Starke Passwörter müssen bestimmten Anforderungen genügen. Um Firmen-Accounts wirksam abzusichern, gibt es eine ganze Reihe von Methoden, die nur umgesetzt werden müssen. Bei der praktischen Einführung unterstützen Passwort-Tools.
Passwort-Attacken auf Unternehmen sind oft erfolgreich, weil Mitarbeiter möglichst wenig Aufwand bei der Passwort-Generierung und insbesondere der täglichen Passwort-Nutzung haben wollen. Sie folgen eingefahrenen Gewohnheiten, wählen zu einfache Zeichenketten, nutzen über Jahre das gleiche Kennwort oder verwenden in ihren Zugangscodes persönliche Informationen wie Namen oder Geburtsdaten. Die Verwendung solcher schwacher Passwörter gilt es im Hinblick auf die Unternehmenssicherheit zu verhindern.
Was macht ein starkes Passwort aus? Ein starkes Passwort ist laut BSI durch drei Schlüsselfaktoren gekennzeichnet: Länge, Komplexität und Einzigartigkeit. So empfiehlt das BSI bei Passwörtern eine Länge von mindestens 8 Zeichen, besser 10; 12 gilt als optimal. Um ein 10 bis 12-kettiges Passwort komplex zu machen – das zweite Kriterium – sollte es laut BSI aus einer Mischung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (?!%+…) bestehen. Ein Beispiel für ein sicheres Passwort im Sinne des BSI ist „aZ2g%i-672&w“, mit dem Brute-Force-Attacken in vertretbarer Zeit kaum erfolgreich sind. Einzigartigkeit ist das dritte Kriterium. Ein einzigartiges Passwort kennt nur der Mitarbeiter und er verwendet es nicht für mehrere Konten oder mehrere Geräte.
Viele Security-Experten empfehlen inzwischen weitergehende bzw. alternative Möglichkeiten, ein Passwort noch sicherer und gleichzeitig bequem nutzbar zu machen. Der aktuelle Stand ist: Ein starkes Passwort ist ein langes Passwort. Je länger, desto besser. Ab einer Länge von mindestens zwanzig Zeichen wird ein Kompromittierung durch eine Brute-Force Attacke nahezu unmöglich. In diesem Fall würde es einfach zu lange dauern, das Passwort zu hacken. Nutzt man hierbei Passphrasen, umgeht man das Problem, dass sich so lange Zeichenketten nicht gut merken lassen. Ein Beispiel für eine Passphrase ist: „IchgehejedenMorgenzumJoggenundessedanneinMüsli“. Der eigene Name, der Name des Haustiers, Geburtsdaten oder sonstige Begriffe, die mit Ihnen in Verbindung gebracht werden können, sind jedoch auch bei Passphrasen tabu.
Eine solche Passphrase mit Groß- und Kleinbuchstaben des Alphabets muss nicht notwendigerweise komplex sein – Sonderzeichen müssen nicht verwendet werden. Aus praktischer Sicht gilt ein Passwort mit 20 Zeichen als sehr stark und muss nur noch einmal im Jahr oder im Falle einer Kompromittierung geändert werden. Der Einsatz solcher Passphrasen bei gleichzeitigem Einsatz von Passwortfiltern verhindert Passwort-Attacken zuverlässig.
Sichere Passwörter garantieren
Unternehmen haben mehrere Möglichkeiten, dafür zu sorgen, dass ihre Mitarbeiter ausschließlich starke Passwörter nutzen. Dazu sollten Admins die eben erwähnten Voraussetzungen für sichere Passwörter erzwingen. Häufig verwendete Zeichenmuster sollten verboten werden. Bekannte Muster wie Ziffern am Anfang und am Ende von Passwörtern sowie mehrfach wiederholte Zeichen müssen geblockt werden.
Eine Art von Brute-Force Angriffen sind Wörterbuch-Angriffe, bei denen Cyberkriminelle versuchen mit einer Wörterbuchliste, die gängige Wörter und Phrasen enthält, in das passwortgeschützte Netzwerk zu gelangen. Die Gefahr, dass Hacker damit einen Treffer erzielen, lässt sich durch die Verwendung von Dictionaries reduzieren. Diese dienen als Sperrliste. Solche Listen enthalten gängige und kompromittierte Zeichenketten, die nicht Bestandteil des Passworts sein dürfen. Damit wird verhindert, dass Benutzer Zeichenketten verwenden, die in einem der hinterlegten Wörterbücher enthalten sind. Zudem können Dictionaries an eigene Bedürfnisse angepasst werden – so lässt sich ausschließen, dass etwa der Firmenname als (Teil-)Passwort verwendet wird.
Ein zentrales Mittel für die Durchsetzung solcher Forderungen sind Compliance-gerechte Passwort-Richtlinien. Die Basis hierfür können die Vorschläge von Sicherheitsorganisationen wie dem deutschen BSI, dem US-amerikanischen NIST oder dem SANS Institute dienen. Passwörter, die diesen Empfehlungen nicht entsprechen, sollten grundsätzlich nicht akzeptiert werden.
Praktisch durchsetzen lassen sich Passwort-Richtlinien im Active Directory, dem zentralen Authentifizierungsdienst vieler Unternehmen. Administratoren können im Active Directory mit einer Reihe von Regeln festlegen, welche Anforderungen Passwörter grundsätzlich erfüllen müssen, um akzeptiert zu werden. Für ein wirklich sicheres Bollwerk gegen Passwort-Kompromittierung reichen die im Active Directory integrierten Werkzeuge allerdings nicht aus. So lassen sich beispielsweise bereits kompromittierte Passwörter damit nicht erkennen.
Tools für Passwort-Security
Viele Unternehmen verlassen sich deshalb nicht auf die in Microsoft Active Directory bereits vorhandenen Werkzeuge, sondern nutzen externe Tools zur Einrichtung starker Passwörter von Drittanbietern, die nativ in Active Directory integriert werden können. Tools zu Einrichtung starker Passwortrichtlinien und Passwort-Auditoren unterstützen Unternehmen dabei, die Verwendung starker Passwörter durchzusetzen und damit die Passwort-Security und die Sicherheit des Unternehmens insgesamt zu erhöhen.
Schwache Passwörter identifizieren Admins am besten mit Password-Auditoren. Diese Audit-Werkzeuge können die Passwörter der Benutzerkonten anhand der Liste von kompromittierten Passwörtern überprüfen. Die Passwörter sind dabei nicht sichtbar, denn gescannt werden nicht die Passwörter selbst, sondern nur deren Hashwerte. Diese werden dann mit den Hashwerten, die in der Liste der kompromittierten Passwörter enthalten sind, verglichen. Bei einem Treffer erfolgt eine Meldung, dass der User ein kompromittiertes Passwort verwendet.
Die Audit-Tools finden nicht nur kompromittierte und schwache Passwörter, sondern auch abgelaufene und identische Passwörter sowie Accounts, die kein Passwort benötigen. Oft können solche Tools auch prüfen, wie effektiv die Passwortrichtlinien gegen einen Brute-Force-Angriff wirken. Sie liefern damit Systemadministratoren einen Überblick über passwortrelevante Schwachstellen in ihrem Active Directory.
Mit Lösungen zur Einrichtung starker Passwort-Richtlinien können Sysadmins ihre fein abgestimmten Passwort-Policies umsetzen. Mit diesen Tools lassen sich die aktuellen Empfehlungen für Passwort-Security von Sicherheitsbehörden wie dem BSI oder NIST einfach und schnell befolgen. Die Software-Lösungen unterstützen Unternehmen dabei, die aktuellen Empfehlungen umzusetzen, so dass von den Mitarbeitern ausschließlich starke Passwörter verwendet werden.
Specops bietet Passwort-Management-Lösungen, um die Passwort-Sicherheit im Unternehmen zu erhöhen. Auf der Website finden Sie weitere Informationen zu den Lösungen von Specops Software.
kommentar field
