Sabrina - stock.adobe.com
Active Directory: Richtlinien für Passwörter optimieren
Die meisten in der IT genutzten Passwortvorgaben sind zu starr und unflexibel. Dabei gibt es Strategien, die für mehr Sicherheit und zugleich eine höhere Anwendbarkeit sorgen.
Die moderne IT kennt viele verschiedene Techniken, um Anwender zu authentifizieren. Denken wir nur an digitale Zertifikate, nur einmal einsetzbare Token oder Biometrie.
Trotzdem kann man der Allgegenwärtigkeit von Passwörtern noch nicht entkommen. Eine solide und sichere Passwort-Policy für das Active Directory (AD) im Unternehmen muss sowohl den eigenen Sicherheitsanforderungen entsprechen als auch den Verwaltungsaufwand gering halten.
Auch Passwörter müssen mit der Zeit gehen
Vor der Veröffentlichung von Windows Server 2008 gab es Passwortrichtlinien für Active Directory nur auf dem Domänen-Level. Die Domäne in AD war damals noch die wichtigste Sicherheits- und Administrationseinheit in einem AD Forest.
Demzufolge wurde meist empfohlen, für alle Nutzer in einer Domäne dieselben Security-Vorgaben zu verwenden. Wenn ein Unternehmen jedoch mehr als eine einzige Passwort-Policy einsetzen wollte, dann musste der Forest in mehrere untergeordnete Domänen oder in separate Trees aufgeteilt werden.
Mit Windows Server 2008 führte Microsoft dann erstmals fein justierbare Passwortrichtlinien ein, mit denen Administratoren seitdem auch unterschiedliche Passwortvorgaben für mehrere Gruppen innerhalb ihres Active Directory festlegen können. So kann jetzt etwa eine Passwortrichtlinie für die normalen Nutzer der Domäne erstellt werden, während für die Administratoren und die Service-Accounts strengere Vorgaben möglich sind.
Mehr Sicherheitsrichtlinien bedeuten jedoch auch mehr Arbeit
Der Einsatz von unterschiedlichen Passwort-Policies in einer AD-Domäne bietet nicht nur mehr Flexibilität, sondern erfüllt auch wichtige Voraussetzungen bei der Einhaltung der Compliance-Vorgaben. Er hat aber auch Nachteile. Erstens bedeutet die erhöhte Komplexität bei der Nutzung von Passwörtern in Ihrem Active Directory, dass der administrative Aufwand größer wird und dass die Fehlerbehebung erschwert wird.
Zweitens reagieren die Anwender in der Regel nur wenig begeistert, wenn die Anforderungen an ihre Passwörter steigen. Dieser Prozess erfordert ein Ausbalancieren der nicht selten hohen Sicherheitsanforderungen und andererseits einer nicht zu komplizierten praktischen Anwendbarkeit durch die Nutzer.
Aber woraus besteht eigentlich ein hochwertiges Passwort? Seit längerer Zeit schon gelten in vielen Unternehmen dafür die folgenden Empfehlungen:
- Die Länge sollte mindestens acht Zeichen betragen,
- das Passwort sollte sowohl Groß- als auch Kleinbuchstaben enthalten,
- mindestens eine Ziffer sollte verwendet werden,
- auch ein Sonderzeichen darf in der Regel nicht fehlen und
- nicht zuletzt soll es keinen Bezug zum Nutzernamen haben.
Außerdem sollte sich das ausgewählte Kennwort natürlich in keinem Wörterbuch finden, um Brute-Force-Attacken zu erschweren. Eine beliebte Möglichkeit, ein sicheres Passwort zu erstellen, ist deswegen, sich einen Satz auszudenken und diesen mit Nummern und Sonderzeichen zu erweitern.
Der als Basis dienende Satz sollte dabei so persönlich wie nur möglich sein, um ihn sich leichter merken zu können. Nehmen wir als Beispiel den folgenden ungewöhnlichen Satz: Der Hot-Dog-Verkäufer hat mir 18 kalte Hunde verkauft.
Wichtig ist, dass der Satz eine persönliche Note für Sie hat, so dass Sie ihn nicht vergessen. Nun nehmen wir die ersten Buchstaben jedes Wortes, die Sonderzeichen sowie die Ziffern und erstellen daraus unser individuelles Passwort. Es lautet also DH-D-Vhm18kHv.
Dieses Passwort ist bereits sehr sicher. Sie können es aber auch noch weiter verfeinern, indem Sie etwa bestimmte Buchstaben oder Ziffern mit einem Sonderzeichen ersetzen. Hier sind Ihrer Kreativität praktisch keine Grenzen gesetzt.
Die richtige Balance finden
Einen Rat, den ich meinen Kunden jedoch oft gebe, ist, dass sie ihre Infrastruktur so einfach wie möglich halten sollten. Allerdings auch wieder nicht zu einfach. Was bedeutet das in Bezug auf die Passwort-Richtlinien für Ihr Active Directory?
- Reduzieren Sie die Zahl Ihrer Domänen in Ihrem AD Forest auf das Minimum,
- vereinfachen Sie Ihre Passwort-Richtlinien, halten sich dabei aber an die Vorgaben Ihres Unternehmens oder Ihrer Branche,
- lockern Sie die Passwort-Regeln und
- ermuntern Sie Ihre Nutzer, sich eine durch sie selbst leicht zu merkende Passphrase auszudenken, die aber von anderen nur schwer zu erraten ist
Passwortrichtlinien im Wandel der Zeit
Moment mal, man soll die Passwortregeln lockern? Ja, das haben Sie richtig gelesen. Im Juni 2017 hat zum Beispiel das amerikanische National Institute of Standards and Technology (NIST) die Special Publication 800-63B veröffentlicht, die sich für ein neu ausbalanciertes Vorgehen bei der Benutzbarkeit und Sicherheit von Passwörtern ausspricht.
Wenn Sie zum Beispiel Ihre Domänennutzer dazu zwingen, ihre Passwörter regelmäßig zu ändern, dann werden viele vermutlich einen Teil ihres vorherigen Passworts wiederverwenden, soweit dies eben möglich ist. Beispiele dafür wären etwa Passwort, Passwort1, Passwort2 und so weiter.
Statt diesem Vorgehen rät das NIST zu folgenden Passwort-Vorgaben:
- Die Länge der Passwörter sollte zwischen 8 und 64 Zeichen liegen,
- Sonderzeichen dürfen genutzt werden, sie werden aber nicht mehr vorgeschrieben,
- aufeinander aufbauende oder sich wiederholende Zeichen sollten vermieden werden,
- Kontext-spezifische Passwörter, die mit dem Namen des Anwenders oder dem Unternehmen zusammenhängen, sollten nicht genutzt werden,
- häufiger verwendete Passwörter sind ebenfalls nicht ratsam und
- außerdem sollten keine Passwörter verwendet werden, die bereits Teil eines Datendiebstahls waren und dabei an die Öffentlichkeit gedrungen sind.
Verbessern Sie die Qualität Ihrer Passwörter mit Hilfe von Tools
Diese Empfehlungen sind sinnvoll. Sie sind aber mit den in Active Directory integrierten Werkzeugen nur schwer umzusetzen. Aus diesem Grund entscheiden sich immer mehr Unternehmen für den Erwerb externer Passwort-Tools. Beispiele dafür sind etwa Anixis Password Policy Enforcer, ManageEngine ADSelfService Plus, nFront Password Filter, Specops Password Policy, Thycotic Secret Server sowie Tools4ever Password Complexity Manager.
Diese Tools greifen in der Regel auch auf die Cloud zu, um verwendete Passwörter mit in bekannt gewordenen Datendiebstählen verzeichneten Einträgen zu vergleichen. Außerdem kennen sie die am häufigsten verwendeten Passwörter. Dadurch und durch weitere Funktionen, die sie bieten, sorgen sie dafür, dass Ihre Passwort-Policies weit moderner und zugleich flexibler als bisher werden können.
Gerade in Anbetracht der Kosten, die durch einen durch ein schwaches Passwort möglich gewordenen Datendiebstahl auf Sie zukommen, rechnet sich eine Investition in diese Werkzeuge in praktisch allen Fällen.