Passwortanforderungen für Nutzer erzwingen und im Blick behalten

Als Administrator können Sie Regeln für Passwörter festlegen und erzwingen, um die verwalteten Google-Konten der Nutzer zu schützen und die Complianceanforderungen Ihrer Organisation zu erfüllen. Außerdem haben Sie die Möglichkeit, die Passwortstärke im Blick zu behalten, und sehen so, welche Nutzer ein schwaches Passwort verwenden.

Wichtig: Wenn Sie ein Legacy-SSO-Profil nutzen und es für Ihre Organisation aktiviert ist, gelten die Passwortrichtlinien nicht für Ihre Nutzer. Wenn Sie Passwortrichtlinien erzwingen und dafür sorgen möchten, dass Ihre Nutzer bestimmte Sicherheitsanforderungen erfüllen, müssen Sie Ihr Legacy-SSO-Profil deaktivieren und zu SSO-Profilen migrieren. Weitere Informationen

Nutzerkonten schützen

Starkes Passwort fordern: Sie können erzwingen, dass Nutzer schwache Passwörter ändern. Die Anzahl der erforderlichen Zeichen pro Passwort lässt sich ebenfalls festlegen.
Verhindern, dass Nutzer alte Passwörter wiederverwenden
Bedeutung starker Passwörter erläutern: Unterstützen Sie Nutzer mit diesen Tipps dabei, starke Passwörter zu erstellen.

Hinweise

Alle maximieren | Alle minimieren

Wann Passwortrichtlinien nicht gelten

Google kann Anforderungen für die Passwortstärke und ‐länge nicht für Passwörter erzwingen, die mit einer Hash-Methode festgelegt wurden, z. B. Passwörter, die mit dem Tool für Bulk-Uploads von Nutzern, der Directory API oder Synchronisierungstools wie Password Sync oder Google Cloud Directory Sync erstellt wurden. Weitere Informationen finden Sie auf der Seite zum Google Workspace Admin SDK und im Hilfeartikel zu Password Sync.
Die Anforderungen an die Stärke und Länge von Passwörtern gelten nicht für Nutzerpasswörter, die Sie manuell zurücksetzen. Wenn Sie ein Passwort manuell zurücksetzen, sollten Sie das Kästchen Nutzer auffordern, bei der nächsten Anmeldung das Passwort zu ändern markieren.
Passwortrichtlinien, die Sie konfigurieren, gelten nicht für Nutzer, die sich über SAML oder OIDC bei einem externen Identitätsanbieter (IdP) authentifizieren.

Was macht ein Passwort stark?

Wenn Sie starke Passwörter erzwingen, unterstützt Sie der Algorithmus zur Einstufung der Passwortstärke von Google. Dadurch wird Folgendes sichergestellt:

Es ist besonders willkürlich. Das nennt man auch Passwortentropie und Sie erreichen sie, indem Sie lange Zeichenfolgen unterschiedlicher Art, also z. B. Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen verwenden.
Hinweis: Ein starkes Passwort hat keine bestimmte Anzahl von Zeichen einer Sorte.
Es ist kein häufig verwendetes schwaches Passwort wie „123456“ oder „Passwort123“.
Es ist nicht leicht zu erraten, besteht also nicht aus einem einfachen Wort oder Satz bzw. aus Mustern, in denen das Passwort dem Nutzernamen gleicht.
Es ist nicht als gefährdet bekannt, befindet sich also nicht in einer Datenbank manipulierter Konten.

Informationen zum Ablaufen von Passwörtern

Per Standardeinstellung laufen Passwörter nicht ab, da Untersuchungen gezeigt haben, dass die Sicherheit dadurch kaum verbessert wird. Sie können jedoch einen Passwortwechsel vorgeben, wenn es aus Compliancegründen erforderlich ist – z. B. nach 90 oder 180 Tagen.

Ablaufdaten für Passwörter gelten nur für die Anmeldung in browserbasierten Anwendungen. Sie werden nicht für Nutzer erzwungen, die dazu ausschließlich Smartphones verwenden oder über OAuth-authentifizierte Apps angemeldet sind.

Passwort-Benachrichtigungen

Wenn Sie eine Ablaufzeit festgelegt haben, sehen Nutzer 30 Tage vor dem Ablaufdatum des Passworts Pop-up-Benachrichtigungen in ihren Google-Diensten, erhalten jedoch keine E-Mail-Erinnerungen. Sie können ihr Passwort dann ändern oder die Benachrichtigung schließen. Wenn ein Nutzer das Passwort nicht ändert, wird sie wieder angezeigt, wenn er sich das nächste Mal in seinem Konto anmeldet. Wenn der Nutzer die Benachrichtiguung dreimal geschlossen hat, wird sie nicht wieder angezeigt. Wenn das Passwort dann aber abgelaufen ist, muss der Nutzer es bei der nächsten Anmeldung ändern.

Wenn Nutzer ihr Passwort ändern müssen

Wenn Sie erstmalig eine Richtlinie zum Ablauf von Passwörtern einrichten, werden einige Nutzer möglicherweise aufgefordert, ihre Passwörter sofort zu ändern, andere dagegen nicht. Beispiele:

Sie richten eine Richtlinie ein, bei der Passwörter nach 90 Tagen ablaufen. Wenn ein Nutzer sein Passwort zuletzt vor 100 Tagen geändert hat, läuft das Passwort dieses Nutzers ab, sobald Sie die Richtlinie eingerichtet haben. Er wird beim nächsten Anmeldeversuch in seinem Konto aufgefordert, das Passwort zu ändern.
Sie richten eine Richtlinie ein, bei der Passwörter nach 90 Tagen ablaufen. Wenn ein Nutzer sein Passwort zuletzt vor 30 Tagen geändert hat, ist es weiterhin gültig. Nach 60 Tagen wird er aufgefordert, das Passwort bei der nächsten Anmeldung zu ändern.

Anforderungen an Passwörter festlegen

Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.
Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.
Gehen Sie zu „Menü“ Sicherheit > Authentifizierung > Passwortverwaltung.
Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.
Wählen Sie links die Organisationseinheit aus, für die Sie die Passwortrichtlinien festlegen möchten.
Wenn die Richtlinien für alle Nutzer in der Organisation gelten sollen, ist das die oberste Organisationsebene. Wählen Sie andernfalls eine andere Organisation aus, um die Einstellungen für deren Nutzer festzulegen. Zu Beginn übernimmt jede Organisation die Einstellungen der übergeordneten Organisation.
Klicken Sie im Bereich Stärke auf das Kästchen Starkes Passwort erzwingen.
Weitere Informationen
Geben Sie im Abschnitt Länge eine Mindest- und Höchstlänge für die Passwörter Ihrer Nutzer ein. Ein Passwort kann zwischen 8 und 100 Zeichen lang sein.
Optional: Klicken Sie auf das Kästchen Passwortrichtlinien bei der nächsten Anmeldung erzwingen, wenn Sie dafür sorgen möchten, dass Nutzer ihr Passwort ändern.
Wenn Sie diese Option nicht auswählen, können Nutzer mit schwachen Passwörtern auf alle Google-Dienste der Organisation zugreifen, bis sie von allein beschließen, ihr Passwort zu ändern.
Optional: Wenn Sie Nutzern erlauben möchten, ihre alten Passwörter wiederzuverwenden, klicken Sie auf das Kästchen Erneute Verwendung von Passwörtern zulassen.
Allerdings können Sie nicht den Passwortverlauf festlegen, der von Google geprüft wird, um eine erneute Verwendung zu verhindern.
Wählen Sie im Bereich Ablaufdatum den Zeitraum aus, in dem Passwörter gelten.
Hinweis: Wenn einem Nutzerkonto ein delegierter Nutzer hinzugefügt wurde, kann dieser weiterhin auf das Konto zugreifen, auch wenn das Kontopasswort abgelaufen ist. Wenn Sie den weiteren Zugriff verhindern möchten, können Sie entweder das Kontopasswort zurücksetzen oder den delegierten Nutzer entfernen.
Klicken Sie auf Überschreiben, wenn sich Änderungen der übergeordneten Einstellung nicht auf diese Einstellung auswirken sollen.
Wenn der Status der Organisationseinheit bereits Überschrieben lautet, wählen Sie eine der folgenden Optionen aus:
- Übernehmen: Die übergeordnete Einstellung wird übernommen.
- Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.
Geben Sie Ihren Nutzern Tipps für eine starkes Passwort.

Passwortstärke der Nutzer im Blick behalten

Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.
Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.
Öffnen Sie das Dreistrich-Menü Berichterstellung > Berichte > Nutzerberichte > Konten.
Hierfür benötigen Sie die Administratorberechtigung „Berichte“.
Optional: Informationen zur Passwortstärke in grafischer Form finden Sie unter Berichte App-Berichte Konten. Weitere Informationen zu Kontoberichten

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?