Qualitätssicherung von Passwörtern, die nie mehr ablaufen?

Microsoft verzichtet mit dem Windows Update vom 10. Mai 2019 auf seine Standardrichtlinie, dass Passwörter nach 60 Tagen ablaufen. Dieser Schritt entspricht der Haltung von NIST, dass Verfallsrichtlinien für Passwörter die Benutzer „gezwungen“ beziehungsweise dazu „erzogen“ haben, Passwörter so zu gestalten, dass man sie sich trotz der häufigen Wechsel merken kann. Die Benutzer haben also Passwörter erstellt, die nur kleine, aber vorhersagbare Änderungen beinhalteten. Das Ändern der Passwörter hat damit jedoch wenig oder gar keine Sicherheitsauswirkungen. Dadurch können diese Passwörter durch gezielte Angriffe im Verhältnis leicht geknackt werden.

Die für diese Angriffe verwendeten Ableitungsalgorithmen werden in Verbindung mit bekannten Informationen, wie Wörterbüchern, kompromittierten Repositories und Benutzerkontoinformationen genutzt. Dieses Verfahren ist bei der überwiegenden Mehrheit der Passwortwiederherstellungen erfolgreich.

Was war der Verwendungszweck von Passwort-Verfallsintervallen?

Wenn es einem Hacker gelingt, ein Passwort wiederherzustellen, hat dies eine begrenzte Gültigkeit und kann sich tatsächlich geändert haben, bevor das Passwort für illegale Zwecke verwendet wird.

Das macht Sinn, oder?

In der Theorie ja, aber in Wirklichkeit funktioniert es nicht. Die Kombination aus regelmäßigen Änderungen und erforderlicher Komplexität schafft eine kognitive Belastung für die Endanwender.  Um dies zu beheben, wenden die Nutzer Techniken an, die Passwörter vorhersehbar machen, da sie nur inkrementelle, und vor allem vorhersehbare Änderungen vornehmen. Diese Kombination führt zu vorherrschend schlechten Passwörtern, was bedeutet, dass im Durchschnitt fast 60 % der Passwörter in einer bestimmten Organisation mit herkömmlichen Methoden wiederhergestellt werden können.

Wie kann ich sicher sein, dass mein Passwort nicht wiederhergestellt und verwendet wird?

Identity Threat Intelligence kontrolliert die verschiedenen Angriffsrepositorien kontinuierlich auf das Vorhandensein von Unternehmenspasswörtern und warnt vor der Entdeckung aktiver Anmeldeinformationen, die repliziert wurden oder leicht abgeleitet werden können.

Sobald die Ablaufanforderung aufgehoben oder das Intervall für die Passwortänderung verlängert wurde, müssen Unternehmen die Qualität ihrer Passwörter sicherstellen. Dieser Ansatz wird bereits seit langem von verschiedenen Unternehmen praktiziert, die den Ansatz der Passwort-Qualitätssicherung in verteilten, heterogenen Umgebungen implementiert haben.

Klingt vernünftig. Wie funktioniert der Prozess der Passwort-Qualitätssicherung?

In vier Schritten zur sicheren und konformen Umsetzung:

1. Entdeckung: Auffinden von Passwörtern, die anfällig für Vorhersagbarkeits-, Schätz- und Repository-basierten Angriffsmethoden sind. Auch die Entdeckung anderer Anomalien, wie die gemeinsame Nutzung oder Wiederverwendung von Passwörtern.
2. Kontrolle: Umsetzung von Richtlinien, die darauf abzielen, diese Anomalien zu beheben und die Fortschritte bei der Behebung zu messen.
3. Behebung: Schulung, Motivation und Belohnung der Mitarbeiter auf der Grundlage von faktenbasierten Sensibilisierungsmaßnahmen, positives Feedback und Messung der Auswirkungen. Der Fokus liegt zunächst auf der Behebung von Anomalien im Zusammenhang mit hochprivilegierten Accounts.
4. Automatisierte Auditberichte, DSGVO-Risikobewertungen und Fortschrittsberichte des Managements.

Wenn die Ankündigung von Microsoft ein weiterer Beweis für den Wert dieses Ansatzes ist, ist es auch wichtig, die Qualität der Anmeldeinformationen zu gewährleisten, die sich in Nicht-Microsoft-Umgebungen wie IBM, Unix/Linux und Datenbanken befinden, oder?

Für die Qualitätssicherung der im Unternehmen angewendeten Passwörter gibt es verschiedene technische Lösungen, wie beispielsweise den EPAS-Audit und den EPAS-Enforcer.