Passwortregeln auf den Prüfstand stellen

Möglichst komplizierte, lange Passwörter, die regelmäßig geändert werden müssen – das muss nicht unbedingt die Sicherheit erhöhen.

Microsoft hat in einem Blogpost angekündigt, künftig in Microsoft Azure AD sowie dem Microsoft-Konto automatisch gängige Standardpasswörter nicht zuzulassen. Über den Microsofts Incident Report habe man Erkenntnisse über 10 Millionen Accounts, die täglich angegriffen werden und welche Passwörter bei dergleichen Attacken eine Rolle spielen.

Wenn Nutzer künftig entsprechende, leicht zu erratende, Kennwörter beispielsweise bei ihrem Microsoft-Konto verwenden wollen, bekommen sie einen Hinweis, es dem Angreifer doch ein wenig schwerer zu machen. Damit führt Microsoft eine Art dynamische Blacklist für einfache Kennwörter ein. Dies gilt, wie erwähnt, für das Microsoft-Konto als auch für Azure AD (Active Directory). Laut Alex Weinert, Group Program Manager of Azure AD Identity Protection, sei derlei Funktionalität für lokales Active Directory zwar auf der Roadmap, wann dies implementiert würde, stünde aber noch nicht fest.

An gleicher Stelle äußert sich Microsoft zu einigen weitverbreiteten Regeln bezüglich der Nutzung von Passwörtern – diese würden die Sicherheit keineswegs immer erhöhen. Zwinge man Nutzer beispielsweise dazu, besonders lange Passwörter (mehr als zehn Zeichen) zu wählen, würde dies häufig ein vorsehbares Verhalten der Nutzer zur Folge haben. Und jedes vorsehbare Verhalten macht es Angreifern leichter. Bei besonders langen Kennwörtern seien beispielsweise häufig Wortdoppler anzutreffen. Zudem würden Anwender diese Passwörter häufig aufschreiben, unverschlüsselt ablegen oder mehrfach verwenden – aufgrund der Komplexität.

Anwender dazu zu veranlassen, möglichst verschiedene Zeichenarten zu verwenden, würde gleichfalls nicht zwangsläufig die Sicherheit erhöhen. Hier verweist Microsoft zudem auf ein englischsprachiges Whitepaper zum Thema (Do Strong Web Passwords Accomplish Anything?, PDF). Sind bestimmte Zeichen gefordert, würden Nutzer gleichfalls häufig vorhersehbar und damit angreifbar reagieren. Großbuchstaben seien in der Regel am Anfang des Kennwortes, numerische Werte hingegen meist am Ende des Passwortes anzutreffen.

Abbildung 1: Wer in Zukunft beim Microsoft-Konto oder einigen Microsoft-Cloud-Dienst ein zu einfaches oder leicht zu erratendes Passwort wählt, bekommt einen entsprechenden Hinweis.

Und wenn man Nutzer schon dazu nötigt, möglichst lange und komplexe Passwörter zu nutzen, dann reagieren diese auf ein regelmäßiges Ablaufdatum entsprechend. Untersuchungenn hätten ergeben, das die Anwender häufig mit vorhersehbaren Variationen ihrer Kennwörter dem entsprechenden Passwortintervalle begegnen. Dieses Verhalten dürfte jedem Anwender und auch Administrator durchaus bekannt vorkommen.

Tipps für mehr Passwortsicherheit

Microsoft hat ein seinem Whitepaper Microsoft Password Guidance (PDF) zudem ein paar Ratschläge für Administratoren und Anwender zusammengestellt.

Wie eingangs beschrieben, will Microsoft mit einer Art Blacklist gebräuchlicher Kennwörter für einige seiner Dienste die Basissicherheit erhöhen. Dazu gehören klassische Zeichenfolgen (abcdefg, password, 123567) und häufig genutzte Passwörter, die beispielsweise bei bekannt gewordenen Account-Diebstählen beobachtet werden konnten. Dieses Ausschließen gebräuchlicher Kennwörter für die eigenen Systeme würde die Sicherheit erheblich steigern.

Darüber hinaus ist die Schulung (Security Awareness Training) der Nutzer in Sachen Sicherheitsbewusstsein nach wie vor ein elementares Hilfsmittel. Es sei ein großes Problem, dass Zugangsdaten beziehungsweise Kennwörter, die Anwender für Firmenaccounts benutzen, auch bei privaten Diensten verwendet würden. Werden dann die Zugangsdaten dieser privaten Angebote kompromittiert, gefährdet dies häufig auch den Firmenzugang der Nutzer.

Wann immer technisch möglich, sollte eine Multifaktor-Authentifizierung eingerichtet werden. Anwender kennen dies zunehmend auch von ihren privaten Diensten, was die Akzeptanz derlei Lösungen erhöht.

Anwender sollten ihre Zugangsdaten keinesfalls für mehrere Dienste verwenden, das erhöht die Angreifbarkeit erheblich. Das macht es angesichts der vielfältigen Zugänge für Anwender allerdings nicht immer einfacher, zumindest ohne Hilfsmittel wie Passwort-Manager. Zudem rät Microsoft beispielsweise dazu, wenn möglich eine zweite Benachrichtigungsadresse zu hinterlegen. Das muss ja nicht die Mobilfunknummer sein. Falls Anwender proaktiv eine 2-stufige-Anmeldung bei Diensten auswählen könnten, dann sollten sie dies tun. Bei der Auswahl der eigenen Passwörter rät Microsoft beispielsweise zu Buchstabenwörtern von Sätzen, die man sich selbst gut einprägen kann.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close