Passwörter und die Probleme dahinter

Welche Passwortrichtlinien soll ich verwenden? Sollen Passwörter regelmäßig zurückgesetzt werden? Wie häufig soll ein Passwort geändert werden? In diesem Blogeintrag wollen wir Empfehlung an die Hand geben, um diese Fragen für die eigene IT beantworten zu können.

Was empfiehlt das BSI?

Das BSI gibt an, dass die folgenden Merkmale für ein sicheres Passwort mindestens gegeben sein sollen (vgl. [1] und [2]):

• Mindestens 8 Zeichen, je länger das Passwort, desto besser. In der BSI-Gruppenrichtlinie zu Passwörtern werden 14 Zeichnen verwendet.
  Grund hierfür sind vor allem Bruteforce-Angriffe, welche mit längeren Passwörtern zeitaufwendiger werden.

• Keine Kombination aus persönlichen Daten (wie z.B. Geburtstag, Name, Wohnort etc.)
  Da viele dieser Daten durch Recherchen auffindbar sind, kann ein gezielter "Angriff" auf einen Nutzer mit einem solchen Passwort stark erleichtert werden. Beispiele wären hierfür Max1945Mustermann (enthält den Namen und den Geburtstag) oder auch 2021FelixHüttenweg (enthält Geburtsdatum und Name des Haustieres und einen Straßenname)

• Enthält keine gängigen Muster (123456789, qwertzuiop = Die oberste Zeichenreihe einer Tastatur, Passwort1234 etc.)
  Gängige Muster sind oft Teil einer Passwortliste, welche Angreifer für Bruteforce-Angriffe nutzen. Diese Angriffsmethode wird wegen der Passwortliste als Dictionary-Bruteforce-Angriff bezeichnet. Ein Beispiel für eine solche Liste finden Sie unter [3]. In der Regel befinden sich auf solchen Listen auch leichte Veränderungen solcher Muster, wie das Ersetzen von Zeichen durch ähnliche Sonderzeichen (am Beispiel von "Passwort":  P@ssw0rd P@55w.rd etc.)

• Besteht nicht aus einem simplen Passwort, welchem Sonderzeichen hinzugefügt wurden (am Beispiel von "Passwort": !%/(Passwort#! ).
  Solche Passwörter können mit Bruteforce-Tools auch automatisch erraten werden, da der Hauptteil bereits Teil einer Passwortliste ist

• Sollte aus einer willkürlichen Zeichenfolge inkl. Sonderzeichen, Ziffern, Groß- und Kleinschreibung bestehen

Unter diesen Voraussetzungen wäre "0P^1a$1QdlBf" ein sicheres Passwort. Zudem empfiehlt das BSI, einen Passwortmanager zu nutzen [4], welches das Merken von solchen Passwörtern übernimmt. Zusätzlich bieten viele Passwortmanager eine Funktion zum Erstellen von sicheren Passwörtern an. Auch eine Multi-Faktor-Authentifizierung (MFA) wird empfohlen, da die Kenntnis des Passworts für einen Angriff auf ein Konto mit aktiviertem MFA nicht mehr ausreicht.

Wie oft sollte das Passwort geändert werden?

Die Empfehlung geht mittlerweile davon weg, häufig Passwörter zu ändern und stattdessen komplexe Passwörter mit einer Multifaktorauthentifizierung zu verwenden.

In der Theorie ist das regelmäßige Ändern von Passwörtern eine Methode, um die Sicherheit von Passwörtern zu erhöhen. In der Praxis hat dies jedoch zur Folge, dass immer weniger komplexere Passwörter verwendet werden, da die Nutzer sich neue komplexe Passwörter nicht merken können oder wollen. Besser ist daher ein sicheres Passwort zu verwenden und die Sicherheit über die Multifaktorauthentifizierung nochmals zu erhöhen.

Klar ist, dass das Passwort geändert werden soll, wenn das Passwort abhandengekommen ist oder in der Protokollierung merkwürdige Zugriffe verzeichnet werden. Dies erfordert, dass hier ein Monitoring seitens der IT durchgeführt wird, um solche Zugriffe zu erkennen.

Auch sollte zwischen hochprivilegierten Konten, normalen Nutzerkonten und Konten, die bereits mehrere Jahre in der Umgebung sind, unterschieden werden. Hochprivilegierte Nutzer sollten die Wichtigkeit von komplexen Passwörtern kennen, diese standardmäßig verwenden und auch mit Tools wie einem Passwortmanager zurechtkommen. Zudem ist der Verlust eines hochprivilegierten Kontos schwerwiegender als die von normalen Nutzern.

Viele Organisationen haben Konten, die schon seit 10 Jahren im Active Directory (AD) vorhanden sind jedoch nie ihr Passwort ändern mussten. Vor 10 Jahren war das Thema der Passwortsicherheit noch nicht so präsent wie es heute ist. Außerdem war es zu dieser Zeit gängiger schwache Passwörter zu verwenden. Daher empfiehlt es sich, solche Konten durch eine Passwortänderung (Passwortänderungen erzwingen) auf den Stand aktueller Passwortrichtlinien zu bringen.

Was ist praktikabel?

Was praktikabel ist, hängt von den technischen Fähigkeiten der Mitarbeiter, die Arbeitsweise der Mitarbeiter, der Zielgruppe und der Art des Kontos (hochprivilegierter/normaler Nutzer) ab. Daher sollten zunächst die Nutzergruppen aufgeteilt werden:

Administratoren/hochprivilegierte Konten: Solche Nutzer haben ein gewisses technisches Know-how. Diese Nutzer können typischerweise mit Multifaktorauthentifizierung und Passwortmanagern umgehen. Der Verlust eines solchen Accounts hat hohe Auswirkungen, daher sollten hier die Sicherheitsmaßnahmen besonders streng sein. Bspw. ein besonders komplexes Passwort mit Multifaktorauthentifizierung und eine jährliche Änderung des Passwortes.

Ein Administrator sollte zwei Konten besitzen, ein normales Nutzerkonto ohne Administratorberechtigungen und ein Administratorkonto.

Normale Nutzer: Bei normalen Nutzern kann nicht vorausgesetzt werden, dass ein technisches Know-how vorhanden ist. Ein regelmäßiges Ändern des Passworts wäre nicht sinnvoll, da hierdurch die Arbeit des Nutzers eingeschränkt werden würde und zugleich eine erhöhte Anzahl an Helpdesk-Anfragen durch Nutzer, die Hilfe beim Ändern eines Passworts brauchen, auftritt.

Hierfür gibt es die Möglichkeit bspw. komplexere Passwörter zu verwenden. Dafür legt die IT Passwortrichtlinien fest. Der Nutzer muss sich über diese Richtlinien informieren oder geschult werden, was ein sicheres Passwort ist und wie er sich ein solches merken kann oder den Umgang mit einem Passwortmanager lernen.

Eine weitere Möglichkeit wären komplexe Passwörter mit Multifaktorauthentifizierung zu verwenden. Hierbei wird die IT bzw. der Helpdesk benötigt, um Unterstützung bei der Einrichtung und Verwendung zu bieten. Andernfalls wird der Arbeitsablauf der Nutzer gestört und eingeschränkt.

Normale Nutzer die lange im Unternehmen bestehen: Gemeint sind Nutzer, die sehr lange in der Organisation bestehen, das Passwort nie geändert haben und das Passwort zu einer Zeit erstellt haben, in der das Thema Passwortsicherheit nicht im selben Maße wie heute präsent war. Die Passwortrichtlinien sollten für solche Nutzer auf den aktuellsten Stand gebracht und die Passwörter daran angepasst werden. Auch hier ist wieder ein gewisses Know-how nötig, um einschätzen zu können, was sichere Passwörter sind.

Generell sollten die Berechtigungen der Nutzer und hochprivilegierten Nutzer eingeschränkt werden, damit im Falle eines Kontodiebstahls ein möglichst geringer Schaden angerichtet werden kann.

Wer ist verantwortlich für sichere Passwörter?

Sichere Passwörter sind nicht allein die Aufgabe der IT.

Die IT sollte Richtlinien für sichere Passwörter vorgeben, indem sie bspw. die Passwortlänge, Passwortkomplexität und Passwortänderungen in bestimmten Zeitabständen vorgibt.

Die schönsten Konfigurationen der IT führen nicht zu einer Verbesserung der Sicherheit, wenn die Nutzer nicht mitziehen und alles darangeben, um Passwörter zu erstellen, die möglichst einfach zu merken oder identisch zu den Passwörtern auf andere Diensten sind.

Warum verwenden Nutzer einfache Passwörter?

Einfache Passwörter werden meist verwendet, weil diese einfach zu merken sind. Passwörter, die immer wieder nachgeschlagen werden müssen, erschweren und verlangsamen den Arbeitsalltag. Hat man sich dann gerade ein komplexes Passwort gemerkt, wird ggf. von der IT eine Passwortänderung erzwungen. Das erschwert den Arbeitsalltag natürlich weiter, weil man sich nun erneut auf ein neues Passwort einstellen muss. Der Erfolg des ganzen ist, dass weiterhin möglichst einfache Passwörter gewählt werden, um den Arbeitsalltag nicht zu erschweren.

Wenn einem IT-Sicherheit wichtig ist, dann sind Maßnahmen wie Passwortkomplexität als integraler Bestandteil der IT-Infrastruktur erforderlich.

Wie können sichere Passwörter und der Arbeitsalltag in Einklang gebracht werden?

Für den Einklang müssen sich IT und Nutzer aufeinander zubewegen.

Die IT gibt die Regeln für Passwörter vor und sollten dann die Nutzer mit Passwörtern, die sich keiner merken kann nicht alleine im Regen stehen lassen. Hierfür gibt es Tools wie Passwortmanager, mit welchen das Merken von Passwörtern nicht mehr nötig ist.

Die Nutzer müssen ihre Arbeitsweise anpassen und davon wegkommen einfache Passwörter und für jedes Kontodasselbe Passwort zu verwenden. Auch sollen Nutzer sich weiterbilden, wie man sich bspw. komplexe Passwörter einfach merken kann oder wie ein Passwortmanager funktioniert. Das BSI stellt hierfür extra Videos zur Verfügung [2]. 

Die Voraussetzung hierfür ist jedoch, wie bei so allem, dass den Nutzern und der IT Zeit für die Umstellung zur Verfügung gestellt wird. Diese Aufgabe liegt typischerweise beim Management oder der Führungskraft. Die IT braucht Zeit, um ein Monitoring einzuführen, Ihre Prozessabläufe anzupassen und die Nutzer zu schulen. Die Nutzer benötigen Zeit, um ihre Prozesse anzupassen, Umgang mit den neuen Technologien zu lernen und das Wissen aufzubauen, warum bestimmte IT-Maßnahmen wichtig sind.

Links

[1: Sichere Passwörter Faktenblatt BSI] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/sichere_passwoerter_faktenblatt.html
[2: Tipps und Video zu guten Passwörtern] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
[3: Dictionary-Bruteforce-Angriff] https://github.com/duyet/bruteforce-database
[4: Passwörter Schritt für Schritt merken] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html