Passwortrichtlinien neu gestalten

Dass Passwörter schlimm sind, ist keine Neuigkeit! Wie kann man aber effektiv sicherstellen, dass Anwender sichere Passwörter verwenden? Die einzig echte Aternative sind ausgereifte intelligente Passwortrichtlinien!

„Ausgereift“ und „intelligent“ sind dabei zwei Vokabeln, die es in sich haben.

Intelligent und komplex unterscheiden sich

Das bloße Erzwingen von Komplexität mit Passwortrichtlinien hilft nicht besonders. Wie mein Kollege bereits in seinem Beitrag „Vom Hash zum Passwort“ beschrieben hat, wissen auch Angreifer recht genau, wie Substitution funktioniert. Auch die benutzten Sonderzeichen sind überschaubar und liegen in der Regel in Bereichen, die ohne Umstand auf dem Tastatur-Layout verfügbar sind.

Ein Beispiel: Die beliebtesten Sonderzeichen in Passwörtern sind @, !, ,, ., ;
Man findet in Passwörtern so gut wie nie Zeichen wie: ² oder ~
Das liegt mitunter auch daran, dass Passwörter auf verschiedenen Systemen verwendbar sein müssen. Die Sonderzeichentabelle auf mobilen Endgeräten ist aber tatsächlich eingeschränkt! Versuchen Sie doch mal auf Ihrem Smartphone oder Tablet das Zeichen ² einzugeben.

Das bedeutet: Die Sonderzeichen, die theoretisch zur Verfügung stehen und die Sonderzeichen, die tatsächlich benutzt werden unterscheiden sich!

Ausgereift – was das in Bezug auf Passwörter bedeutet

Inzwischen wissen wir ganz gut, dass die erzwungene Komplexität und die Einführung von Ablaufdaten in Passwortrichtlinien eher zu schlechten Passwörtern führt. Die bis vor kurzem propagierte Anforderung, dass Passwörter mindestens 8 Zeichen lang sein, aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen bestehen müssen, führt zu sehr leicht zu erratenden Passwörtern. Das liegt daran, dass Anwender kreativ sind und Strategien entwickeln.

Noch ein Beispiel gefällig?
Frühjahr2018! und Sommer2018!, etc.
Diese Passwörter entsprechen der Richtlinie, sind sogar bedeutend länger als 8 Zeichen, sicher sind sie aber nicht.

Ausgereift ist eine Passwortrichtlinie also nur dann, wenn sie eine ausreichende Mindestlänge erzwingt (z.B. 12 Zeichen!), um Bruteforce-Angriffe zu erschweren oder gar zu verhindern. Zusätzlich muss sie sicherstellen, dass Wörterbuchattacken nicht funktionieren. Das geht nur im Moment der Passwortvergabe, und nur, wenn auch ein Wörterbuch verfügbar ist.

Was also konkret tun?

Zunächst benötigt man ein Wörterbuch mit schwachen Passwörtern.  Der australische Sicherheitsforscher Troy Hunt hat eine Datenbank mit über 500 Mio. Passwörtern veröffentlicht. Dabei handelt es sich um Passwörter, die bereits „gestohlen“ wurden. Die Datenbank kann sogar per API abgefragt werden.

Gegen diese Datenbank sollte also geprüft werden, sobald ein Anwender ein neues Passwort vergibt.

Bei Active Directory geht das nur mit zusätzlichen Tools! Diese gibt es in verschiedenen Ausprägungen. Entweder man hat das Vertrauen in diesen Entwickler einer DLL. Oder man verlässt sich auf kommerzielle Tools wie AD Audit.

Die Steigerung des Ganzen wäre die Kombination mit einem echten Passwordaudit Tool wie z.B. EPAS. Größter Vorteil dieses Tools ist, dass alle möglichen Passwörter (nicht nur Active Directory) auditiert werden, und eine echte Nutzerinteraktion stattfindet.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *