Schwache Passwörter vermeiden

Aktuelles
- Nachrichten
- Tipps & Tools
Themen

Fachartikel

Weltweit nehmen Datenschutzverletzungen durch Cyberkriminelle zu, manchmal mit fatalen wirtschaftlichen Konsequenzen für Unternehmen. Genauer betrachtet zeigt sich, dass oft selbst grundlegendste Regeln zur Passwortsicherheit nicht befolgt wurden. Woran das liegt, hat Specops Software erstmalig im Rahmen eines "Weak Passwort Reports" untersucht. Der Fachartikel stellt die Ergebnisse vor und erklärt, wie sich Schwachstellen oft schon mit wenigen Handgriffen beheben lassen.

Schwache Passwörter sollten im Jahr 2022 endgültig der Vergangenheit angehören.

Tagtäglich sehen sich Unternehmen mit hunderten bis tausenden Angriffen über Brute Force, Password Spraying oder Password Dictionary Attacks konfrontiert. Hilfreich ist es für die Angreifer, dass Listen kompromittierter Passwörter relativ leicht zu erhalten sind. Threat Actors könnten beispielsweise über einen Password-Spray-Angriff versuchen, Zugriff auf einen Terminalserver oder ein Exchange-Postfach zu erhalten. Da die Anzahl der Anmeldeversuche pro Benutzer in der Regel unter dem Schwellenwert der Account-Lockout-Richtlinie bleibt, geschehen diese Angriffe meist unerkannt. Besitzt der Angreifer aber einmal Benutzerprivilegien auf einem System, ist es nur eine Frage der Zeit, bis er dies erfolgreich ausweiten kann (Privilege Escalation).

Das Einfallstor: Die Fakten
Doch was macht Passwörter zum schwächsten Glied? Dies hat Specops Software erstmalig im Rahmen eines "Weak Passwort Reports" [1] untersucht. Die Forschungsergebnisse in diesem Bericht basieren auf eigenen Erhebungen und der Analyse von 800 Millionen kompromittierten Passwörtern. Der Report verdeutlicht, dass in einer zunehmend volatilen Cybersicherheits-Landschaft selbst vermeintlich starke Passwörter anfällig für Verstöße sind. So wurde festgestellt, dass

viele Passwörter auf leicht zu erratenen Begriffen basieren, mehrfach eingesetzt oder nur leicht abgewandelt werden für unterschiedliche Einsätze
93 Prozent der Passwörter, die bei Brute-Force-Angriffen Verwendung finden, aus acht oder mehr Zeichen bestehen
54 Prozent der Unternehmen über kein Tool zur Verwaltung von Passwörtern verfügen.

Trotz steigender Bedrohung gelingt es vielen Unternehmen nicht, strengere Passwortregeln und -richtlinien für Mitarbeiter zu implementieren. Die Untersuchung hat einige Schwachstellen offengelegt, auf denen die folgenden Empfehlungen zur Erhöhung der Passwortsicherheit fußen.

ISM-Integration und Datenschutzverordnung beachten
Der Passwortreport belegt: Angriffspunkt Nummer eins sind die Mitarbeiter beziehungsweise die von ihnen verwendeten schwachen Kennwörter. Deren Nutzung ist immer noch die häufigste, Methode, um sich im Netzwerk zu authentifizieren. Sofern starke Passwörter zum Einsatz kommen, ist diese Methode auch sehr sicher. Der Faktor Mensch kann sie zugleich aber auch zu einer Schwachstelle innerhalb der IT-Sicherheitskette machen – dann, wenn schwache oder kompromittierte Passwörter Verwendung finden.

Vor diesem Hintergrund gilt es für den IT-Sicherheitsbeauftragten, im ersten Schritt zu überprüfen, ob die dokumentierten Anforderungen an Passwortsicherheit als Bestandteil des eingesetzten ISMS (Information Security Management System) den aktuellen Empfehlungen des BSI Rechnung tragen. Im zweiten Schritt setzt dann das Infrastrukturteam die Anforderungen, wie im ISMS gefordert, um.

Auch bei der Authentifizierung durch Benutzername und Passwort sind regulatorische Vorgaben wie die DSGVO einzuhalten. Kennwörter, die leicht zu erraten sind oder in gängigen Passwortlisten auftauchen, dürfen nicht zum Einsatz kommen. Darüber hinaus muss sichergestellt sein, dass bestehende Zugangsdaten nicht kompromittiert sind. Denn kommt es zu einer Datenschutzverletzung und stellt sich heraus, dass die gesetzlichen Standards nicht befolgt worden sind, droht ein empfindliches Bußgeld. Außerdem sollten die Empfehlungen des NIST (National Institute of Standards and Technology) und des BSI IT-Grundschutzes Berücksichtigung finden.

Startpunkt: Analyse des Ist-Zustands
Zunächst einmal ist es wichtig, eine Bestandsaufnahme der im Unternehmen verwendeten Passwortrichtlinien zu machen. Für dieses Sicherheits-Assessment helfen Tools wie der Specops Password Auditor. Er analysiert die Benutzerkonten im Active Directory auf sämtliche passwortrelevanten Schwachstellen. Die Software scannt und überprüft die Passwort-Hashes der Benutzerkonten und gleicht sie gegen eine Datenbank mit kompromittierten Passwörtern, eine sogenannte Breached-Password-List, ab.

Die Offline-Datenbank umfasst beispielsweise bei der kostenlosen Version des Specops Password Auditor mehr als 800 Millionen Passwort-Hashes, die in der Vergangenheit durch Datendiebstahl bekannt geworden sind. Bei kostenpflichtigen Angeboten sind die Datenbanken bedeutend größer: So umfasst die Specops-Gesamtdatenbank 2,6 Milliarden kompromittierte Kennwörter.

Die gesammelten Informationen landen anschließend in einem Audit-Bericht und ermöglichen es Unternehmen, die Sicherheitsrisiken, die sich aus der Verwendung der eingesetzten Passwortrichtlinien ergeben, zu bewerten. Aufgrund dieser Fakten kann die Geschäftsführung dann je nach Risikobereitschaft entscheiden, ob diese akzeptiert oder mitigiert werden sollen.

Dreh- und Angelpunkt: Starkes Passwort
Im Anschluss geht es darum, technische und / oder organisatorische Maßnahmen zu implementieren, die den Einsatz starker Passwörter im Idealfall unternehmensweit garantieren. Aber was sind eigentlich starke Passwörter, und wie oft sollten diese von den Mitarbeitern gewechselt werden? Es ist bekannt, dass zu häufige Passwortwechsel die Benutzer dazu verleiten, in Muster bei der Passwortvergabe zu verfallen, die sich leicht erraten lassen.

Nach den aktuellen Empfehlungen des BSI fällt die Notwendigkeit die Passwörter regelmäßig zu ändern sogar weg, wenn starke Passwörter Verwendung finden – es sei denn sie sind kompromittiert. Allerdings ist die Gefahr groß, dass ein Kennwort durch "über die Schulter schauen" aufgedeckt wird. Eine mögliche Richtlinie kann es daher beispielsweise sein, Passwörter zumindest einmal pro Jahr zu ändern.

Um deren Stärke zu gewährleisten ist es wichtig, möglichst lange Passwörter zu nutzen. Denn wo bisher beispielsweise eine Kennwortlänge mit mindestens acht Zeichen und hoher Komplexität als Empfehlung galt, ist heute klar, dass sich damit keine starken Kennwörter mehr bilden lassen. Im Gegenteil: Starke Passwörter müssen heute in erster Linie lang sein, dafür aber nicht mehr zwingend komplex. Eine einfache und effektive Methode ist es, Passphrasen zur Generierung starker Kennwörter zu nutzen. Zusammenfassend lautet die einfache Formel: Starkes Passwort = Lang + geringe Komplexität + nicht kompromittiert.

Die Durchsetzung dieser Richtlinien lässt sich durch den Einsatz einer Third Party Password Policy beziehungsweise eines externen Passwortfilters für das Active Directory sicherstellen. Insbesondere der Übergang von klassischen Richtlinien (Acht Zeichen plus hohe Komplexität) zu Passphrasen kann über ein längenbasiertes Ablaufdatum schonend erfolgen. Hierbei sind sehr detaillierte und rollenbasierte Richtlinien möglich. So ergibt es Sinn, dort festzulegen, dass privilegierte Konten mindestens eine Länge von 15 Zeichen haben müssen und unterschiedliche Regeln für Standard- und Admin-Accounts gelten. Um die Stärke der Passwörter noch besser zu gewährleisten, muss die IT zwingend alle Kennwörter gegen Listen mit kompromittierten Passwörtern validieren und einfach zu erratene Kennwörter blockieren.

Fazit
Die Bedrohungslage durch Cyberkriminelle nimmt weiter zu. Gleichzeitig ist die Durchsetzung von starken Passwörtern ist einer sich zunehmend dezentral organisierten Unternehmenswelt wichtiger denn je. Nötig ist es daher, die Schwachstelle Passwort in einen effektiven Schutz und aktiven Posten in der Gefahrenabwehr umzugestalten. Hilfreich, wenn nicht unentbehrlich, ist dabei der Einsatz von Password Policies als technische Maßnahme, die individuell auf die Sicherheitsbedürfnisse des Unternehmens zugeschnitten ist und es den Benutzern ermöglichen, starke Passwörter zu erstellen, die in Echtzeit auf Kompromittierung überprüft werden.

Weitere Infos:

[1] https://specopssoft.com/de/blog/neues-whitepaper-the-weak-password-report-2022/

22.06.2022/ln/Stephan Halbmeier, Product Specialist bei Specops Software

Nachrichten

NoSpamProxy 14 unterstützt S/MIME 4 [1.07.2022]

NoSpamProxy steht ab sofort in der Version 14 zur Verfügung. Neue Funktionen wie S/MIME-4-Support, der Metadaten-Service 32Guards und Flow Guard sowie eine neue Web-App für die Administration sollen die E-Mail-Kommunikation noch besser schützen und die Konfiguration vereinfachen. [mehr]

Souveräne VMware-Cloud für deutsche Kunden [30.06.2022]

Als deutschlandweit erster Cloudanbieter ist IONOS Teil der VMware Sovereign Cloud Initiative. Im Rahmen der Initiative liefert IONOS Clouddienste, die die Prinzipien und Best Practices des VMware-Sovereign-Cloud-Frameworks berücksichtigen. Dies soll Kunden helfen, die Vorteile der Cloud zu nutzen und gleichzeitig die geltenden Datenschutzgesetze einzuhalten. [mehr]

Cloudsecurity ist Hauptsorge von Sicherheitsexperten [29.06.2022]

Malware-Schutz für macOS im Vergleich [28.06.2022]

[weitere Nachrichten]

Tipps & Tools

Tischkicker mit nerdigen Extras [2.07.2022]

Gemeinsame Sporteinheiten unter Kollegen können die Produktivität der Mitarbeiter und ihren Teamgedanken fördern – das gilt gerade auch für das Kickern! Der Sportime Tischkicker "Connect & Play" lässt sich bestens in einer ruhigen Ecke unterbringen und für Extraoptionen, die nicht nur Nerds begeistern, mit dem Smartphone oder Tablet koppeln. [mehr]

Kostenlos freier surfen [1.07.2022]

Im Internet auch anonym unterwegs sein zu können, sollte für IT-Profis längst selbstverständlich sein. Dabei unterstützt Sie das Tool "Windscribe", das Sie das VPN des kanadischen Anbieters unter begrenztem Datenvolumen kostenfrei nutzen lässt und so sowohl Werbetracker unterbindet als auch Content-Sperren einfach umgeht. [mehr]

Im Test: Soti MobiControl v.15.5 [30.06.2022]

Download der Woche: Hasleo Backup Suite [29.06.2022]

[weitere Tipps & Tools]

Partner Links

		IT-Forum, News und Knowledgebase, Diskussionsforum mit einer Wissensdatenbank für alle IT-Benutzergruppen
		Die Coronakrise trifft diejenigen am härtesten, die ohnehin benachteiligt sind. Ärzte der Welt unterstützt diese Menschen und hilft so, die Verbreitung des Virus zu verlangsamen - in Deutschland und auf der ganzen Welt. Helfen Sie auch - mit einer Spende!

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

[weitere Bücher]

Nächster Workshop

Online-Intensivseminar »Einführung in Windows Server 2019«

Intensivseminar »Office 365 bereitstellen und absichern« - vor Ort und online

[weitere Workshops]

Anzeigen

Sonderheft »Windows Server 2022«

»Administration, Sicherheit und Virtualisierung« - 180 Seiten Praxis-Know-how - IT-Administrator SH II/22 jetzt vorbestellen!
shop.heinemann-verlag.de
Daten sicher und einfach senden & empfangen

Große und sensible Daten auf jedem Endgerät einfach und sicher austauschen. Kostenlos online testen!
www.ftapi.com
Sonderheft »Microsoft Azure«

»Sichere Infrastrukturen für Anwendungen und Clients« - 180 Seiten Praxis-Know-how - IT-Administrator SH I/22 jetzt versandbereit!
shop.heinemann-verlag.de

		AdminByRequest jetzt kostenlos testen! AdminByRequest kostenlos auf bis zu 25 Endgeräten testen. Schnell, unkompliziert und einfach mit der AdminByRequest Software Adminrechte verwalten! Jetzt kostenlos runterladen oder DEMO buchen!
		Sichere Home-Offices und vernetzte Infrastrukturen mit Cloud-basierten Barracuda Lösungen umsetzen. Sichere E-Mails, Netzwerke, Daten & Anwendungen.

Aktuelles

Themen

Fachartikel