Leicht zu erratende Passwörter wie „123456“, „Passwort“ oder „geheim“ sollen bald nicht mehr möglich sein – zumindestens nicht beim Microsoft-Account oder bei den Cloud-Diensten des Redmonder Konzerns.
Microsofts Sicherheitsteam vom Cloud-Dienst Azure und dem allgemeinen Account-Dienst nannte einige bisher empfohlene Praktiken wie zum Beispiel regelmäßige Passwortwechsel in einem Blogpost jetzt unsicher und überholt.
Die Passwort-Blacklist schlägt zu
Wer ein Passwort von der schwarzen Liste nutzen möchte, sieht nach der Eingabe den Hinweis: „Suchen Sie nach einem Passwort, das für Menschen schwieriger zu erraten ist“.
Dieser Hinweis ist allerdings selbst etwas merkwürdig, denn es geht dabei doch um erfolgreiche Hacker-Angriffe mit Wörterbüchern und Rainbow-Tables – und eigentlich nicht darum, dass Hacker den Namen des Hundes oder der Freundin erraten könnten.
Bösartige Login-Versuche erkennen
Darüber hinaus will Microsoft jetzt auch bösartige Login-Versuche erkennen. Zu diesem Zweck wird für jeden Login-Versuch ein spezieller Risikowert (Rating) ermittelt.
Erkennt der Torwächter dann eine ungewöhnliche IP-Region oder ungewöhnliche Hardware, kann der Login gesperrt werden, wenn das Programm feststellt, daß Passwörter von dort aus mit dem Trial-and-Error-Verfahren durchprobiert werden.