Bewährte Verfahren für Richtlinien zur Kontosperrung

Was versteht man unter einer Richtlinie zur Kontosperrung?

Eine Kontosperrungsrichtlinie sperrt vorübergehend den Zugriff auf ein Benutzerkonto, wenn zu viele Authentifizierungsversuche für dieses Konto fehlgeschlagen sind. Die meisten Betriebssysteme und Domänendienste, wie beispielsweise Active Directory, verfügen über Einstellungen zur Konfiguration automatischer Kontosperrungen. Viele Websites, Dienste und andere Online-Ressourcen unterstützen ebenfalls automatische Sperren.

Die Vorteile einer Richtlinie zur Kontosperrung

Der Hauptvorteil von Kontosperrungsrichtlinien besteht darin, dass Angreifer daran gehindert werden, sich unbefugten Zugang zu Benutzerkonten zu verschaffen. Sie verhindert Brute-Force-Angriffe, das heißt Angriffe, bei denen böswillige Akteure Hunderte, Tausende, Millionen oder sogar Milliarden von Passwörtern ausprobieren, um sich bei Benutzerkonten anzumelden. Zu den Arten von Brute-Force-Angriffen gehören Credential Stuffing, Wörterbuchangriffe, Passwort-Spraying und Rainbow-Table-Angriffe. Bei einer Kontosperrung können Angreifer bereits nach wenigen fehlgeschlagenen Anmeldungen für eine gewisse Zeit keine weiteren Versuche mehr unternehmen.

Kontosperrungen können auch auf einen bevorstehenden Cyberangriff hindeuten und so ein frühes Warnsignal für einen möglichen Vorfall sein.

Wie man eine wirksame Richtlinie zur Kontosperrung festlegt

Die größte Herausforderung bei der Verwendung von Kontosperrungsrichtlinien besteht darin, dass sie legitime Benutzer in Unannehmlichkeiten bringen oder stören können. Ein Benutzer, der versehentlich ein paar Mal ein falsches Kennwort eingibt, würde zum Beispiel eine Kontosperre auslösen. Ebenso könnte ein Angreifer einen rechtmäßigen Benutzer durch Erraten eines Kennworts von seinem Konto ausschließen oder ein Kennwort für viele Konten einer Organisation erraten und sie alle sperren.

Bei der Definition einer effektiven Kontosperrungsrichtlinie geht es um ein ausgewogenes Verhältnis zwischen Sicherheit und Verfügbarkeit. Die meisten Richtlinien zur Kontosperrung unterstützen die folgenden Optionen:

• Schwellenwert für die Kontosperrung. Dies ist die Anzahl der aufeinanderfolgenden fehlgeschlagenen Authentifizierungsversuche für ein Konto, die eine Sperre auslösen sollten. Übliche Standardwerte für diese Einstellung sind drei, fünf oder 10 fehlgeschlagene Anmeldeversuche.
• Optionen zur Entsperrung des Kontos. Nach einer Kontosperrung gibt es zwei Optionen:
  - Das Konto bleibt gesperrt, bis ein autorisierter Administrator eine verifizierte Anfrage zur Entsperrung erhält.
  - Das Konto für eine bestimmte Zeit sperren und dann automatisch wieder entsperren.
• Dauer der Kontosperrung. Dies ist die Zeitspanne, in der ein Konto nach Überschreiten der Sperrschwelle gesperrt bleibt. Übliche Standardwerte sind 15, 20 oder 30 Minuten.
• Kontosperrung zurücksetzen. Dies ist die Zeitspanne, nach der die Anzahl der Anmeldeversuche zurückgesetzt wird. Übliche Standardzeiten sind 15, 30 und 60 Minuten.

Einige Systeme unterstützen auch eine Variante der Kontosperrung, die als Authentifizierungs-Backoff bekannt ist. Nach einigen fehlgeschlagenen Authentifizierungsversuchen für ein Konto fügt das System eine kurze Verzögerung - normalerweise in Sekunden - hinzu, bevor der nächste Versuch unternommen werden kann. Bei jedem weiteren fehlgeschlagenen Authentifizierungsversuch wird eine längere Verzögerung eingeführt, die schließlich bis zu Minuten betragen kann. Auf diese Weise kann ein starker Schutz gegen Angriffe zum Erraten von Kennwörtern gewährleistet werden, ohne dass Benutzer, die ein paar Fehler machen, erheblich beeinträchtigt werden.

Administratoren sollten die Details der Kontosperrungsrichtlinie in die Kennwortrichtlinie des Unternehmens aufnehmen und die Benutzer während der Sicherheitsschulung über die Richtlinieneinstellungen informieren.

Wie man eine Richtlinie zur Kontosperrung einführt

Die Einführung einer Richtlinie zur Kontosperrung kann versehentlich legitime Benutzer ausschließen und sogar den Betrieb stören. Deshalb sollte sie schrittweise erfolgen. Befolgen Sie diese Schritte für eine organisierte, effiziente Einführung der Richtlinie:

Entscheiden Sie, wie Sie ein Gleichgewicht zwischen dem Schutz vor unberechtigtem Zugriff und der Verfügbarkeit von Konten herstellen. In den meisten Fällen ist es sinnvoll, einen Schwellenwert von zehn fehlgeschlagenen Anmeldeversuchen festzulegen oder einen Authentifizierungs-Backoff zu verwenden. Bei einigen hochsensiblen Systemen kann es jedoch erforderlich sein, eine strengere Richtlinie für die Kontosperrung festzulegen. In bestimmten Situationen sollten keine Kontosperren verwendet werden, beispielsweise bei Konten der Betriebstechnologie (OT), die aus Gründen der menschlichen Sicherheit immer zugänglich sein müssen.

Implementieren Sie ein Pilotprojekt für die Richtlinie. Je nach den Möglichkeiten des Systems sollten Administratoren die Richtlinie zunächst für eine Untergruppe von Benutzern einführen. Auf diese Weise können die Administratoren das Feedback der Benutzer einholen und das Pilotprojekt auf unerwartete Probleme hin überwachen. Wenn ein System diese Art von Pilotversuch nicht unterstützen kann, besteht eine Alternative darin, eine abgespeckte Version der Richtlinie zu implementieren, beispielsweise einen Schwellenwert von 20 fehlgeschlagenen Anmeldeversuchen einzuführen und diesen Schwellenwert dann im Laufe der Zeit zu ändern, um schließlich den Zielwert zu erreichen

Vollständige Umsetzung der Richtlinie. Sobald die Administratoren sicher sind, dass alle während der Pilotphase festgestellten Probleme behoben wurden, können sie die Richtlinie zur Kontosperrung vollständig umsetzen. Überwachen Sie das System sorgfältig auf unerwartete Probleme und halten Sie sich bereit, die Einstellungen zurückzusetzen, falls sie versehentlich den Betrieb stören.