Sabrina - stock.adobe.com

Überholte Passwortregeln über Bord werfen

Nutzer regelmäßig das Passwort ändern lassen und dabei Komplexität einfordern, trägt nicht zur Security bei, sondern schwächt diese. Dennoch sind veraltete Regeln noch in Gebrauch.

Unternehmen, die eine Richtlinie zum Ablauf von Kennwörtern durchsetzen, müssen den Tatsachen ins Auge sehen: derartige Policies zum Ablauf von Passwörtern suggerieren Sicherheit, aber sie schaden mehr als sie nützen.

Ein Kennwort ist ein gemeinsames Geheimnis, das zur Authentifizierung eines Benutzers verwendet wird. Technisch gesehen dient dieses gemeinsame Geheimnis als Authentifizierungsfaktor nach dem Motto „Etwas, das Sie wissen“. Wenn Sie das Kennwort des Kontos kennen, authentifiziert das System Sie und gewährt Ihnen Zugriff auf das Konto. Für viele Benutzer ist die Passwortsicherheit der sichtbarste Aspekt der Cybersicherheit, mit dem sie regelmäßig in Berührung kommen.

Wie können sich Unternehmen vor Cyberkriminellen schützen, die Passwörter erraten oder sich auf andere Weise Zugang zu Konten verschaffen? Die altbewährte Lösung, die so alt ist wie Mainframes mit mehreren Benutzern, besteht darin, eine Richtlinie zum Ablauf von Kennwörtern zu verwenden, um Benutzerkonten zu zwingen, ihr Kennwort nach einer bestimmten Anzahl von Tagen, Wochen oder Monaten zu ändern.

In den Anfängen des Mainframe-Computings mit mehreren Benutzern war eine Richtlinie zum Ablauf von Kennwörtern ein ausreichender Schutz. Die Richtlinien legten die Länge und das Alter der Passwörter so fest, dass sie widerspiegelten, wie lange ein Angreifer brauchen würde, um die Systempasswörter zu knacken.

Damals wie heute konnte die obligatorische Ablauffrist für Kennwörter neue Passwörter erfordern, und zwar von einmal im Jahr bis alle 30, 60 oder 90 Tage. Ein Passwort mit sechs alphanumerischen Zeichen war wahrscheinlich lang genug, um es vor Brute-Force-Angriffen auf frühen Mainframes zu schützen. Dies wurde als ausreichend angesehen, um sich vor einem Cyberangriff zu schützen.

Die Entwicklung von Passwortrichtlinien

Dasselbe sechsstellige Kennwort kann jedoch heute mit handelsüblichen Computersystemen und frei verfügbarer Software in Echtzeit - oder annähernd Echtzeit - geknackt werden. Da es immer einfacher wurde, sechsstellige Passwörter zu knacken, die so einfach wie „123456“ oder „ABCDEF“ sein konnten, begannen Experten, eine immer größere Anzahl von Taktiken zu entwickeln, um Passwörter schwieriger zu knacken.

Außerdem wurden die Ablaufdaten von Passwörtern beschleunigt und die Anzahl der Passwortrücksetzungen von einmal pro Jahr auf vier, sechs oder sogar zwölf Mal pro Jahr erhöht. Im Laufe der Zeit wurden Taktiken wie die folgenden entwickelt, um das Erraten von Kennwörtern zu erschweren:

  • Längere Kennwörter sind stärker. Kennwörter mit acht Zeichen gelten als sicherer als Kennwörter mit sechs Zeichen, da sie mehr eindeutige Kombinationen gültiger Kennwortzeichen enthalten.
  • Lassen Sie es mit mehr gültigen Zeichen zufällig aussehen. Wenn Benutzer Passwörter wählen, die viele verschiedene Arten von Zeichen enthalten, wird die Aufgabe des Passwort-Crackers erschwert, da bei einem Brute-Force-Angriff viel mehr einzigartige Kombinationen durchlaufen werden müssen. Bei dieser Regel geht es darum, die Verwendung von Symbolen und Satzzeichen sowie von Zahlen und Groß- und Kleinbuchstaben zuzulassen. Mehr Zeichentypen bedeuten, dass mindestens ein Zeichen - oder zwei oder mehr - aus jeder der zulässigen Zeichengruppen verwendet werden muss. Dies äußert sich in Passwortrichtlinien wie der folgenden: „Passwörter sollten mindestens aus einer Mischung von drei der folgenden Zeichen bestehen: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen - sofern zulässig.“
  • Ändern Sie Kennwörter schneller, als sie geknackt werden können. Diese Strategie ist wirksam, wenn ein Kennwort geknackt und unbemerkt ausgenutzt wird. Theoretisch kann der Angreifer das Kennwort nur für die verbleibende Lebensdauer des Kennworts verwenden und verliert den Zugriff nach Ablauf des Kennworts.
  • Verhängen Sie weitere Beschränkungen. Diese können die Verwendung von Mustern, sich wiederholenden Zeichen und inkrementierenden oder dekrementierenden Zählern in Passwörtern einschränken. Diese Ansätze erschweren die Erstellung vorhersehbarer Kennwörter, was ein Problem für Benutzer darstellt, die leicht zu merkende Kennwörter benötigen. Unternehmen, die die Passwortsicherheit mit dieser Taktik verbessern wollen, müssen auch den Passwortverlauf verfolgen und alte Passwörter mit neuen Passwörtern vergleichen sowie überprüfen, ob neue Passwörter mit der Passwortrichtlinie übereinstimmen.

Heute funktioniert nur noch die erste dieser Taktiken - länger ist stärker - zuverlässig. Der Rest trägt nachweislich nicht viel zur Verbesserung der Passwortsicherheit bei.

Die Passwortlänge ist entscheidend

Im Jahr 2017 veröffentlichte das NIST Leitlinien für verbindliche Passwortrichtlinien, die die neue Realität widerspiegeln: Eine ausgenutzte Passwortdatei kann nun innerhalb von Stunden statt Wochen oder Monaten geknackt werden. Das Ändern von Passwörtern alle 90 Tage könnte dazu führen, dass ein offengelegtes Passwort bis zu drei Monate lang von einem Angreifer genutzt werden kann.

Nach Ansicht des NIST ist es weitaus besser, Passwörter sofort zu ändern, wenn eine Sicherheitslücke entdeckt wurde, als viermal im Jahr Änderungen zu verlangen, selbst wenn kein Risiko festgestellt wurde. Wenn ein sicheres Kennwort nie abläuft - und das Kennwort nie durch Diebstahl oder Angriff kompromittiert wird – muss der Benutzer dieses Kennwort nie ändern. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat die Hinweise zum regelmäßigen Ändern des Passwortes im Jahr 2020 aus dem IT Grundschutz entfernt und rät nicht mehr dazu.

Auch Anbieter wie Microsoft raten in ihren Empfehlungen für Administratoren Passwörter nicht ablaufen zu lassen und diese nicht regelmäßig zu ändern und auch keine Sonderzeichen vorzuschreiben..

Was das Passwort selbst angeht, so ist länger besser. Die Komplexität spielt keine Rolle: Ein 12-Zeichen-Passwort, das nur aus Buchstaben und Zahlen besteht, ist stärker als ein 8-Zeichen-Passwort mit Einschränkungen in Bezug auf genau die Merkmale, die ein Passwort leicht zu merken machen würden.

Andere bisher angewendete Taktiken zur Passwortsicherheit – kompliziertere Passwörter und obligatorische 30/60/90-Tage-Passwortänderungen – verringern die Sicherheit, suggerieren aber das Gegenteil.

Erzwungen Passwortänderungen fördern unsichere Handlungsweisen

Der neue Konsens über Kennwortänderungsrichtlinien ist, dass sie unnötig sind. Selbst die strengsten Passwortänderungsrichtlinien halten entschlossene Passwortknacker nicht auf. Häufige Änderungen bedeuten, dass Benutzer oft auf unsichere Praktiken zurückgreifen, um sich diese Passwörter zu merken, einschließlich der folgenden:

  • Das Notieren des Kennwortes auf Haftnotizen, die leicht zugänglich sind.
  • Es werden vorhersehbare Passwörter verwendet. Beispielsweise neue Passwörter, bei denen einige der Zeichen wiederverwendet werden, mit einem Buchstaben oder einer Zahl, die sich bei jedem neuen Passwort schrittweise ändert. Wenn ein altes Kennwort, zum Beispiel N3wP@ssw7d:002, bei einem früheren Angriff geknackt wird, kann der Hacker sechs Monate später erraten, dass dieselbe Benutzer-ID das Kennwort N3wP@ssw7d:003 oder N3wP@ssw7d:004 verwenden wird.
  • Wiederverwendung von Passwörtern. Wenn der Administrator vorschreibt, dass keines der letzten fünf Passwörter wiederverwendet werden darf, kann ein Benutzer sechsmal ein neues Passwort wählen, um es wiederverwenden zu können. Benutzer, die ihr Leben vereinfachen wollen, sind in der Regel motivierter als diejenigen, die mit der Durchsetzung solcher Vorschriften beauftragt sind.

Empfehlungen für sichere Passwörter

Um die Effektivität von Passwörtern zu verbessern, ist es besser, geeignete Passwortrichtlinien zu entwickeln und einzusetzen und gleichzeitig mehr Ressourcen auf Themen wie die folgenden zu konzentrieren:

  • Sicherstellen, dass für sensible Systeme strengere Passwörter erforderlich sind;
  • Einschränkung der Benutzerrechte, um die Auswirkungen der Ausnutzung von Passwörtern zu verringern; und
  • Cybersicherheitsmaßnahmen zur Aufspürung von Kennwortschwachstellen und zur Erkennung der Ausnutzung von Kennwörtern.

Unternehmen können den Passwortschutz am besten verbessern, indem sie die Arbeitsabläufe bei der Passwortverwaltung verbessern und den Benutzern die Möglichkeit geben, ihre Passwörter durch automatische Passwortänderungssysteme selbst zu ändern, wenn dies einmal erforderlich sein sollte.

Moderne Leitlinien für sichere Passwortrichtlinien

Passwörter sind der traditionell akzeptierte Mechanismus für die Benutzerauthentifizierung, auch wenn sie für diesen Zweck zunehmend ungeeignet sind. Moderne Best Practices für die Authentifizierung und Passwortverwaltung konzentrieren sich auf Folgendes:

  • die Benutzer anzuhalten, lange und sichere Passwörter zu wählen;
  • die Unterstützung der Nutzer beim Schutz dieser Passwörter; und
  • die Verpflichtung der Benutzer, ihre Passwörter nach der Entdeckung eines Passwortangriffs zurückzusetzen.

Auch die Multifaktor-Authentifizierung (MFA) wird zunehmend in den Authentifizierungsprozess der Benutzer einbezogen. Da MFA von den Benutzern als Belastung empfunden werden kann - insbesondere von denjenigen, die mit der obligatorischen Rücksetzung von Passwörtern zu kämpfen haben - kann die Abschaffung der obligatorischen Rücksetzung von Passwörtern der MFA-Einführung den Schrecken nehmen.

Erfahren Sie mehr über Identity and Access Management (IAM)