von Redaktion IT-A…
Lesezeit
4 Minuten
Schwache Passwörter vermeiden
Weltweit nehmen Datenschutzverletzungen durch Cyberkriminelle zu, manchmal mit fatalen wirtschaftlichen Konsequenzen für Unternehmen. Genauer betrachtet zeigt sich, dass oft selbst grundlegendste Regeln zur Passwortsicherheit nicht befolgt wurden. Woran das liegt, hat Specops Software erstmalig im Rahmen eines "Weak Passwort Reports" untersucht. Der Fachartikel stellt die Ergebnisse vor und erklärt, wie sich Schwachstellen oft schon mit wenigen Handgriffen beheben lassen.
Tagtäglich sehen sich Unternehmen mit hunderten bis tausenden Angriffen über Brute Force, Password Spraying oder Password Dictionary Attacks konfrontiert. Hilfreich ist es für die Angreifer, dass Listen kompromittierter Passwörter relativ leicht zu erhalten sind. Threat Actors könnten beispielsweise über einen Password-Spray-Angriff versuchen, Zugriff auf einen Terminalserver oder ein Exchange-Postfach zu erhalten. Da die Anzahl der Anmeldeversuche pro Benutzer in der Regel unter dem Schwellenwert der Account-Lockout-Richtlinie bleibt, geschehen diese Angriffe meist unerkannt. Besitzt der Angreifer aber einmal Benutzerprivilegien auf einem System, ist es nur eine Frage der Zeit, bis er dies erfolgreich ausweiten kann (Privilege Escalation).
Das Einfallstor: Die Fakten
Doch was macht Passwörter zum schwächsten Glied? Dies hat Specops Software erstmalig im Rahmen eines "Weak Passwort Reports" [1] untersucht. Die Forschungsergebnisse in diesem Bericht basieren auf eigenen Erhebungen und der Analyse von 800 Millionen kompromittierten Passwörtern. Der Report verdeutlicht, dass in einer zunehmend volatilen Cybersicherheits-Landschaft selbst vermeintlich starke Passwörter anfällig für Verstöße sind. So wurde festgestellt, dass
ISM-Integration und Datenschutzverordnung beachten
Der Passwortreport belegt: Angriffspunkt Nummer eins sind die Mitarbeiter beziehungsweise die von ihnen verwendeten schwachen Kennwörter. Deren Nutzung ist immer noch die häufigste, Methode, um sich im Netzwerk zu authentifizieren. Sofern starke Passwörter zum Einsatz kommen, ist diese Methode auch sehr sicher. Der Faktor Mensch kann sie zugleich aber auch zu einer Schwachstelle innerhalb der IT-Sicherheitskette machen – dann, wenn schwache oder kompromittierte Passwörter Verwendung finden.
Vor diesem Hintergrund gilt es für den IT-Sicherheitsbeauftragten, im ersten Schritt zu überprüfen, ob die dokumentierten Anforderungen an Passwortsicherheit als Bestandteil des eingesetzten ISMS (Information Security Management System) den aktuellen Empfehlungen des BSI Rechnung tragen. Im zweiten Schritt setzt dann das Infrastrukturteam die Anforderungen, wie im ISMS gefordert, um.
Auch bei der Authentifizierung durch Benutzername und Passwort sind regulatorische Vorgaben wie die DSGVO einzuhalten. Kennwörter, die leicht zu erraten sind oder in gängigen Passwortlisten auftauchen, dürfen nicht zum Einsatz kommen. Darüber hinaus muss sichergestellt sein, dass bestehende Zugangsdaten nicht kompromittiert sind. Denn kommt es zu einer Datenschutzverletzung und stellt sich heraus, dass die gesetzlichen Standards nicht befolgt worden sind, droht ein empfindliches Bußgeld. Außerdem sollten die Empfehlungen des NIST (National Institute of Standards and Technology) und des BSI IT-Grundschutzes Berücksichtigung finden.
Startpunkt: Analyse des Ist-Zustands
Zunächst einmal ist es wichtig, eine Bestandsaufnahme der im Unternehmen verwendeten Passwortrichtlinien zu machen. Für dieses Sicherheits-Assessment helfen Tools wie der Specops Password Auditor. Er analysiert die Benutzerkonten im Active Directory auf sämtliche passwortrelevanten Schwachstellen. Die Software scannt und überprüft die Passwort-Hashes der Benutzerkonten und gleicht sie gegen eine Datenbank mit kompromittierten Passwörtern, eine sogenannte Breached-Password-List, ab.
Die Offline-Datenbank umfasst beispielsweise bei der kostenlosen Version des Specops Password Auditor mehr als 800 Millionen Passwort-Hashes, die in der Vergangenheit durch Datendiebstahl bekannt geworden sind. Bei kostenpflichtigen Angeboten sind die Datenbanken bedeutend größer: So umfasst die Specops-Gesamtdatenbank 2,6 Milliarden kompromittierte Kennwörter.
Die gesammelten Informationen landen anschließend in einem Audit-Bericht und ermöglichen es Unternehmen, die Sicherheitsrisiken, die sich aus der Verwendung der eingesetzten Passwortrichtlinien ergeben, zu bewerten. Aufgrund dieser Fakten kann die Geschäftsführung dann je nach Risikobereitschaft entscheiden, ob diese akzeptiert oder mitigiert werden sollen.
Dreh- und Angelpunkt: Starkes Passwort
Im Anschluss geht es darum, technische und / oder organisatorische Maßnahmen zu implementieren, die den Einsatz starker Passwörter im Idealfall unternehmensweit garantieren. Aber was sind eigentlich starke Passwörter, und wie oft sollten diese von den Mitarbeitern gewechselt werden? Es ist bekannt, dass zu häufige Passwortwechsel die Benutzer dazu verleiten, in Muster bei der Passwortvergabe zu verfallen, die sich leicht erraten lassen.
Nach den aktuellen Empfehlungen des BSI fällt die Notwendigkeit die Passwörter regelmäßig zu ändern sogar weg, wenn starke Passwörter Verwendung finden – es sei denn sie sind kompromittiert. Allerdings ist die Gefahr groß, dass ein Kennwort durch "über die Schulter schauen" aufgedeckt wird. Eine mögliche Richtlinie kann es daher beispielsweise sein, Passwörter zumindest einmal pro Jahr zu ändern.
Um deren Stärke zu gewährleisten ist es wichtig, möglichst lange Passwörter zu nutzen. Denn wo bisher beispielsweise eine Kennwortlänge mit mindestens acht Zeichen und hoher Komplexität als Empfehlung galt, ist heute klar, dass sich damit keine starken Kennwörter mehr bilden lassen. Im Gegenteil: Starke Passwörter müssen heute in erster Linie lang sein, dafür aber nicht mehr zwingend komplex. Eine einfache und effektive Methode ist es, Passphrasen zur Generierung starker Kennwörter zu nutzen. Zusammenfassend lautet die einfache Formel: Starkes Passwort = Lang + geringe Komplexität + nicht kompromittiert.
Die Durchsetzung dieser Richtlinien lässt sich durch den Einsatz einer Third Party Password Policy beziehungsweise eines externen Passwortfilters für das Active Directory sicherstellen. Insbesondere der Übergang von klassischen Richtlinien (Acht Zeichen plus hohe Komplexität) zu Passphrasen kann über ein längenbasiertes Ablaufdatum schonend erfolgen. Hierbei sind sehr detaillierte und rollenbasierte Richtlinien möglich. So ergibt es Sinn, dort festzulegen, dass privilegierte Konten mindestens eine Länge von 15 Zeichen haben müssen und unterschiedliche Regeln für Standard- und Admin-Accounts gelten. Um die Stärke der Passwörter noch besser zu gewährleisten, muss die IT zwingend alle Kennwörter gegen Listen mit kompromittierten Passwörtern validieren und einfach zu erratene Kennwörter blockieren.
Fazit
Die Bedrohungslage durch Cyberkriminelle nimmt weiter zu. Gleichzeitig ist die Durchsetzung von starken Passwörtern ist einer sich zunehmend dezentral organisierten Unternehmenswelt wichtiger denn je. Nötig ist es daher, die Schwachstelle Passwort in einen effektiven Schutz und aktiven Posten in der Gefahrenabwehr umzugestalten. Hilfreich, wenn nicht unentbehrlich, ist dabei der Einsatz von Password Policies als technische Maßnahme, die individuell auf die Sicherheitsbedürfnisse des Unternehmens zugeschnitten ist und es den Benutzern ermöglichen, starke Passwörter zu erstellen, die in Echtzeit auf Kompromittierung überprüft werden.
ln/Stephan Halbmeier, Product Specialist bei Specops Software
[1] https://specopssoft.com/de/blog/neues-whitepaper-the-weak-password-report-2022/
Das Einfallstor: Die Fakten
Doch was macht Passwörter zum schwächsten Glied? Dies hat Specops Software erstmalig im Rahmen eines "Weak Passwort Reports" [1] untersucht. Die Forschungsergebnisse in diesem Bericht basieren auf eigenen Erhebungen und der Analyse von 800 Millionen kompromittierten Passwörtern. Der Report verdeutlicht, dass in einer zunehmend volatilen Cybersicherheits-Landschaft selbst vermeintlich starke Passwörter anfällig für Verstöße sind. So wurde festgestellt, dass
- viele Passwörter auf leicht zu erratenen Begriffen basieren, mehrfach eingesetzt oder nur leicht abgewandelt werden für unterschiedliche Einsätze
- 93 Prozent der Passwörter, die bei Brute-Force-Angriffen Verwendung finden, aus acht oder mehr Zeichen bestehen
- 54 Prozent der Unternehmen über kein Tool zur Verwaltung von Passwörtern verfügen.
ISM-Integration und Datenschutzverordnung beachten
Der Passwortreport belegt: Angriffspunkt Nummer eins sind die Mitarbeiter beziehungsweise die von ihnen verwendeten schwachen Kennwörter. Deren Nutzung ist immer noch die häufigste, Methode, um sich im Netzwerk zu authentifizieren. Sofern starke Passwörter zum Einsatz kommen, ist diese Methode auch sehr sicher. Der Faktor Mensch kann sie zugleich aber auch zu einer Schwachstelle innerhalb der IT-Sicherheitskette machen – dann, wenn schwache oder kompromittierte Passwörter Verwendung finden.
Vor diesem Hintergrund gilt es für den IT-Sicherheitsbeauftragten, im ersten Schritt zu überprüfen, ob die dokumentierten Anforderungen an Passwortsicherheit als Bestandteil des eingesetzten ISMS (Information Security Management System) den aktuellen Empfehlungen des BSI Rechnung tragen. Im zweiten Schritt setzt dann das Infrastrukturteam die Anforderungen, wie im ISMS gefordert, um.
Auch bei der Authentifizierung durch Benutzername und Passwort sind regulatorische Vorgaben wie die DSGVO einzuhalten. Kennwörter, die leicht zu erraten sind oder in gängigen Passwortlisten auftauchen, dürfen nicht zum Einsatz kommen. Darüber hinaus muss sichergestellt sein, dass bestehende Zugangsdaten nicht kompromittiert sind. Denn kommt es zu einer Datenschutzverletzung und stellt sich heraus, dass die gesetzlichen Standards nicht befolgt worden sind, droht ein empfindliches Bußgeld. Außerdem sollten die Empfehlungen des NIST (National Institute of Standards and Technology) und des BSI IT-Grundschutzes Berücksichtigung finden.
Startpunkt: Analyse des Ist-Zustands
Zunächst einmal ist es wichtig, eine Bestandsaufnahme der im Unternehmen verwendeten Passwortrichtlinien zu machen. Für dieses Sicherheits-Assessment helfen Tools wie der Specops Password Auditor. Er analysiert die Benutzerkonten im Active Directory auf sämtliche passwortrelevanten Schwachstellen. Die Software scannt und überprüft die Passwort-Hashes der Benutzerkonten und gleicht sie gegen eine Datenbank mit kompromittierten Passwörtern, eine sogenannte Breached-Password-List, ab.
Die Offline-Datenbank umfasst beispielsweise bei der kostenlosen Version des Specops Password Auditor mehr als 800 Millionen Passwort-Hashes, die in der Vergangenheit durch Datendiebstahl bekannt geworden sind. Bei kostenpflichtigen Angeboten sind die Datenbanken bedeutend größer: So umfasst die Specops-Gesamtdatenbank 2,6 Milliarden kompromittierte Kennwörter.
Die gesammelten Informationen landen anschließend in einem Audit-Bericht und ermöglichen es Unternehmen, die Sicherheitsrisiken, die sich aus der Verwendung der eingesetzten Passwortrichtlinien ergeben, zu bewerten. Aufgrund dieser Fakten kann die Geschäftsführung dann je nach Risikobereitschaft entscheiden, ob diese akzeptiert oder mitigiert werden sollen.
Dreh- und Angelpunkt: Starkes Passwort
Im Anschluss geht es darum, technische und / oder organisatorische Maßnahmen zu implementieren, die den Einsatz starker Passwörter im Idealfall unternehmensweit garantieren. Aber was sind eigentlich starke Passwörter, und wie oft sollten diese von den Mitarbeitern gewechselt werden? Es ist bekannt, dass zu häufige Passwortwechsel die Benutzer dazu verleiten, in Muster bei der Passwortvergabe zu verfallen, die sich leicht erraten lassen.
Nach den aktuellen Empfehlungen des BSI fällt die Notwendigkeit die Passwörter regelmäßig zu ändern sogar weg, wenn starke Passwörter Verwendung finden – es sei denn sie sind kompromittiert. Allerdings ist die Gefahr groß, dass ein Kennwort durch "über die Schulter schauen" aufgedeckt wird. Eine mögliche Richtlinie kann es daher beispielsweise sein, Passwörter zumindest einmal pro Jahr zu ändern.
Um deren Stärke zu gewährleisten ist es wichtig, möglichst lange Passwörter zu nutzen. Denn wo bisher beispielsweise eine Kennwortlänge mit mindestens acht Zeichen und hoher Komplexität als Empfehlung galt, ist heute klar, dass sich damit keine starken Kennwörter mehr bilden lassen. Im Gegenteil: Starke Passwörter müssen heute in erster Linie lang sein, dafür aber nicht mehr zwingend komplex. Eine einfache und effektive Methode ist es, Passphrasen zur Generierung starker Kennwörter zu nutzen. Zusammenfassend lautet die einfache Formel: Starkes Passwort = Lang + geringe Komplexität + nicht kompromittiert.
Die Durchsetzung dieser Richtlinien lässt sich durch den Einsatz einer Third Party Password Policy beziehungsweise eines externen Passwortfilters für das Active Directory sicherstellen. Insbesondere der Übergang von klassischen Richtlinien (Acht Zeichen plus hohe Komplexität) zu Passphrasen kann über ein längenbasiertes Ablaufdatum schonend erfolgen. Hierbei sind sehr detaillierte und rollenbasierte Richtlinien möglich. So ergibt es Sinn, dort festzulegen, dass privilegierte Konten mindestens eine Länge von 15 Zeichen haben müssen und unterschiedliche Regeln für Standard- und Admin-Accounts gelten. Um die Stärke der Passwörter noch besser zu gewährleisten, muss die IT zwingend alle Kennwörter gegen Listen mit kompromittierten Passwörtern validieren und einfach zu erratene Kennwörter blockieren.
Fazit
Die Bedrohungslage durch Cyberkriminelle nimmt weiter zu. Gleichzeitig ist die Durchsetzung von starken Passwörtern ist einer sich zunehmend dezentral organisierten Unternehmenswelt wichtiger denn je. Nötig ist es daher, die Schwachstelle Passwort in einen effektiven Schutz und aktiven Posten in der Gefahrenabwehr umzugestalten. Hilfreich, wenn nicht unentbehrlich, ist dabei der Einsatz von Password Policies als technische Maßnahme, die individuell auf die Sicherheitsbedürfnisse des Unternehmens zugeschnitten ist und es den Benutzern ermöglichen, starke Passwörter zu erstellen, die in Echtzeit auf Kompromittierung überprüft werden.
ln/Stephan Halbmeier, Product Specialist bei Specops Software
[1] https://specopssoft.com/de/blog/neues-whitepaper-the-weak-password-report-2022/
