gruppenrichtlinie (für Pro- und Enterprise-Nutzer)
Für diejenigen, die die Eingabeaufforderung meiden und lieber eine grafische Oberfläche nutzen, bietet der Editor für lokale Gruppenrichtlinien in Windows 10 Pro und Enterprise eine Alternative. Dieses leistungsfähige Werkzeug sollte man kennenlernen, falls man es noch nicht benutzt hat.
In Firmennetzwerken ist es ratsam, sich zuerst an den zuständigen Administrator zu wenden. Wenn der Arbeitscomputer Teil einer Domäne ist, wird die lokale Gruppenrichtlinie in der Regel durch eine Domänengruppenrichtlinie ersetzt.
Vor Änderungen sollte zudem ein Systemwiederherstellungspunkt erstellt werden. Windows erstellt diesen möglicherweise automatisch beim Installieren des Jubiläums-Updates. Eine manuelle Erstellung ist jedoch ratsam, um bei Problemen jederzeit einen Rollback durchführen zu können.
Um den Gruppenrichtlinieneditor zu starten, drückt man Windows+R, gibt „gpedit.msc“ in das Feld ein und betätigt die Eingabetaste.
Im Editor navigiert man zu „Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie“.
Dort sucht man nach der Einstellung „Mindestkennwortlänge“ und doppelklickt darauf.
Im sich öffnenden Eigenschaftenfenster gibt man die gewünschte minimale Passwortlänge ein und klickt abschließend auf „OK“.
Als zusätzliche Sicherheitsmaßnahme können auch die Kennwortkomplexitätsanforderungen aktiviert werden. Diese zwingen Benutzer, Kennwörter zu erstellen, die bestimmten Kriterien entsprechen müssen. Windows erzwingt diese Anforderungen bei der nächsten Passwortänderung oder -erstellung.
Bei aktivierter Komplexitätsanforderung müssen Passwörter folgende Kriterien erfüllen:
- Sie dürfen nicht den Kontonamen des Benutzers oder Teile des vollständigen Namens enthalten, die zwei aufeinanderfolgende Zeichen überschreiten.
- Sie müssen mindestens sechs Zeichen lang sein.
- Sie müssen Zeichen aus mindestens drei der folgenden vier Kategorien enthalten:
- Englische Großbuchstaben (A bis Z).
- Englische Kleinbuchstaben (a bis z).
- Ziffern (0 bis 9).
- Nicht-alphanumerische Zeichen (z. B. !, $, #, %).
Durch Doppelklicken auf „Kennwort muss Komplexitätsanforderungen erfüllen“ öffnet man das Eigenschaftenfenster.
Im geöffneten Eigenschaftenfenster klickt man auf das Optionsfeld neben „Aktiviert“ und anschließend auf „OK“.
Das ist alles. Der Gruppenrichtlinien-Editor kann nun geschlossen werden. Die vorgenommenen Änderungen werden sofort wirksam und erfordern keinen Neustart des Geräts.