Werbung – Wie können Organisationen sicherstellen, dass im Active Directory nur starke Passwörter verwendet werden? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt IT-Administratoren mit dem "IT-Grundschutz" entsprechende Leitlinien an die Hand, um die Ressourcen einer Institution zu schützen. Specops Software, ein Anbieter von Lösungen für Passwortmanagement und Authentifizierung, gibt einen Überblick über die Anforderungen des IT-Grundschutz-Kompendiums im Bereich Passwörter und stellt Maßnahmen und Tools vor, die bei der Umsetzung helfen können.
"Der Zugang zu schützenswerten Ressourcen einer Institution ist auf berechtigte Benutzende und berechtigte IT-Komponenten einzuschränken. Benutzende und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden." – so steht es in der Einleitung des Moduls "Identitäts- und Berechtigungsmanagement" (ORP.4) des aktuellen IT-Grundschutz-Kompendiums (PDF, Ausgabe 2023, abrufbar über die Website des BSI).
Auch wenn passwortlose Verfahren zunehmend verbreitet sind, setzen die meisten Organisationen weiterhin auf die Kombination aus Benutzername bzw. E-Mail-Adresse und Passwort. Passwortsicherheit bleibt somit ein zentraler Bestandteil der IT-Sicherheit. Das BSI fordert daher, je nach Schutzbedarf, den Einsatz starker Passwörter zum Schutz von Unternehmensnetzwerken und sensiblen Daten.
Starke Passwörter ohne unnötige Komplexität
Im Abschnitt ORP.4.A22 zur Passwortqualität werden folgende Anforderungen an Passwörter gestellt:
"In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende in der Lage sind, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden."
Die Länge und Komplexität von Passwörtern sind jedoch nicht die einzigen Kriterien für deren Qualität. Passwörter, die beispielsweise auf Unternehmens- oder Produktnamen basieren, lassen sich von Angreifern ebenfalls leicht erraten und dürfen laut IT‑Grundschutzkompendium (ORP.4.A8) nicht verwendet werden. Gleiches gilt für leicht zu erratende Passwörter oder solche, die in gängigen Passwortlisten auftauchen.
Abbildung 1: Mit Specops Password Policy können Sie individuelle Blacklists erstellen, um leicht zu erratende Begriffe zu blockieren, (zum Vergrößern klicken)
Neben den in Gruppenrichtlinien oder über "Fine Grained Password Policies" in Active Directory festgelegten Einstellungen zur Länge und Komplexität von Passwörtern erweitern Tools wie Specops Password Policy die Möglichkeiten, indem sie bei Bedarf über Blacklists oder Ausschlusslisten leicht zu erratende Passwörter mit Bezug zur Organisation verhindern.
Gleichzeitig betont das BSI, dass Passwörter nicht so komplex sein dürfen, dass sie nicht mehr "mit vertretbarem Aufwand" genutzt werden können (ORP.4.A22). Der Hintergrund: Wenn Nutzer sich zu komplexe Passwörter merken müssen, greifen sie oft zu unsicheren Strategien, wie das Aufschreiben am Arbeitsplatz oder die Wiederverwendung desselben "sicheren" Passworts für mehrere Systeme. Das IT-Grundschutz-Kompendium erlaubt das Aufschreiben nur im Notfall und nur bei sicherer Aufbewahrung (ORP.4.A8).
Passwortwiederverwendung vermeiden
Viele Nutzer unterschätzen, dass ein einmal kompromittiertes Passwort bei Mehrfachverwendung den Zugriff auf mehrere Systeme ermöglicht. Das BSI stellt daher klar:
"Passwörter DÜRFEN NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden" (ORP.4.A8)
Zu den bevorzugten Maßnahmen zählen Awareness-Trainings sowie Tools wie Passwortmanager, die dabei helfen, Zugangsdaten sicher zu verwalten.
Kompromittierte Passwörter erkennen und ausschließen
ORP.4.A8 besagt außerdem: "…Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden. Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR den Benutzenden persönlich bekannt sein…", und A23 fordert: "… Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen…".
Wie lässt sich das praktisch umsetzen?
Online-Dienste wie haveibeenpwned ermöglichen über eine API die Prüfung, ob Passwörter in bekannten Leak-Listen auftauchen. Auch regelmäßige automatische Prüfungen im Active Directory helfen dabei, schwache Passwörter schnell zu identifizieren.
Gängige Lösungen wie Specops Password Policy mit "Breached Password Protection" bieten kontinuierliche Überprüfungen der Passwörter. Dabei werden Passwort-Hashes mit einer umfangreichen, täglich aktualisierten Datenbank kompromittierter Passwörter abgeglichen. In dieser Datenbank sind inzwischen über 6 Milliarden kompromittierte Passwörter aus Leak-Listen, Password-Spray-Angriffen auf Honeypot-Systeme sowie durch Infostealer-Malware gestohlene Daten enthalten.
Wer sich schnell einen Überblick über den Zustand des Active Directory verschaffen möchte, kann mit dem kostenlosen Read-Only-Tool Specops Password Auditor Passwort-Risiken identifizieren. Dazu gehört auch ein Abgleich mit einer Datenbank von über einer Milliarde kompromittierter Passwörter.
Abbildung 2: Durch regelmäßige Scans von kompromittierten Passwörtern lassen sich die Risiken durch Passwortwiederverwendung, Infostealer und bereits bekannte Leaks reduzieren (zum Vergrößern klicken)
Passwortwechsel nach IT-Grundschutz richtig umsetzen
Werden kompromittierte Passwörter gefunden, müssen sie sofort geändert werden. Das gilt ebenso für Passwörter, die unbefugten Personen bekannt geworden sind. Laut ORP.4.A8 gilt das bereits bei einem bloßen Verdacht.
Das BSI distanziert sich zudem klar von der früheren Pflicht zu regelmäßigen Passwortwechseln:
"IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden"(ORP.4.A23).
Nur wenn keine Möglichkeit zur Erkennung kompromittierter Passwörter besteht, ist zu prüfen, ob "die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können."
Um Nutzer zur Verwendung längerer Passwörter zu motivieren, empfehlen wir, den Wechselrhythmus flexibel an die Passwortlänge zu koppeln. Mit Specops Password Policy können beispielsweise Passwörter mit 15 oder mehr Zeichen mit einer längeren Gültigkeitsdauer – etwa einem jährlichen Wechsel – belohnt werden. Kürzere Passwörter hingegen sollten entsprechend häufiger geändert werden.
Abbildung 3: Konfigurationsoptionen zur Umsetzung längenbasierter Passwortabläufe in Specops Password Policy
Ausrichtung an den BSI-Richtlinien mit Specops
Das IT-Grundschutz-Kompendium enthält zahlreiche Anforderungen und Empfehlungen zu Passwortrichtlinien, Drittanbieterlösungen und zur Sensibilisierung von Mitarbeitenden im Bereich Cybersicherheit. Die Experten von Specops Software unterstützen Sie dabei, konforme Passwortstrategien einfach und effizient in Ihrer Organisation umzusetzen.
MVP: 2013 – 2016
Ich hatte letztlich eine Diskussion mit jemanden, um es vorweg zunehmen, es ist noch nicht ganz ausgefochten, ich hoffe aber einen Denkprozess quasi "gegen den neuesten Trend" angestoßen zu haben. Da es ging um AD-Passwörter, und dass man die garnicht mehr wechseln müsste, kann ruhig auch "Breeched" oder doppelt verwendet sein, nur ausreichend lang, und den Rest sichert die 2FA (Fido, Hello-for-Business, Passkey, TOTP usw.) ab. Das Problem ist, es gibt leider immer noch genug ans AD für Authentifizierung angebundene Systeme/Webdienste/Management-Konsolen usw. die immer noch nur User+Pass und keinerlei 2FA erfordern oder 2FA nur optional ist und keiner es einrichtet. Man denke auch an das SMB/CIFS-Protokoll (NET USE) und RUNAS in der CMD, auch da wird nicht nach 2FA gefragt. Und auf der Ebene kann man schon genug Schaden anrichten. Und/oder jemand gelingt es, auf einem AD-Member die PW-Hashes abzugreifen, oder mit zu schwachen Passwörtern gesicherte Keepass-Container offline mit Bruteforce (viele NPU/GPUs*, Quantenrechner, oder einer 0Day-Lücke) zu knacken. Ich finde daher die hier beworbene Lösung sehr interessant und den Trend, (AD-)Passwörter garnicht mehr wechseln zu müssen, eher bedenklich. Wie denkt ihr darüber?
* wenn wie erhofft die KI-Blase platzt, wird es da viele freie GPU-Karten aus den RZs in bekannte Onlineauktionsplattformen schaffen.
Naja, man kann den Mißbrauch von Passwörtern schon auf AD-Ebene einschränken.
Im AD lässt sich nämlich festlegen, an welchem Gerät sich ein Account anmelden kann.
Und diese Möglichkeit sollte man auch nutzen.
Hier in der Firma können sich Mitarbeiter einer Abteilung nur an PCs dieser Abteilung anmelden und nicht an PCs einer anderen Abteilung.
Würde ein Useraccount geknackt, könnte ein Hacker von außerhalb der Domäne sich mit diesem geknackten Account nicht in der Domäne anmelden, da sein PC nicht in der AD-Liste der erlaubten PCs für den Account drin steht.
Er bräuchte physischen Zugriff auf einen der für den Account zugelassenen PCs.
Ein weiterer Schutz ist die Begrenzung der Anmeldezeiten.
Das lässt sich nämlich auch im AD einstellen.
Beispielsweise erlaubt man eine Anmeldung nur zwischen 7 Uhr und 18 Uhr und nur von Montag bis Freitag.
Auch davon sollte man Gebrauch machen.
Keine Zeit! + "Fachkräftemangel"
"Da es ging um AD-Passwörter, und dass man die garnicht mehr wechseln müsste, kann ruhig auch "Breeched" oder doppelt verwendet sein, nur ausreichend lang, und den Rest sichert die 2FA (Fido, Hello-for-Business, Passkey, TOTP usw.)"
Das klingt aus meiner Sicht extrem dumm…nein, exremst dumm. Sobald die 2FA eine Sicherheitslücke hat oder es einen Bypass gibt. 2FA soll ja die Sicherheit erhöhen. Man könnte ggf. noch die Meinung vertreten, dass 2FA das Passwort ersetzt, aber…was ist der Sicherheitsgewinn??? Ob man überhaupt überblickt wo und wie man sich mit dem Passwort authentifizieren. Sobald du irgendwelche Breeches hast werden evlt. mehr Leute auf dich aufmerksam.
Wenn das Passwort "breeched" ist, dann ist je nach Breech ggf., auch egal wie lang das ist. Genau das lange Passwort landet dann in der Passwortliste, gerade auch mit KI noch einfacher.. In der Situation quasi zu sagen "Passwort egal, du hast ja 2FA"….
Interessante Diuskussion, und ja, ich sehe es auch so. Gerne 2FA wo es geht, aber zusätzlich auch wechselnde Passwörter, gerne wie es Specops macht, je länger, desto länger haltbarer. 2FA geht nicht überall, Beispiele wurden genannt, und potentiell mal auftauchende Schwachstellen in 2FA-Lösungen sind auch etwas, was man bedenken sollte.
2FA ist intern lange nicht so wirksam, wie bei einem Angriff von außen.
der Angreifer ist schon im System, es ist nicht der Erstzugriff, er übernimmt authentifizierte Prozesse oder Sitzungen. zu dem Zeitpunkt ist die Authentifizierung inkl 2FA am Computer schon längst erfolgt
Ich bin klar Team Kein-Passwort-Wechsel, da die meisten User am Ende doch sowieso nur eine Zahl am Ende ändern.
Wir haben vor Monaten die Passwort-Policy dahingehend angepasst und die Mindestlänge massiv erhöht.
Das würde bei einer richtigen Passwort-Policy nicht funktionieren.
Bei einem Lieferantenportal gibt es so eine komplexe Policy:
Passwort muß alle Zeichenarten enthalten, also Groß- Kleinbuchstaben, Ziffern, Sonderzeichen, Passwort muß eine Mindestlänge haben.
Und es gibt eine Passworthistorie, die X Passwörter speichert.
Bei einem Wechsel des Passworts darf das neue Passwort keine Ähnlichkeit mit einem der alten X Passwörter haben.
Also einfach ein Zeichen auszutauschen oder eins hinzuzufügen oder wegzulassen etc. funktioniert da nicht.
Länge schlägt Komplexität.
jedes variable Zeichen ist ein Multiplikator, jedes zusätzliche erhöht die Potenz
deswegen lieber eine Passphrase mit 20 Zeichen in einfacher Schreibweise, statt 12 Zeichen "Buchstabensalat", komplex, schwer erinnerbar.
In reality, it not depend ….
80% users use exactly same pass everywhere. 19% have 2 pass, one for work, but they use same with any work change. And you have no control about.
If you force pass changes, it will only get worse.
Specops verhindert auch das einfache Ziffernhochzählen am Passwortende, in dem es die verwendete Ziffer des neuen PW durch alle anderen 9 ersetzt und mit den vorigen PW aus der PW-Historie vergleicht.
Dann ändern die User eben "Mai", "Juni", "Juli" am Ende…
Und ein richtiges Passwormanagement verhindert auch das.
Z.B. durch Mustervergleich:
Kommt eine Zeichenfolge, egal an welcher Stelle, irgendwo im neuen Passwort vor, wird es abgelehnt.
Damit verhindert man z.B., das nur die Reihenfolge von Zeichenfolgen geändert wird.
Beispielsweise wenn das alte Passwort MaxMustermann1 heißt und man käme jetzt auf die Idee, das neue Passwort z.B. wetzZ&ChhfMax!96 zu nennen, würde das abgelehnt, da im neuen Passwort die Zeichenfolge "Max" vorkommt, die schon im alten Passwort enthalten war.
Bei Specops kann man auch selbst eigene Blacklists definieren, ich glaube englische Monatsnamen sind da schon vorgegeben (müsste mal in der Konsole nachsehen) und bei uns haben wir naheliegenderweise die deutschen Monatsnamen (sofern nicht gleich, April, usw.) noch hinzugefügt. Wenn dann jemand die Monatsnamen anderer Sprachen verwendet, dann wäre das immerhin recht kreativ.
Zu häufiger Passwortwechsel nervt die Benutzer nur und verleitet die dazu, Passwörter zu verwenden, die sie privat für irgendwelche Dienste nutzen.
Das ist wohl wahr, es macht ja auch kein großen Spaß zum Arbeitsbeginn jedes Mal erneut zu erinnern wie das Passwort Lautet, um sich am PC anzumelden, insofern sind lange Passmordphasen auch destruktiv, wenn du dein Passwort mindestens 6 – 10 mal am Tag erneut eingeben musst.
Ich kann mich noch gut erinnern als ich noch so gearbeitet habe, trank ich noch mehr Kaffee, das bedeutete, dass ich zum Kaffee holen und zur Toilette jedes Mal erneut mein PW eingeben musste und das bedeutet dann heute jedes Mal eine 16-stelliges und kryptisches Passwort eingeben zu dürfen. Das kann es irgendwie nicht sein.
Zumal Betriebsgeheimnisse nur noch zu 5 % am Terminal geklaut werden, der Rest geschieht doch eh Online bei der Übertragung oder in der Cloud!
Say you force change 1x per month so 12x per year.
qwertyuiop01 (keyboard order)
asdfghjk02l;
zxcvbn03m,./
poiu04ytrewq (and reverse)
Etc … I have 12 unique 12char and totally insecure passwords. There are dozens way howto do this.
If you are dealing with the fact that users index same password, you have a faulty approach to how often passwords change.
"Proper password management prevents this."
Nope … no way.
Password1* … 100% secure pass with most rules. Change? OK Assword1*p
In final you can have something like P8okvpHRRgD53mQctYv1 … and every user with password on keyboard. Plus … you need 100x more admins for pass reseting.