Als bei unseren Kunden Probleme mit der Passwortlänge auftraten, konnte ich es kaum glauben: Angeblich gab es Probleme, weil die Passwörter unserer Funktionsbenutzer am SQL Server zu lang waren. Dazu muss man wissen, dass der SQL Server die am Server eingestellten Windows-Passwort-Policies berücksichtigt.
Tatsächlich findet eigentlich auch Microsoft, dass lange Passwörter besser sind als kurze. Dennoch hat Microsoft dokumentiert, dass die Installation des "Office 365 Integration Module (OIM)" die am Server eingestellten Passwort-Policies ungefragt verändert. Anschließend dürfen Passwörter maximal 16 Zeichen lang sein. Daher gab es bei unseren Kunden Probleme, weil für unsere Anwendungen vor Ort grundsätzlich längere Passwörter generiert werden. Längere Passwörter verstoßen aber gegen die durch Office 365 erzwungenen vereinfachten Passwort-Regeln. Microsoft drückt es im Artikel "What should I know about password policies?" so aus:
Note
If you install the Office 365 Integration Module (OIM), the OIM configuration wizard enforces the Strong password policy, and updates the policy to include the following requirements:* Passwords must contain 8–16 characters.
* Passwords cannot contain a space or the Office 365 email name.
Das klingt nicht weiter spektakulär. Man muss schon verstehen, was gemeint ist:
- Die besonders erwähnte "strong password policy" ist ohnehin schon Default. Das steht jedenfalls im gleichen Dokument. Das könnte man also als Nebelkerze betrachten.
- Mit "8-16 characters" ist gemeint: mindestens 8, aber höchstens 16 Zeichen.
Die Regeln werden also aus Kundensicht unsicherer. Leider kann man die Regeln offenbar danach nicht wieder manuell verändern und auch lange Passwörter erlauben. Laut Microsoft ist das ein Feature, kein Bug.
Unglaublich? Aber wahr.