Warum Komplexitätsanforderungen scheitern

Herkömmliche Komplexitätsanforderungen (Großbuchstabe, Zahl, Sonderzeichen) erzeugen vorhersehbare Muster statt starker Passwörter. Nutzer erfüllen die Anforderung mit minimalem Aufwand: Passwort1! erfüllt jede Komplexitätsregel und steht auf jeder großen Credential-Stuffing-Liste. Microsofts eigene Untersuchungen über Milliarden von Konten zeigen: Komplexitätsregeln korrelieren schwach mit tatsächlicher Passwortsicherheit und stark mit Nutzerfrustration, die zu Passwort-Wiederverwendung führt.

Microsofts empfohlene Alternative ist eine längenorientierte Richtlinie (14+ Zeichen, keine Pflicht-Zeichenklassen) kombiniert mit einer globalen Sperrliste bekannter Passwörter und unternehmenseigener Sperrbegriffe — genau das, was Entra Password Protection umsetzt.

Zwei Ebenen: Globale und benutzerdefinierte Sperrlisten

Globale Sperrliste: Microsoft pflegt eine kontinuierlich aktualisierte Liste von Passwörtern, die in Datenleck-Datenbanken und Credential-Stuffing-Angriffen bekannt sind. Diese Liste wird automatisch auf alle Entra-ID-Mandanten angewendet — ohne zusätzliche Lizenzkosten. Nutzer können keine Variante dieser Passwörter setzen. Der Abgleich verwendet einen Fuzzy-Matching-Algorithmus, sodass Varianten wie P@ssw0rd oder Pa55word ebenfalls blockiert werden.

Benutzerdefinierte Sperrliste: Ihr Unternehmen hat wahrscheinlich vorhersehbare Begriffe, die Angreifer gezielt testen würden. Firmenname, Stadt, branchenspezifische Begriffe und Produktnamen gehören auf Ihre Sperrliste. Eine Berliner Steuerkanzlei sollte hinzufügen: Berlin, Steuerberater, GmbH, den Kanzleinamen und bekannte interne Projektbezeichnungen. Konfigurieren Sie die benutzerdefinierte Liste unter Entra ID → Sicherheit → Authentifizierungsmethoden → Kennwortschutz.

Hybrid-Deployment: On-Premises Active Directory schützen

Cloud-only-Entra-ID-Mandanten erhalten den Kennwortschutz automatisch. Das komplexere Szenario — und das häufigere bei Berliner KMU mit lokaler Windows-Server-Infrastruktur — ist hybrid: Active Directory on-premises, synchronisiert mit Entra ID über Entra Connect.

In dieser Konfiguration umgehen Kennwortänderungen, die on-premises stattfinden (an einer Windows-Workstation), Entra ID vollständig. Ohne den Hybrid-Agenten akzeptiert Ihr lokales AD Passwort1!, obwohl Entra es blockieren würde. Die Lösung ist der Entra Password Protection Proxy Agent und DC Agent:

Der DC-Agent erzwingt die Richtlinie auch bei Offline-Proxy — er verwendet die zuletzt heruntergeladene Richtlinie, die alle 24 Stunden aktualisiert wird. Das Deployment erfordert einen DC-Neustart pro Domänencontroller — planen Sie das in einem Wartungsfenster.

Smart Lockout konfigurieren

Smart Lockout ist in Entra ID Free enthalten und schützt vor Brute-Force-Angriffen, indem Konten nach wiederholten fehlgeschlagenen Anmeldeversuchen gesperrt werden. Die Cloud-Intelligenz unterscheidet Angreifer von legitimen Nutzern, die ihr Passwort vergessen haben. Die Standardeinstellungen (10 fehlgeschlagene Versuche, 60 Sekunden Sperrzeit) sind für die meisten KMU angemessen. Für risikoreichere Umgebungen empfehlen wir eine Reduktion auf 5–7 Versuche.

Wichtig in Hybrid-Umgebungen: Smart Lockout und lokale AD-Kontosperrrichtlinien arbeiten unabhängig voneinander. Nicht aufeinander abgestimmte Einstellungen können dazu führen, dass das lokale Konto gesperrt wird, bevor Entra eingreift — das verursacht verwirrende Support-Tickets.

Kombination mit passwortloser Authentifizierung

Kennwortschutz reduziert die Angriffsoberfläche passwortbasierter Authentifizierung, beseitigt sie aber nicht. Der logische nächste Schritt ist die passwortlose Authentifizierung via Windows Hello for Business, FIDO2-Sicherheitsschlüssel oder die Microsoft-Authenticator-App. Kennwortschutz dient dann als Absicherung für Legacy-Anwendungen und Konten, die noch nicht auf passwortlose Methoden migriert werden konnten.