Passwortanforderungen für Nutzer erzwingen und im Blick behalten

Diese Seite richtet sich an Administratoren, die Konten für andere Nutzer in einer Organisation verwalten. Wenn Sie das Passwort für Ihr eigenes Konto zurücksetzen möchten, lesen Sie stattdessen hier weiter.

Als Administrator können Sie Regeln für Passwörter festlegen und erzwingen, um die verwalteten Google-Konten Ihrer Nutzer zu schützen und die Complianceanforderungen Ihrer Organisation zu erfüllen. Außerdem haben Sie die Möglichkeit, die Passwortstärke im Blick zu behalten, und sehen so, welche Nutzer ein schwaches Passwort verwenden.

Wichtig: Wenn Sie ein Legacy-SSO-Profil nutzen und es für Ihre Organisation aktiviert ist, gelten die Passwortrichtlinien nicht für Ihre Nutzer. Wenn Sie Passwortrichtlinien erzwingen und dafür sorgen möchten, dass Ihre Nutzer bestimmte Sicherheitsanforderungen erfüllen, müssen Sie Ihr Legacy-SSO-Profil deaktivieren und zu SSO-Profilen migrieren. Weitere Informationen

Nutzerkonten schützen

  • Starkes Passwort fordern: Sie können erzwingen, dass Nutzer ihre schwachen Passwörter ändern. Die Anzahl der Zeichen pro Passwort lässt sich ebenfalls festlegen.
  • Verhindern Sie, dass Nutzer alte Passwörter wiederverwenden.
  • Bedeutung starker Passwörter erläutern: Unterstützen Sie Nutzer mit diesen Tipps dabei, starke Passwörter zu erstellen.

Hinweis

Wann Passwortrichtlinien nicht gelten

  • Google kann Anforderungen für die Passwortstärke und ‐länge nicht für Passwörter erzwingen, die mit einer Hash-Methode festgelegt wurden, z. B. Passwörter, die mit dem Tool für Bulk-Uploads von Nutzern, der Directory API oder Synchronisierungstools wie Password Sync oder Google Cloud Directory Sync erstellt wurden. Weitere Informationen finden Sie im Google Workspace Admin SDK oder im Hilfeartikel zu Password Sync.
  • Die Anforderungen an die Stärke und Länge von Passwörtern gelten nicht für Nutzerpasswörter, die Sie manuell zurücksetzen. Wenn Sie ein Passwort manuell zurücksetzen, sollten Sie das Kästchen Nutzer auffordern, bei der Anmeldung das Passwort zu ändern markieren.
  • Passwortrichtlinien, die Sie konfigurieren, gelten nicht für Nutzer, die sich über SAML oder OIDC bei einem externen Identitätsanbieter (IdP) authentifizieren.

Was ein starkes Passwort ausmacht

Wenn Sie starke Passwörter erzwingen, verwendet Google einen Algorithmus zur Einstufung der Passwortstärke, mit dem Folgendes sichergestellt werden soll:

  • Es ist besonders willkürlich. Das Maß hierfür wird Passwortentropie genannt. Einen guten Wert erreichen sie, indem Sie lange Zeichenfolgen unterschiedlicher Art, also z. B. Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen verwenden.

    Hinweis: Ein starkes Passwort muss keine festgelegte Anzahl von Zeichen einer bestimmten Art enthalten.

  • Es ist kein häufig verwendetes schwaches Passwort wie „123456“ oder „Passwort123“.
  • Es ist nicht leicht zu erraten, besteht also nicht aus einem einfachen Wort oder Satz bzw. aus Mustern, in denen das Passwort dem Nutzernamen gleicht.
  • Es ist nicht als gefährdet bekannt, befindet sich also nicht in einer Datenbank manipulierter Konten.

So funktioniert das Ablaufen von Passwörtern

Per Standardeinstellung laufen Passwörter nicht ab, da Untersuchungen gezeigt haben, dass die Sicherheit dadurch kaum verbessert wird. Sie können jedoch eine Passwortänderung vorgeben, wenn es aus Compliancegründen erforderlich ist – z. B. nach 90 oder 180 Tagen.

Ablaufdaten für Passwörter gelten nur für die Anmeldung in browserbasierten Anwendungen. Sie werden nicht für Nutzer erzwungen, die dazu ausschließlich Smartphones verwenden oder über OAuth-authentifizierte Apps angemeldet sind.

Passwort-Warnungen

Wenn Sie eine Ablaufzeit festgelegt haben, sehen Nutzer 30 Tage vor dem Ablaufdatum des Passworts Pop-up-Benachrichtigungen in ihren Google-Diensten wie Gmail und Kalender, erhalten jedoch keine E-Mail-Erinnerungen. Nutzer können ihr Passwort dann ändern oder die Benachrichtigung schließen. Wenn ein Nutzer das Passwort nicht ändert, wird er wieder dazu benachrichtigt, wenn er sich das nächste Mal in seinem Konto anmeldet. Wenn der Nutzer die Benachrichtigung dreimal geschlossen hat, wird sie nicht wieder angezeigt. Nachdem das Passwort abgelaufen ist, muss der Nutzer es jedoch bei der nächsten Anmeldung ändern.

Wann Nutzer ihr Passwort ändern müssen

Wenn Sie erstmalig eine Richtlinie zum Ablauf von Passwörtern einrichten, werden einige Nutzer möglicherweise aufgefordert, ihre Passwörter sofort zu ändern, während andere noch etwas Zeit haben. Beispiel:

  • Sie legen eine Richtlinie fest, bei der Passwörter nach 90 Tagen ablaufen. Wenn ein Nutzer sein Passwort zuletzt vor 100 Tagen geändert hat, läuft das Passwort dieses Nutzers ab, sobald Sie die Richtlinie festlegen. Er wird beim nächsten Anmeldeversuch in seinem Konto aufgefordert, das Passwort zu ändern.
  • Sie legen eine Richtlinie fest, bei der Passwörter nach 90 Tagen ablaufen. Wenn ein Nutzer sein Passwort zuletzt vor 30 Tagen geändert hat, ist es weiterhin gültig. Nach 60 Tagen wird er aufgefordert, das Passwort bei der nächsten Anmeldung zu ändern.

Anforderungen an Passwörter festlegen

  1. Gehen Sie in der Admin-Konsole zu „Menü“  und dann Sicherheit und dannAuthentifizierung und dannPasswortverwaltung.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Wählen Sie links die Organisationseinheit aus, für die Sie die Passwortrichtlinien festlegen möchten.

    Wenn die Richtlinien für alle Nutzer in der Organisation gelten sollen, ist das die oberste Organisationsebene. Wählen Sie andernfalls eine andere Organisation aus, um die Einstellungen für deren Nutzer festzulegen. Zu Beginn übernimmt jede Organisation die Einstellungen der übergeordneten Organisation.

  3. Klicken Sie im Bereich Stärke auf das Kästchen Starkes Passwort erzwingen.

    Weitere Informationen

  4. Geben Sie im Abschnitt Länge eine Mindest- und Höchstlänge für die Passwörter Ihrer Nutzer ein. Ein Passwort kann zwischen 8 und 100 Zeichen lang sein.

  5. Optional: Klicken Sie auf das Kästchen Passwortrichtlinien bei der nächsten Anmeldung erzwingen, wenn Sie dafür sorgen möchten, dass Nutzer ihr Passwort ändern.

    Wenn Sie diese Option nicht auswählen, können Nutzer mit schwachen Passwörtern auf alle Google-Dienste der Organisation zugreifen, bis sie von allein beschließen, ihr Passwort zu ändern.

  6. Optional: Wenn Sie Nutzern erlauben möchten, ihre alten Passwörter wiederzuverwenden, klicken Sie auf das Kästchen Erneute Verwendung von Passwörtern zulassen.

    Allerdings können Sie nicht den Passwortverlauf festlegen, der von Google geprüft wird, um eine erneute Verwendung zu verhindern.

  7. Wählen Sie im Bereich Ablaufdatum den Zeitraum aus, in dem Passwörter gelten.

    Hinweis: Wenn einem Nutzerkonto ein delegierter Nutzer hinzugefügt wurde, kann dieser weiterhin auf das Konto zugreifen, auch wenn das Kontopasswort abgelaufen ist. Wenn Sie den weiteren Zugriff verhindern möchten, können Sie entweder das Kontopasswort zurücksetzen oder den delegierten Nutzer entfernen.

  8. Klicken Sie auf Überschreiben, wenn sich Änderungen der übergeordneten Einstellung nicht auf diese Einstellung auswirken sollen.

  9. Wenn der Status der Organisationseinheit bereits Überschrieben lautet, wählen Sie eine der folgenden Optionen aus:

    • Übernehmen: Die übergeordnete Einstellung wird übernommen.
    • Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.

  10. Geben Sie Ihren Nutzern Tipps für ein starkes Passwort.

Passwortstärke der Nutzer im Blick behalten

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Berichterstellung und dannNutzerberichte und dannKonten.

    Hierfür benötigen Sie die Administratorberechtigung „Berichte“. Weitere Informationen

  2. Optional: Informationen zur Passwortstärke in grafischer Form finden Sie unter Berichte und dannApp-Berichte und dannKonten. Weitere Informationen zu Kontoberichten