Passwortanforderungen für Nutzer durchsetzen und beobachten

Als Administrator können Sie Regeln für Passwörter festlegen und durchsetzen, um die verwalteten Google-Konten der Nutzer zu schützen und die Complianceanforderungen Ihrer Organisation zu erfüllen. Außerdem haben Sie die Möglichkeit, die Passwortstärke im Blick zu behalten, und sehen so, welche Nutzer ein schwaches Passwort verwenden.

Nutzerkonten schützen

  • Starkes Passwort fordern: Sie können erzwingen, dass Nutzer schwache Passwörter ändern. Die Anzahl der erforderlichen Zeichen pro Passwort lässt sich ebenfalls festlegen. 
  • Verhindern, dass Nutzer alte Passwörter wiederverwenden
  • Bedeutung starker Passwörter erläutern: Unterstützen Sie Nutzer mit diesen Tipps dabei, starke Passwörter zu erstellen.

Hinweise

Alle maximieren  |  Alle minimieren

Wann Passwortrichtlinien nicht gelten
  • Google kann Anforderungen für die Passwortstärke und ‐länge nicht für Passwörter erzwingen, die mit einer Hash-Methode festgelegt wurden, z. B. Passwörter, die mit einem Tool für Bulk-Uploads von Nutzern, der Directory API oder Synchronisierungstools wie Password Sync oder Google Cloud Directory Sync erstellt wurden. Weitere Informationen finden Sie im Google Workspace Admin SDK oder im Hilfeartikel Password Sync.
  • Die Anforderungen an die Passwortstärke und -länge gelten nicht für Nutzerpasswörter, die Sie manuell zurücksetzen. Wenn Sie ein Passwort manuell zurücksetzen, müssen Sie das Kästchen Nutzer bitten, bei der Anmeldung das Passwort zu ändern aktivieren.
  • Passwortrichtlinien, die Sie konfigurieren, gelten nicht für Nutzer, die über SAML bei einem externen Identitätsanbieter (IdP) authentifiziert wurden.
Was macht ein Passwort stark?

Wenn Sie starke Passwörter erzwingen, unterstützt Sie der Algorithmus zur Einstufung der Passwortstärke von Google. Dadurch wird Folgendes sichergestellt:

  • Es ist besonders willkürlich. Das nennt man auch Passwortentropie und Sie erreichen sie, indem Sie lange Zeichenfolgen unterschiedlicher Art, also z. B. Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen verwenden.

    Hinweis: Ein starkes Passwort hat keine bestimmte Anzahl von Zeichen einer Sorte.

  • Es ist kein häufig verwendetes schwaches Passwort wie „123456“ oder „Passwort123“.
  • Es ist nicht leicht zu erraten, besteht also nicht aus einem einfachen Wort oder Satz bzw. aus Mustern, in denen das Passwort dem Nutzernamen gleicht.
  • Es ist nicht als gefährdet bekannt, befindet sich also nicht in einer Datenbank manipulierter Konten.
So funktioniert das Ablaufen von Passwörtern

Per Standardeinstellung laufen Passwörter nicht ab, da Untersuchungen gezeigt haben, dass die Sicherheit dadurch kaum verbessert wird. Sie können aber, wenn es aus Compliancegründen erforderlich ist, festlegen, dass Passwörter von Nutzern nach einer bestimmten Zeit, z. B. 90 oder 180 Tagen, ablaufen.

Das Ablaufen von Passwörtern wird nur bei browserbasierten Anmeldungen in Anwendungen erzwungen. Sie wird nicht für Nutzer erzwungen, die dazu ausschließlich Smartphones verwenden oder über OAuth-authentifizierte Apps angemeldet sind.

Passwort-Warnungen

Wenn Sie eine Ablaufzeit festgelegt haben, sehen Nutzer 30 Tage vor dem Ablaufdatum des Passworts Pop-up-Warnungen in ihren Google-Diensten, jedoch keine E-Mail-Erinnerungen. Sie können ihr Passwort dann ändern oder die Warnung schließen. Wenn ein Nutzer das Passwort nicht ändert, wird sie wieder angezeigt, wenn er sich das nächste Mal in seinem Konto anmeldet. Wenn der Nutzer die Warnung dreimal geschlossen hat, wird sie nicht wieder angezeigt. Wenn das Passwort dann aber abgelaufen ist, muss der Nutzer es bei der nächsten Anmeldung ändern.

Wenn Nutzer ihr Passwort ändern müssen

Wenn Sie erstmalig eine Richtlinie zum Ablauf von Passwörtern einrichten, werden einige Nutzer möglicherweise aufgefordert, ihre Passwörter sofort zu ändern, andere dagegen nicht. Beispiele:

  • Sie richten eine Richtlinie ein, bei der Passwörter nach 90 Tagen ablaufen. Wenn ein Nutzer sein Passwort zuletzt vor 100 Tagen geändert hat, läuft das Passwort dieses Nutzers ab, sobald Sie die Richtlinie eingerichtet haben. Er wird beim nächsten Anmeldeversuch in seinem Konto aufgefordert, das Passwort zu ändern. 
  • Sie richten eine Richtlinie ein, bei der Passwörter nach 90 Tagen ablaufen. Wenn ein Nutzer sein Passwort zuletzt vor 30 Tagen geändert hat, ist es weiterhin gültig. Nach 60 Tagen wird er aufgefordert, das Passwort bei der nächsten Anmeldung zu ändern.

Anforderungen an Passwörter festlegen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannPasswortverwaltung.
  3. Wählen Sie links die Organisationseinheit aus, für die Sie die Passwortrichtlinien festlegen möchten.

    Wenn die Richtlinien für alle Nutzer in der Organisation gelten sollen, ist das die oberste Organisationsebene. Wählen Sie andernfalls eine andere Organisation aus, um die Einstellungen für deren Nutzer festzulegen. Zu Beginn übernimmt jede Organisation die Einstellungen der übergeordneten Organisation.

  4. Klicken Sie im Bereich Stärke auf das Kästchen Starkes Passwort erzwingen.

    Weitere Informationen zu sicheren Passwörtern

  5. Geben Sie im Abschnitt Länge eine Mindest- und Höchstlänge für die Passwörter Ihrer Nutzer ein. Ein Passwort kann zwischen 8 und 100 Zeichen lang sein.

  6. Optional: Klicken Sie auf das Kästchen Passwortrichtlinien bei der nächsten Anmeldung erzwingen, wenn Sie dafür sorgen möchten, dass Nutzer ihr Passwort ändern.

    Wenn Sie diese Option nicht auswählen, können Nutzer mit schwachen Passwörtern auf alle Google-Dienste der Organisation zugreifen, bis sie von allein beschließen, ihr Passwort zu ändern.

  7. Optional: Wenn Sie Nutzern erlauben möchten, ihre alten Passwörter wiederzuverwenden, klicken Sie auf das Kästchen Erneute Verwendung von Passwörtern zulassen.

    Allerdings können Sie nicht den Passwortverlauf festlegen, der von Google geprüft wird, um eine erneute Verwendung zu verhindern.

  8. Wählen Sie im Bereich Ablauf den Zeitraum aus, nach dem Passwörter ablaufen.

    Hinweis: Wenn einem Nutzerkonto ein delegierter Nutzer hinzugefügt wurde, kann dieser weiterhin auf das Konto zugreifen, auch wenn das Passwort des Kontos abgelaufen ist. Wenn Sie den weiteren Zugriff verhindern möchten, können Sie entweder das Kontopasswort zurücksetzen oder den delegierten Nutzer entfernen.

  9. Klicken Sie auf Überschreiben, wenn sich Änderungen der übergeordneten Einstellung nicht auf diese Einstellung auswirken sollen.
  10. Wenn der Status der Organisationseinheit bereits Überschrieben lautet, wählen Sie eine der folgenden Optionen aus:
    • Übernehmen: Die übergeordnete Einstellung wird übernommen.
    • Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.
  11. Geben Sie Ihren Nutzern Tipps für eine starkes Passwort.

Passwortstärke der Nutzer im Blick behalten

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann  Berichterstellung und dann Berichte und dann Nutzerberichte und dann Konten.
  3. Optional: Informationen zur Passwortstärke in grafischer Form finden Sie unter Berichte und dann App-Berichte und dann Konten. Weitere Informationen zu Kontoberichten

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Hauptmenü
3633397425500222011
true
Suchen in der Hilfe
true
true
true
false
false