Schutz vor Datendiebstahl[Gesponsert]

Handbuch für DS-GVO konforme Passwortsicherheit

| Autor: Stephan Halbmeier

Um nachhaltige Barrieren für Cyberangriffe zu verhindern, dürfen keine schwachen Passwörter verwendet werden.
Um nachhaltige Barrieren für Cyberangriffe zu verhindern, dürfen keine schwachen Passwörter verwendet werden. (Bild: pixabay)

Bereitgestellt von

Nach wie vor stellt die Kombination aus Benutzername und Password die am häufigsten verwendete Methode da, um sich an Computersystemen anzumelden. Anwendern fällt es in der Regel schwer, gute und damit starke Passwörter zu wählen. Deshalb sind Organisationen in der Pflicht, durch geeignete technische und organisatorische Maßnahmen (TOM) dafür zu sorgen, dass schwache Passwörter nicht verwendet werden können.

Rechtliche Grundlage

Die Authentifizierung mittels Nutzername und Passwort sowohl bei Geräten als auch Diensten stellt eine technische und organisatorische Maßnahme nach Artikel 32 DS-GVO dar. Eine sichere Authentifizierung der Nutzer ist ein Baustein, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste auf Dauer sicherzustellen (vgl. Art. 32 DS-GVO). Setzen Verantwortliche unzureichende technische und organisatorische Maßnahmen um, können Bußgelder bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist (vgl. Art. 83 Abs. 4 DS-GVO). Verantwortliche sind also angehalten, angemessene technische und organisatorische Maßnahmen durchzuführen.

Widerstandsfähigkeit von Passwörtern

Starke Passwörter widerstehen sowohl Brute-Force Angriffen, bei denen der Passworthash bekannt ist, als auch Online Angriffen, wie beispielsweise dem Password Spraying, bei dem einige wenige kompromittierte Kennwörter gegen eine große Anzahl von Benutzerkonten getestet wird.

Unter der Annahme, dass ein Angreifer 100 Milliarden Passwörter pro Sekunde testen kann, dauert ein Brute-Force-Angriff auf ein 8-stelliges Passwort über dem Alphabet aller 95 ASCII-Zeichen nicht mehr als 19 Stunden.

958 / 1011 s = 18,4 Stunden

Wird hingegen die Komplexität verringert, d.h. es werden nur Kleinbuchstaben verwendet aber das Passwort wird auf 15 Zeichen verlängert, erhöht sich die maximal aufzuwendende Zeit auf 500 Jahre.

2615 / 1011 s = 532 Jahre

Merke: "betonampelpalme" lässt sich einfacher merken und ist sehr viel schwieriger zu dechiffrieren als " _YoxtrT3"

Zudem zeigt ein kurzer Test, dass es sich bei "_YoxtrT3" im Gegensatz zu "betonampelpalme" bereits um ein kompromittiertes Passwort handelt. Es widersteht damit weder offline noch online Angriffen und ist damit als schwach anzusehen.

Jetzt Testergebnisse ansehen

Lebensdauer von Passwörtern

Das stärkste Kennwort wird schwach, wenn man es sich nicht merken kann und es auf einem Zettel unter der Tastatur endet. Und wenn man es sich dann vielleicht nach 30 Tagen gemerkt hat, muss es schon wieder geändert werden. Anstatt die Anwender zu frustrieren, ist es sinnvoller, sie über ein Belohnungssystem zu motivieren, sich längere Passwörter auszudenken, die dann in Abhängigkeit der Länge später oder gar nicht ablaufen. Passwort Sicherheit wird nur dann funktionieren, wenn der Anwender „mit ins Boot genommen wird“

Fazit:

  • 1. Länge schlägt Komplexität. Es ist wichtig, lange Kennwörter zu verwenden, die dafür weniger komplex sein dürfen.
  • 2. Es dürfen keine Passwörter verwendet werden, die durch Sicherheitsvorfälle bekannt geworden und damit als kompromittiert anzusehen sind.
  • 3. Führen Sie ein längenbasiertes Ablaufdatum ein - je stärker das Passwort ist, desto seltener sollte es geändert werden müssen

Durchsetzen starker Passwörter in einer Active Directory Umgebung

Letztlich ist es das Zusammenspiel organisatorischer und technische Maßnahmen, die die Passwortsicherheit entscheidend verbessern. Einige technische Maßnahmen können bereits mit Bordmitteln umgesetzt werden. Für andere wird 3rd Party Software zum Einsatz kommen müssen.

Organisatorische Maßnahmen

  • 1. Dokumentieren Sie die Anforderungen an Passwortsicherheit in Ihrer Unternehmens-Sicherheitsrichtlinie und lassen Sie diese von der Geschäftsführung bestätigen
  • 2. Sensibilisieren Sie Ihre Mitarbeiter für das Thema Passwortsicherheit
  • 3. Führen Sie Benutzerkonto-Klassen ein, zum Bsp.: (a) Standardbenutzer, (b) privilegierte Benutzer und (c) VIP-Benutzer, für die - in Abhängigkeit der Schutz- und Vertraulichkeitsstufen der zugegriffenen Daten - unterschiedliche Passwortrichtlinien gelten
  • 4. Kennwörter sollten einzigartig sein - Mitarbeiter, denen mehreren Benutzerkonten zugewiesen sind, dürfen hierfür nicht dieselben Kennwörter verwenden.

Technische Maßnahmen

  • 1. Stellen Sie sicher, dass das Erzeugen von LAN Manager-Hashwerten in Ihrem Active Directory deaktiviert ist.
  • 2. Verwenden Sie „Managed Service Accounts“ für Applikationen anstelle von Standard-Benutzerkonten
  • 3. Definieren Sie ein dynamisches Passwortalter, in Abhängigkeit der gewählten Passwortlänge
  • 4. Verhindern Sie, dass kompromittierte Kennwörter als Passwort ausgewählt werden können
  • 5. Stellen Sie sicher, dass Kennwörter geändert werden, nachdem Sie durch Sicherheitsvorfälle veröffentlicht wurden, d.h. kompromittiert wurden.
  • 6. Stellen Sie sicher, dass Worte, die einfach zu erraten sind, beispielsweise Ihr Firmen- oder Produktname oder Ihre Adresse, nicht in Kennwörtern verwendet werden dürfen.
  • 7. Stellen Sie sicher, dass sich das neue Kennwort vom alten signifikant unterscheidet
  • 8. Ermutigen Sie Ihre Benutzer Passphrasen zu verwenden

Darstellung der Ergebnisse eines Audits in einem zentralen Dashboard
Darstellung der Ergebnisse eines Audits in einem zentralen Dashboard (Bild: Specops)

Umsetzung der Maßnahmen mit Hilfe von Specops Password Auditor und Policy

Im folgenden Abschnitt erfahren Sie, wie Sie die oben genannten Maßnahmen mit dem Specops Password Auditor und der Specops Password Policy nach dem aktuellen Stand der Technik implementieren. Da die Specops Password Policy auf Active Directory Gruppenrichtlinien basiert, gibt es keine Limitierung in Bezug auf die Anzahl der zu verwendenen Passwortrichtlinien.

Regelmäßige Überprüfung der Einhaltung Ihrer Passwortrichtlinien

Mit Hilfe des Specops Password Auditors, sind Sie in der Lage, Konten zu identifizieren, die identische oder kompromittierte Passwörter verwenden.

Der Specops Password Auditor wird typischerweise von Auditoren oder IT Security Mitarbeitern verwendet, um den Grad der Einhaltung der Unternehmens-Passwortrichtlinie zu messen. Der Password Auditor steht in einer kostenlosen Version zur Verfügung und kann von der Specops Website geladen werden.

Überprüfen Sie Ihre Einhaltung der Passwortrichtlinien

Konfiguration eines dynamischen Ablaufdatums für ein Password in Anhängigkeit der Länge
Konfiguration eines dynamischen Ablaufdatums für ein Password in Anhängigkeit der Länge (Bild: Specops)

Aktivierung von „Lenght Based Password Aging“

Im Prinzip gibt es keinen guten Grund ein starkes, nicht kompromittiertes Kennwort häufig zu ändern. Mit Hilfe der Specops Password Policy können Sie flexibel auf die gewählten Passwortlängen reagieren und eine Art „Belohnungssystem“ für die User einführen. In dem unten gezeigten Beispiel würde ein Anwender mit einem Kennwort kleiner als 14 Zeichen, dieses alle 42 Tage ändern müssen. Wählt er allerdings ein Passwort länger als 22 Zeichen, würde es nur jährlich geändert werden müssen.

Aktivierung der Blacklist-Option, um kompromittierte Kennwörter zu verbannen
Aktivierung der Blacklist-Option, um kompromittierte Kennwörter zu verbannen (Bild: Specops)

Blockierung kompromittierte Kennwörter

Über die Specops Password Policy Blacklist haben Sie Zugriff auf eine kontinuierlich aktualisierte Datenbank, die zurzeit ca. 2 Milliarden durch Sicherheitsvorfälle bekannt gewordenen Passwörter enthält. Mit der Verwendung des Blacklist Service erreichen Sie zwei wesentliche Ziele:

  • 1. Sie verhindern, dass Benutzer ein Kennwort auswählen, welches bereits kompromittiert ist – in diesem Fall weist der Domain Controller das gewählte Kennwort ab und es kommt zu keiner Änderung des Passwortes
  • 2. Sie zwingen Benutzer ihr Kennwort zu ändern, sobald es über die Blacklist als kompromittiert gekennzeichnet worden ist.

Pflegen Sie eigene Wortlisten, um das Erstellen einfach zu erratener Passwörter zu verhindern
Pflegen Sie eigene Wortlisten, um das Erstellen einfach zu erratener Passwörter zu verhindern (Bild: Specops)

Blockierung von einfach zu erratenen Kennwörtern

Die Verwendung von mit Ihrer Organisation in Verbindung stehenden Begriffen als Kennwort sollte auf jeden Fall vermieden werden, um zu verhindern, dass Angreifer ein Password einfach erraten. Mit der Specops Password Policy können Sie sich eigene Wortlisten erstellen und die Wörter pflegen, die sie zusätzlich blockieren wollen. Ein Eintrag „Specops“ in solch einer Wortliste würde nicht nur dieses Wort, sondern auch Variationen wie „Sp3cop5“ oder „spoceps“ blockieren

Setzen Sie durch, dass die neue von alten Kennwörtern wesentlich unterscheiden
Setzen Sie durch, dass die neue von alten Kennwörtern wesentlich unterscheiden (Bild: Specops)

Durchsetzung der Erstellung von neuen Passwörtern

Wenn Kennwörter geändert werden, führt das in der Regel nur zu leicht abgeänderten neuen Passwörtern, da Active Directory nur überprüfen kann, ob das Kennwort schon einmal verwendet wurde. Aus einem „Sommer2019“ wird dann ein einfach „Sommer2019!“ Das ist vor allem dann ein Problem, wenn der Verdacht besteht, dass das Kennwort kompromittiert wurde. In dem Fall hätte jemand mit dem Wissen über das alte Passwort, gute Chancen auch das neue Kennwort zu erraten.

Mit der Specops Password Policy können Sie definieren, wie viele Zeichen mindestens geändert werden müssen, bzw. welcher Anteil des alten Kennwortes nicht mehr verwendet werden darf.

Specops Password Policy unterstützt Richtlinien für Passwörter und Passphrasen
Specops Password Policy unterstützt Richtlinien für Passwörter und Passphrasen (Bild: Specops)

Verwendung von Passphrasen

Passphrasen stellen eine ausgezeichnete Methode da, starke und zugleich einprägsame Passwörter zu bilden. Mit Hilfe von Regulären Ausdrücken (regular expressions) können Sie frei definieren, welchen Komplexitätsanforderungen eine Passphrase genügen muss. Beispielsweise könnten Sie durchsetzen, dass eine Passphrase mindestens aus drei durch Leerzeichen getrennten Worten mit jeweils 6 Zeichen bestehen soll.

Mit der Specops Password Policy können Sie Richtlinien erstellen, die sowohl die Verwendung von Passwörtern, Passphrasen oder beiden zulassen.

Weiterführende Informationen zur Password Policy finden Sie auf der Specops Website. Hier können Sie sich auch für eine kostenlosen Test registrieren.

Mehr dazu erfahren

Über den Autor: Stephan Halbmeier ist Product Specialist bei Specops Software

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46265942 / Passwort-Management)