Passwortanforderungen für Nutzer erzwingen und im Blick behalten

Diese Seite richtet sich an Admins, die Konten für andere Nutzerinnen und Nutzer in einer Organisation verwalten. Wenn Sie das Passwort für Ihr eigenes Konto zurücksetzen möchten, lesen Sie hier weiter.

Als Admin können Sie Regeln für Passwörter festlegen und erzwingen, um die verwalteten Google-Konten Ihrer Nutzerinnen und Nutzer zu schützen und die Compliance-Anforderungen Ihrer Organisation zu erfüllen. Außerdem haben Sie die Möglichkeit, die Passwortstärke im Blick zu behalten, und sehen so, welche Personen ein schwaches Passwort verwenden.

Wenn Sie SSO verwenden…

Wenn Sie die Einmalanmeldung (SSO) für Ihre Nutzerkonten verwenden, sollten Sie Folgendes tun:

  1. Deaktivieren Sie die Erzwingung von Passwörtern.
  2. Stellen Sie die Nutzerkonten so ein, dass das Passwort nicht beim nächsten Login geändert werden muss.

Es gibt ein bekanntes Problem, bei dem Passwortrichtlinien für Personen erzwungen werden, die sich mit einem externen Identitätsanbieter und SSO-Profilen authentifizieren. Deaktivieren Sie die Erzwingung von Passwörtern, um dieses Problem zu vermeiden. Wenn Ihre Nutzerinnen und Nutzer einmalig aufgefordert werden, ihr Google-Passwort zurückzusetzen, hat dies keine Auswirkungen auf die Verwendung von SSO, die Art der Anmeldung oder das für SSO verwendete Passwort.

Nutzerkonten schützen

  • Starkes Passwort fordern: Sie können erzwingen, dass Nutzerinnen und Nutzer ihre schwachen Passwörter ändern. Die Anzahl der Zeichen pro Passwort lässt sich ebenfalls festlegen.
  • Verhindern, dass Nutzer*innen alte Passwörter wiederverwenden
  • Bedeutung starker Passwörter erläutern: Unterstützen Sie Ihre Nutzerinnen und Nutzer mit diesen Tipps dabei, starke Passwörter zu erstellen.

Wichtige Informationen vorab

Wann Passwortrichtlinien nicht gelten

  • Google kann Anforderungen für die Passwortstärke und ‐länge nicht für Passwörter erzwingen, die mit einer Hash-Methode festgelegt wurden, z. B. Passwörter, die mit dem Tool für Bulk-Uploads von Nutzer*innen, der Directory API oder Synchronisierungstools wie Password Sync oder Google Cloud Directory Sync erstellt wurden. Weitere Informationen finden Sie im Google Workspace Admin SDK oder im Hilfeartikel zu Password Sync.
  • Die Anforderungen an die Stärke und Länge von Passwörtern gelten nicht für Nutzerpasswörter, die Sie manuell zurücksetzen. Wenn Sie ein Passwort manuell zurücksetzen, sollten Sie das Kästchen Nutzer auffordern, bei der Anmeldung das Passwort zu ändern markieren.
  • Passwortrichtlinien, die Sie konfigurieren, gelten nicht für Personen, die sich über OIDC bei einem externen Identitätsanbieter authentifizieren.

Hinweis: Derzeit werden Passwortrichtlinien erzwungen, wenn Sie einen SAML-Identitätsanbieter verwenden. Weitere Informationen finden Sie weiter oben auf dieser Seite unter Wenn Sie SSO verwenden.

Was ein starkes Passwort ausmacht

Wenn Sie starke Passwörter erzwingen, verwendet Google einen Algorithmus zur Einstufung der Passwortstärke, mit dem Folgendes sichergestellt werden soll:

  • Es ist besonders willkürlich. Das Maß hierfür wird Passwort-Entropie genannt. Einen guten Wert erreichen Sie, indem Sie lange Zeichenfolgen unterschiedlicher Art, also z. B. Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen verwenden.

    Hinweis: Ein starkes Passwort muss keine festgelegte Anzahl von Zeichen einer bestimmten Art enthalten.

  • Es ist kein häufig verwendetes schwaches Passwort wie „123456“ oder „Passwort123“.
  • Es ist nicht leicht zu erraten, besteht also nicht aus einem einfachen Wort oder Satz bzw. aus Mustern, in denen das Passwort dem Nutzernamen gleicht.
  • Es ist nicht als gefährdet bekannt, befindet sich also nicht in einer Datenbank manipulierter Konten.

So funktioniert das Ablaufen von Passwörtern

Per Standardeinstellung laufen Passwörter nicht ab, da Untersuchungen gezeigt haben, dass die Sicherheit dadurch kaum verbessert wird. Sie können jedoch eine Passwortänderung vorgeben, wenn es aus Compliancegründen erforderlich ist, z. B. nach 90 oder 180 Tagen.

Ablaufdaten für Passwörter gelten nur für die Anmeldung in browserbasierten Anwendungen. Sie werden nicht für Nutzerinnen und Nutzer erzwungen, die dazu ausschließlich Smartphones verwenden oder über OAuth-authentifizierte Apps angemeldet sind.

Passwort-Warnungen

Wenn Sie eine Ablaufzeit festgelegt haben, sehen Nutzer 30 Tage vor dem Ablaufdatum des Passworts Pop-up-Benachrichtigungen in ihren Google-Diensten wie Gmail und Kalender, erhalten jedoch keine E-Mail-Erinnerungen. Nutzerinnen und Nutzer können ihr Passwort dann ändern oder die Benachrichtigung schließen. Wenn ein*e Nutzer*in das Passwort nicht ändert, wird die Benachrichtigung bei der nächsten Kontoanmeldung wiederholt. Wenn die Nutzerin oder der Nutzer die Benachrichtigung dreimal geschlossen hat, wird sie nicht wieder angezeigt. Nachdem das Passwort abgelaufen ist, muss die Nutzerin oder der Nutzer es jedoch bei der nächsten Anmeldung ändern.

Wann Nutzer*innen ihr Passwort ändern müssen

Wenn Sie erstmalig eine Richtlinie zum Ablauf von Passwörtern einrichten, werden einige Nutzer*innen möglicherweise aufgefordert, ihre Passwörter sofort zu ändern, während andere noch etwas Zeit haben. Beispiel:

  • Sie legen eine Richtlinie fest, bei der Passwörter nach 90 Tagen ablaufen. Wenn ein*e Nutzer*in sein*ihr Passwort zuletzt vor 100 Tagen geändert hat, läuft das Nutzerpasswort ab, sobald Sie die Richtlinie festlegen. Die Nutzerin oder der Nutzer wird beim nächsten Anmeldeversuch in ihrem oder seinem Konto aufgefordert, das Passwort zu ändern.
  • Sie legen eine Richtlinie fest, bei der Passwörter nach 90 Tagen ablaufen. Wenn ein*e Nutzer*in sein*ihr Passwort zuletzt vor 30 Tagen geändert hat, ist es weiterhin gültig. Nach 60 Tagen wird dazu aufgefordert, das Passwort bei der nächsten Anmeldung zu ändern.

Anforderungen an Passwörter festlegen

Vorbereitung: Lesen Sie die Informationen unter Wenn Sie SSO verwenden weiter oben auf dieser Seite.

  1. Öffnen Sie in der Admin-Konsole das Dreistrichmenü  und dann Sicherheit und dann Authentifizierung und dann Passwortverwaltung.

    Hierfür ist die Administratorberechtigung Sicherheitseinstellungen erforderlich.

  2. Wählen Sie links die Organisationseinheit aus, für die Sie die Passwortrichtlinien festlegen möchten.

    Wenn die Einstellungen für alle Nutzerinnen und Nutzer in der Organisation gelten sollen, ist das die oberste Organisationsebene. Wählen Sie anderenfalls eine andere Organisation aus, um die Einstellungen für deren Nutzerinnen und Nutzer festzulegen. Zu Beginn übernimmt jede Organisation die Einstellungen der übergeordneten Organisation.

  3. Klicken Sie im Bereich Stärke auf das Kästchen Starkes Passwort erzwingen.

    Weitere Informationen

  4. Geben Sie im Abschnitt Länge eine Mindest- und Höchstlänge für die Passwörter Ihrer Nutzerinnen und Nutzer ein. Ein Passwort kann zwischen 8 und 100 Zeichen lang sein.

  5. Optional: Klicken Sie auf das Kästchen Passwortrichtlinien bei der nächsten Anmeldung erzwingen, wenn Sie dafür sorgen möchten, dass Passwörter geändert werden.

    Wenn Sie diese Option nicht auswählen, können Personen mit schwachen Passwörtern auf alle Google-Dienste der Organisation zugreifen, bis sie von allein beschließen, ihr Passwort zu ändern.

  6. Optional: Wenn Sie Ihren Nutzerinnen und Nutzern erlauben möchten, ihre alten Passwörter wiederzuverwenden, klicken Sie auf das Kästchen Erneute Verwendung von Passwörtern zulassen.

    Allerdings können Sie nicht den Passwortverlauf festlegen, der von Google geprüft wird, um eine erneute Verwendung zu verhindern.

  7. Wählen Sie im Bereich Ablaufdatum den Zeitraum aus, in dem Passwörter gelten.

    Hinweis: Wenn einem Nutzerkonto eine delegierte Nutzerin bzw. ein delegierter Nutzer hinzugefügt wurde, kann diese bzw. dieser weiterhin auf das Konto zugreifen, auch wenn das Kontopasswort abgelaufen ist. Wenn Sie den weiteren Zugriff verhindern möchten, können Sie entweder das Kontopasswort zurücksetzen oder die delegierte Nutzerin bzw. den delegierten Nutzer entfernen.

  8. Klicken Sie auf Überschreiben, wenn sich Änderungen der übergeordneten Einstellung nicht auf diese Einstellung auswirken sollen.

  9. Wenn der Status der Organisationseinheit bereits Überschrieben lautet, wählen Sie eine der folgenden Optionen aus:

    • Übernehmen: Die übergeordnete Einstellung wird übernommen.
    • Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.

  10. Geben Sie Ihren Nutzerinnen und Nutzern Tipps für ein starkes Passwort.

Stärke der Nutzerpasswörter im Blick behalten

  1. Öffnen Sie in der Admin-Konsole das Dreistrichmenü  und dann  Berichterstellung und dann Nutzerberichte und dann Konten.

    Hierfür benötigen Sie die Administratorberechtigung „Berichte“. Weitere Informationen

  2. Optional: Informationen zur Passwortstärke in grafischer Form finden Sie unter Berichte und dann App-Berichte und dann Konten. Weitere Informationen zu Kontoberichten