Was wird sicheren Kennwörtern nicht alles nachgesagt: Sie sollten möglichst lang sein, möglichst komplex, aus allen vier Zeichenarten bestehen, und so fort. Doch gerade, wenn es um Kennwörter geht, die sich nicht ausschließlich auf einem lokalen Rechner befinden, sondern innerhalb einer Netzwerkinfrastruktur genutzt werden, kommen noch zwei bis drei weitere Aspekte hinzu. Davon soll in diesem Beitrag die Rede sein.
Häufige Fehler bei der Kennwortvergabe und wie sich die umgehen lassen
Bei der Vergabe von Kennwörtern werden nach wie vor bestimmte Kriterien und Aspekte nicht beachtet. Dazu gehört beispielsweise die Mindestlänge eines Kennworts, dessen Komplexität und weitere Gesichtspunkte. Hierzu zählt vor allem der Ratschlag, möglichst für jedes Benutzerkonto ein anderes, starkes Passwort zu verwenden. Was leider oft ignoriert wird, da Anwender:innen es oft als mühsam erachten, diesen Aufwand zu betreiben. Doch zum Glück gibt es zahlreiche Kennwort-Manager, die diese Aufgabe übernehmen können.
Unternehmen unterschätzen sichere Kennwörter immer noch
Die Risiken, die sich aus dem Diebstahl von Kennwörtern ergeben, werden vielerorts bis heute unterschätzt. Jedoch ist bekannt, dass der Versuch von Cyber-Kriminellen oft damit beginnt, mithilfe bekannter Kennwörter in ein Firmennetzwerk einzudringen. Die größte Gefahrenquelle stellen hierbei Anwender-PCs dar, die nur unzureichend geschützt sind, da sie mit einem schwachen Kennwort gesichert werden. Erlangt ein Unbefugter darüber Zugang in das Firmennetzwerk, stehen ihm alle Möglichkeiten offen.
Neben dem hohen Risiko, das von solch einem Hackerangriff ausgeht, bestehen weitere Gefahren. Dazu gehört beispielsweise, dass „erbeutete“ Kennwörter im so genannten Darknet zum Kauf angeboten werden. Das vervielfacht das Risiko eines Sicherheitsvorfalls, der aus dem Offenlegen von Kennwörtern resultieren kann. Daraus ergeben sich weitere weitreichende Konsequenzen wie das Melden dieses Vorfalls bei der entsprechenden Behörde, woraus ein erheblicher Image-Schaden entstehen kann, wenn dieser Fall der Öffentlichkeit bekannt wird.
Aber auch der erhebliche Aufwand, der aus dem Absichern eines angegriffenen Firmennetzwerks entstehen kann, darf auf keinen Fall unterschätzt werden. Denn das kostet Zeit und Geld und erfordert die passende Expertise des Unternehmens, die leider nicht immer im notwendigen Maße vorhanden ist.
Erste Ratschläge zur Passwortsicherheit
Sichere Kennwörter folgen bestimmten Empfehlungen und Erkenntnissen, was ihre Länge, Komplexität und das häufige Erneuern betreffen. So soll ein starkes Kennwort möglichst lang sein und sich aus den vier Zeichenarten zusammensetzen (Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen). Zudem sollte es nicht aus Worten bestehen, die im Wörterbuch zu finden sind. Aber auch Namen, Geburtstage oder Telefonnummern stellen keine gute Idee dar. Selbst wenn es unsinnig erscheint: Zahlenfolgen wie 123456 werden bis heute genutzt, obwohl regelmäßig davon abgeraten wird.
Da das Verwalten und turnusmäßige Erneuern von Kennwörtern vielen Anwender:innen zu aufwändig erscheint, empfiehlt sich der Einsatz eines Kennwort-Managers wie KeePass, der obendrein eine 2-Faktor-Authentifizierung ermöglicht. Damit lassen sich bestimmte Kennwörter von Hause aus ausschließen und darüber hinaus bestimmte Richtlinien festlegen, die die Vergabe von Passwörtern klar regeln. Das erleichtert das Erstellen und Verwalten von Kennwörtern erheblich.
Pro-Tipp: Mit Specops Secure Access stellt der Sicherheitsanbieter Outpost24 ab sofort ein Tool bereit, mit dem sich eine zuverlässige Multifaktor-Authentifizierung erreichen lässt. Das Werkzeug erhöht die Sicherheit und ist zudem Compliance-konform.
Innerhalb einer Active Directory-Umgebung stellt der Sicherheitsanbieter Specops diverse Password Policy-Tools zur Verfügung, die sich direkt in die Active Directory Gruppenrichtlinien-Verwaltungskonsole (GPMC) integrieren lassen. Damit können IT-Administratoren Passwortrichtlinien in ihrer gesamten Organisation unter Verwendung vertrauter Tools und Verfahren aufstellen und verwalten.
Erste Schritte für mehr Passwortsicherheit: Specops Passwort-Auditor
Für eine höchstmögliche Kennwortsicherheit der eigenen Active Directory-Umgebung steht ein kostenloses Tool namens zum Download zur Verfügung. Damit lassen sich ungeschützte Anwenderkonten sowie bekannte kompromittierte Kennwörter identifizieren. Aber auch doppelte Passwörter lassen sich auf diesem Weg erkennen und beheben. Damit können IT-Admins zudem Benutzerkonten entdecken, die den eigenen Kennwortrichtlinien nicht entsprechen und damit ein hohes Sicherheitsrisiko darstellen.
Aus diesen umfangreichen Passwörter-Checks resultieren aussagekräftige Berichte in Form einer PDF-Datei. Daraus lassen sich weitere Maßnahmen zur Verbesserung der IT-Sicherheit ableiten. Schön daran ist auch, dass auf diesem Weg die implementierten Passwortrichtlinien mit den gängigen Industriestandards und den Empfehlungen von BSI, CJIS, PCI, HITRUST, NCSC, CNIL, ANSSI, und NIST abgeglichen werden können.
Disclaimer: Dieser Blogpost ist im Auftrag des Sicherheitsanbieters Outpost24 entstanden. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.