Sichere Durchsetzung der Passwortrichtlinie[Gesponsert]

So verbannen Sie unsichere Passwörter aus Ihrem Netzwerk

| Autor: Oliver Schonschek

Passwortsicherheit ist leider immer noch keine Selbstverständlichkeit.
Passwortsicherheit ist leider immer noch keine Selbstverständlichkeit. (Bild: ChakisAtelier - iStock)

Bereitgestellt von

Passwörter sind weiterhin das mit Abstand am meisten verwendete Authentisierungsmittel, obwohl sie in vielen Fällen kein ausreichendes Sicherheitsniveau bieten. Klassische Passwortrichtlinien reichen nicht, um die Passwortsicherheit zu steigern. Spezielle Sicherheitstools für Passwörter sind gefragt, die kompromittierte Kennwörter erkennen und blockieren.

Mangelnde Passwortsicherheit gehört zu den Top-Risiken der IT

In dem aktuellen Lagebericht zur IT-Sicherheit 2019 warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass viele Unternehmen und Internetnutzer weiterhin unsichere Passwörter verwenden.

Häufig wird das gleiche, leicht zu merkende Passwort bei vielen verschiedenen Diensteanbietern eingesetzt, so das BSI. Diese Vereinfachung erleichtert jedoch nicht nur dem berechtigten Nutzer den Zugriff auf den Dienst. Hat ein Angreifer Passwörter bei einem Diensteanbieter ausgespäht, kann er dann die erbeuteten Daten auch bei anderen Diensteanbietern zum unberechtigten Zugriff nutzen.

Wie gefährlich es sein kann, nicht auf die Passwortsicherheit zu achten und kompromittierte Kennwörter zu verwenden, zeigte sich zum Beispiel im Januar 2019. Das BSI hatte im Rahmen der täglichen Lagebeobachtung Kenntnis von einer sehr großen Sammlung von Zugangsdaten in Form von E-Mail-Adressen und Passwörtern erhalten, die im Internet veröffentlicht wurde. Der 87 Gigabyte große Datensatz enthielt ca. 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter im Klartext.

Werden solche kompromittierten Kennwörter von den betroffenen Nutzern weiterhin verwendet, kann genau das eintreten, vor dem das BSI gewarnt hatte: Datendiebe erhalten mit den gestohlenen Passwörtern unberechtigten Zugang zu weiteren Diensten und Daten.

Specops Password Auditor bietet zahlreiche Funktionen, um die Wahl sicherer Passwörter durchzusetzen.
Specops Password Auditor bietet zahlreiche Funktionen, um die Wahl sicherer Passwörter durchzusetzen. (Bild: Specops)

Aufsichtsbehörden fordern bessere Passwortsicherheit

Neben dem BSI haben sich auch Aufsichtsbehörden für den Datenschutz zur mangelnden Passwortsicherheit geäußert. Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert in Artikel 32 (Sicherheit der Verarbeitung) Schutzmaßnahmen nach dem Stand der Technik, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Passwortsicherheit ist ein zentrales Thema bei diesen technisch-organisatorischen Datenschutz-Maßnahmen, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/). Es sind aber nicht nur Nutzer in der Pflicht, sichere Passwörter zu wählen, erklärt der Datenschützer. Administratoren und Hersteller müssen sichere Vorgaben machen, Passwörter sicher speichern und sollten moderne Techniken für die Zugangskontrolle anbieten.

Setzen Verantwortliche unzureichende technische und organisatorische Maßnahmen wie zum Beispiel unsichere Passwörter ein, können Bußgelder von bis zu zehn Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, wie die Aufsichtsbehörde deutlich macht. Verantwortliche sind also angehalten, angemessene technische und organisatorische Maßnahmen für die Passwortsicherheit einzusetzen.

Die Aufsichtsbehörde für den Datenschutz gibt eine Reihe von Empfehlungen für starke Passwörter: Man soll Passwörter niemals doppelt verwenden, keine Wörter aus herkömmlichen Standard-Wörterbüchern als Kennwort nutzen, die Passwörter bei Kompromittierung ändern, Standard-Passwörter immer ändern, um einige der Hinweise zu nennen.

In einer Passwortrichtlinie sollten Unternehmen die Hinweise einbinden und die Nutzer anweisen, diese zu beachten. So weit möglich und sinnvoll, sollten die Hinweise erzwungen werden, so die Datenschutzbehörde.

Wie sicher ist Ihr Passwort?

Lösungen für Passwortsicherheit können helfen

Wie sich die Einhaltung der Passwortrichtlinie erzwingen lässt, zeigen zum Beispiel die Erfahrungen des NHS Foundation Trust im Großraum Manchester, UK. „Wir hatten Hunderte von Benutzern mit Passwörtern, die den Wochentag, den Monat oder sogar das Wort Passwort enthielten, oft mit einer Zahl am Ende oder einem Ausrufezeichen. Es war interessant zu sehen, wie viele Personen denselben Mustern folgen, was zu leicht zu erratenden Passwörtern führte“, berichtete der IT-Leiter Andre de Araujo.

In Active Directory des NHS Foundation Trust wurde zwar eine differenzierte Kennwortrichtlinie verwendet. Doch die Unfähigkeit, Kennwortwörterbücher zu blockieren, führte zu Hunderten sehr schwacher Kennwörter.

Mit Specops Password Policy konnte NHS Foundation Trust sein Ziel erreichen, schwache Passwörter zu blockieren. „Specops Password Policy ist einfach in Betrieb zu nehmen und funktioniert wie versprochen", sagte Andre de Araujo.

Wie sich die sichere Passwortwahl erzwingen lässt

Specops Password Policy ermöglicht stärkere Passwörter, indem zum Beispiel bekannte schwache Passwörter in eine Liste verbotener Kennwörter aufgenommen werden. Specops Password Policy erweitert die Funktionalität von Gruppenrichtlinien und vereinfacht die Verwaltung detaillierter Kennwortrichtlinien. Unterstützt werden Passphrasen ebenso wie eine „längenbasierte Kennwortalterung“.

Darunter versteht man, dass die Ablaufdauer eines Kennworts mit der Länge des Kennworts korreliert wird. Je länger das Kennwort, desto länger die Ablaufdauer. Diese Funktion fördert längere Kennwörter, indem häufige Kennwortänderungen vermieden werden, wenn der Benutzer die definierte Mindestlänge des Kennworts überschreitet.

Unternehmen können ein eigenes Kennwortwörterbuch verwenden, eine Datei, die häufig verwendete und / oder gefährdete Kennwörter enthält, um zu verhindern, dass Benutzer Kennwörter erstellen, die für Wörterbuchangriffe anfällig sind, zum Beispiel potenzielle Passwörter, die für das Unternehmen charakteristisch sind, einschließlich Firmenname, Standort und relevante Akronyme, sowie Kennwörter aus gängigen Kennwortlisten, Tastaturmustern und Zeichenersetzungen.

Während einer Kennwortänderung in Active Directory werden bei der Kennwortprüfung alle im Wörterbuch gefundenen Kennwörter zurückgewiesen. Die Funktion Blacklist Complete bietet zudem über die Cloud den Zugang zu einer zentralen Liste von zur Zeit mehr als 1 Milliarde kompromittierter Passwörter, die Specops immer auf dem neusten Stand hält.

Wenn ein Benutzer sein Passwort in ein Kennwort ändert, das in der Liste der kompromittierten Kennwörter enthalten ist, benachrichtigt Blacklist Complete den Benutzer per E-Mail oder SMS. Der Benutzer muss dann sein Kennwort bei der nächsten Anmeldung ändern.

Specops Password Policy kostenlos testen

Wie steht es um die Passwortsicherheit im eigenen Unternehmen

Wer unsicher ist, wie es um die eigene Passwortsicherheit steht, kann dies kostenlos mit dem Specops Password Auditor prüfen. Das Kennwortüberprüfungstool durchsucht Active Directory nach kennwortbezogenen Schwachstellen. Es erzeugt mehrere interaktive Berichte mit Benutzer- und Kennwortrichtlinieninformationen. Specops Password Auditor ermöglicht es dadurch, die Wirksamkeit der Richtlinien gegen einen Brute-Force-Angriff zu messen.

Schwachstellen im eigenen Passwort identifizieren

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46327687 / Allgemein)