Der Password Policy Compliance Bericht in Specops Password Auditor

Unternehmen, die bewerten möchten, wie gut ihre bestehenden Passwortrichtlinien mit den verschiedenen Compliance-Standards übereinstimmen, können von einem kostenlosen Scan mit Specops Password Auditor profitieren. Einer der Berichte, die der Specops Password Auditor zur Verfügung stellt, ist der Password Policy Compliance Bericht.

In diesem Beitrag gehen wir darauf ein, wie er aufgebaut ist und was er bedeutet.

So sieht der Password Policy Compliance Bericht aus

Der Password Policy Compliance Bericht in Specops Password Auditor bietet einen Überblick über die Richtlinien in Ihrem Active Directory (oder dem Teil Ihres AD, den Sie zu Beginn Ihres Scans definiert haben). Der Specops Password Auditor liefert Ergebnisse für die Standard-Domänen-Passwortrichtlinie, alle fein abgestimmten Passwortrichtlinien sowie alle Specops Passsword Policies (falls installiert).

Rot, Gelb, Grün

Die Tabelle gibt Aufschluss darüber, inwieweit die einzelnen Kennwortrichtlinien mit einer Reihe bekannter gesetzlicher und branchenspezifischer Standards übereinstimmen:

• Rot = nicht konform. Das bedeutet, dass die Richtlinie keine der in der Norm festgelegten Kennwortanforderungen erfüllt.
• Gelb = teilweise konform. Dies bedeutet, dass die Richtlinie mindestens eine, aber nicht alle der in der Norm festgelegten Kennwortanforderungen erfüllt.
• Grün = Vollständige Erfüllung der Anforderungen. Dies bedeutet, dass die Richtlinie alle in der Norm festgelegten Anforderungen an Passwörter erfüllt.

Was sind die verschiedenen Anforderungen und Empfehlungen zur Einhaltung von Standards?

Der Password Policy Compliance Bericht gibt einen Überblick darüber, wie Ihre Kennwortrichtlinien im Vergleich zu den folgenden Standards abschneiden:

• MS Research
• MS TechNet
• NCSC
• NIST
• PCI
• SANS-Verwaltung
• SANS-Benutzer

Es gibt zwar einige Überschneidungen bei den Anforderungen der einzelnen Standards, aber keine zwei sind genau gleich. Nachfolgend finden Sie die Details zu den Standards, die wir verwenden, um die rot/gelb/grüne Bewertung in der Tabelle zu erstellen.

Entropie

Die Spalte “Entropie” bezieht sich nicht speziell auf die dargelegten Konformitätsstandards. Stattdessen ist sie ein Maß dafür, wie “stark” die von den verschiedenen Richtlinien zugelassenen Kennwörter sind. Mehr über die Entropieberechnung, die wir verwenden, erfahren Sie hier.

MS Research

Die Punkte in der Spalte MS-Research werden anhand der hier aufgeführten Empfehlungen gemessen:

• Mindestlänge = 8
• Verwendung von Wörterbüchern (Verbot geläufiger Passwörter) = ja

Einige mögen die hier aufgeführten Anforderungen an Passwörter als veraltet ansehen, da sie nicht die Verwendung kompromittierter Passwörter blockieren, wie dies mit einer Lösung wie Specops Password Policy mit Breached Password Protection möglich ist.

MS TechNet

Die Punktzahlen in der MS TechNet-Spalte werden anhand der hier aufgeführten Empfehlungen gemessen:

• Mindestlänge = 14
• Maximales Alter = 60 Tage
• Passwort-Historie (die Verwendung der letzten X Passwörter verhindern) = 24
• Komplexität = 3 Ziffern, niedrig, Spezial, Unicode, hoch

Auch in diesem Fall mag man die hier aufgeführten Anforderungen an Passwörter als veraltet ansehen, da sie nicht die Verwendung kompromittierter Passwörter blockieren, wie dies mit einer Lösung wie Specops Password Policy mit Breached Password Protection möglich ist.

NCSC

Die Punkte in der NCSC-Spalte werden anhand der hier aufgeführten Empfehlungen gemessen:

• Verwendung von Wörterbüchern (Verbot gängiger Passwörter) = ja

Wenn die Einhaltung der NCSC-Empfehlungen auf Ihrer Liste steht, könnten Sie auch an den folgenden Informationen (in englischer Sprache) interessiert sein:

• Cyber Essentials Password Policy
• How to configure the NCSC password list in AD

NIST

Die Punktzahlen in der Spalte NIST werden anhand der hier aufgeführten Empfehlungen gemessen:

• Mindestlänge = 8
• Verwendung von Wörterbüchern (Verbot allgemeiner Passwörter) = ja

Wenn die Einhaltung der NIST-Empfehlungen auf Ihrer Liste steht, sind Sie vielleicht auch an den folgenden Informationen (in englischer Sprache) interessiert:

• NIST Password Standards
• What is the NIST guidance on password managers?

PCI

Die Punkte in der PCI-Spalte werden anhand der hier aufgeführten Empfehlungen gemessen:

• Mindestlänge = 7
• Maximales Alter = 90 Tage
• Passworthistorie (die Verwendung der letzten X Passwörter verhindern) = 4
• Komplexität = Ziffer, niedriger

Einige mögen die hier aufgeführten Passwortanforderungen als veraltet ansehen, da sie nicht die Verwendung von kompromittierten Passwörtern blockieren, wie es mit einer Lösung wie Specops Password Policy mit Breached Password Protection möglich ist.

Wenn die Einhaltung der NCSC-Empfehlungen auf Ihrer To do – Liste steht, könnten Sie auch an den folgenden Informationen (in englischer Sprache) interessiert sein:

• PCI compliance requirements in the UK – Specops Software
• Multifactor authentication requirements for PCI password compliance

SANS

Das SANS-Institut hat unterschiedliche Empfehlungen, je nachdem, ob die Kennwortrichtlinie Administratorkonten oder nur normale Endbenutzerkonten abdeckt.

Die Werte in der Spalte “SANS Admin” werden an den hier aufgeführten Empfehlungen gemessen:

• Mindestlänge = 12
• Höchstalter = 90 Tage
• Wörterbuch = ja
• Komplexität = Ziffer, niedriger, spezieller, höher

Die Punktzahlen in der Spalte SANS Normal Users werden an den hier aufgeführten Empfehlungen gemessen:

• Mindestlänge = 12
• Höchstalter = 180 Tage
• Wörterbuch = ja
• Komplexität = Ziffer, niedriger, Sonderzeichen, höher

Einige mögen die hier aufgeführten Anforderungen an Passwörter als veraltet ansehen, da sie nicht dazu dienen, die Verwendung kompromittierter Passwörter zu blockieren, wie es mit einer Lösung wie Specops Password Policy mit Breached Password Protection möglich ist.

Nächste Schritte

Wenn Sie Ihren Specops Password Auditor Scan durchgeführt haben und feststellen, dass einige Ihrer Richtlinien nicht mit den für Ihr Unternehmen wichtigen Standards für Passwortrichtlinien übereinstimmen, sollten Sie Maßnahmen ergreifen und einen Plan zur Aktualisierung Ihrer Richtlinien erstellen.

Wenn Sie versuchen, aktuelle Empfehlungen für Passwortrichtlinien einzuhalten, sollten Sie sich ein Tool wie Specops Password Policy ansehen. Benötigen Sie Hilfe bei der Beantragung von Budgets oder der Freigabe von Richtlinien? Dann können Sie die Ergebnisse Ihres Scans mit Specops Password Auditor als PDF-Datei exportieren. Dieses PDF enthält eine übersichtliche und verständliche Zusammenfassung aller passwortrelevanten Schwachstellen für Entscheidungsträger aus anderen Abteilungen oder diejenigen, die den Scan nicht selbst durchgeführt haben.