Sichere Passwortverwaltung: Den Überblick behalten

Wenn es um das Thema Passwortverwaltung geht, dürfte mittlerweile jedem bekannt sein, dass “123456” oder “password” keine sicheren Passwörter sind. Trotzdem gehören diese leicht angreifbaren Kombinationen zu Deutschlands meistgebrauchten Kennwörtern. Viele Nutzer sind mit den zahllosen Konten für Onlinedienste, soziale Medien und für den betrieblichen Gebrauch überfordert.

Sie gehen den Weg des geringsten Widerstandes – d. h. sie benutzen (sehr) leicht zu merkende oder sich wiederholende Passwortkombinationen. Mit diesem Wissen stehen IT-Manager in Unternehmen, Behörden und Organisationen vor der kniffligen Aufgabe, die sensiblen persönlichen Daten und vertraulichen betrieblichen Informationen vor unbefugtem Zugriff zu schützen.

Wie Sie potenzielle Sicherheitsrisiken wie “111111” oder “123abc” mit einer leistungsfähigen Software zur Passwortverwaltung am besten verhindern können, soll in diesem Artikel näher erklärt werden. Anschaulich demonstriert wird das am Beispiel von Specops Password Policy zum Ende des Artikels. Vorerst sollen einige Begriffe und Definitionen den Sachverhalt der Passwortsicherheit näher beleuchten.

Was macht starke Passwörter aus?

In den Richtlinien zur Passwortvergabe gab es eine maßgebliche Modernisierung der Herangehensweise in den letzten Jahren. Die Entwicklung geht weg von komplexen und abstrakten Kombinationen mit vielen Sonderzeichen, die sich niemand merken konnte. Empfohlen werden nun lange, individuell zusammengesetzte Passwörter, an die sich die Nutzer aber leichter erinnern können (z.B. BSI Grundschutz ORP.4 A22 “Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden). Dabei sollen die Kombinationen nicht im Wörterbuch stehen oder aus dem betrieblichen Kontext abgeleitet werden können (siehe Beispiel im nächsten Kapitel).

Passwortlänge

Was lässt sich besser merken und ist schwerer zu erraten?

• W&v;9sP? (8 Zeichen, Groß- und Kleinschreibung + Sonderzeichen) oder
• Bauer Rizinus Vergaser (20 Zeichen, Groß- und Kleinschreibung sowie Leertasten als Trennung)?

Obwohl das erste Kennwort vielen althergebrachten Passwortvorgaben entsprechen würde, ist das zweite das deutlich stärkere. Die Sonderzeichen-Kombination ist zu kurz, um sicher zu sein. Ist ein Kennwort (3 zusammenhanglose Wörter) lang genug (mindestens 15-26 Zeichen), erfüllt es alle Kriterien für ein zuverlässiges und trotzdem gut zu merkendes Passwort.

Oft wird in diesem Zusammenhang von Passphrasen gesprochen. Damit wird auch dem genervten Mitarbeiter eine wirksame und relativ leicht umsetzbare Richtlinie zur sicheren Passworterstellung gegeben. Es ist also die Länge, die ein Passwort in erster Linie sicher macht, und nicht die Komplexität.

Was bedeutet Passwort-Entropie?

Entropie kennen die meisten als einen Begriff aus der Thermodynamik. In der Informatik ist sie das mathematische Maß (in Bit) für die Informationsdichte, zum Beispiel eines Passwortes. Je höher die Entropie, desto dichter der Informationsgehalt und desto sicherer das Kennwort. Das bedeutet, dass jeder zusätzliche Buchstabe, jede Zahl oder jedes Sonderzeichen die Entropie eines Passwortes erhöht.

Am sichersten sind demnach lange Passphrasen mit Zahlen und Sonderzeichen, an die sich die Nutzer dann aber wieder nicht erinnern können. Ein Kompromiss aus hoher Entropie (also hoher Passwortsicherheit) und Merkbarkeit stellen die im Vorkapitel besprochenen Passphrasen dar.

Lang genug, damit sie für Cyberangreifer extrem schwierig zu entschlüsseln sind. Einfach genug, damit sich die Nutzer jederzeit daran erinnern können. Ein geleaktes, also öffentlich bekanntes Passwort, hat eine Entropie von 0 Bits!

Zwei-Faktor-Authentifizierung

2021 stieg erstmalig wieder die Anzahl der SMS-Nachrichten (seit 2012). Ein Grund dafür waren die vielen zusätzlichen Nachrichten zur Zwei-Faktor-Authentifizierung. Hier wird das Passwort mit einer zweiten Authentifizierung gekoppelt (meistens durch eine SMS, E-Mail oder über eine App).

Durch diese zusätzliche Sicherheitsstufe erhöht sich der Zugangsschutz enorm, denn selbst ein kompromittiertes Kennwort würde noch keinen Zugriff auf das Konto ermöglichen. Da diese Methode einen Mehraufwand und Mehrkosten verursacht, wird sie oft nur für sehr sensible Daten wie z. B. Bankgeschäfte eingesetzt.

Welche Methoden zur Passwortverwaltung gibt es?

Für manche Nutzer ist die gängigste Methode nach wie vor die handschriftliche Passwortliste am Monitor oder unter der Tastatur. Noch schlimmer ist es, wenn gar keine Hilfsmittel benötigt werden, da nur ein einziges Passwort für alle Konten und Onlinedienste benutzt wird. Beide gerade beschriebenen Szenarien sind für das betriebliche Umfeld natürlich nicht akzeptabel.

Firmen können zwischen der Online- und der Offline-Verwaltung wählen. Das erste ist eine vollständig webbasierte Cloud-Lösung. Bei der zweiten Methode befindet sich die Passwortverwaltung auf einem lokalen Server vor Ort. Die Organisation von Passwörtern kommt in vielen Varianten vor – hier sind einige vorgestellt.

Der Browser

Alle modernen Browser bieten eine Passwortverwaltung. Für normale private Anwendungen ist das auch ausreichend. In Unternehmen oder Behörden ist diese Lösung aber zu unterdimensioniert und bei Weitem nicht sicher genug.

Antivirenprogramme

Sie stellen meistens eine Verbesserung zur Browser-Verwaltung dar und sind etwas flexibler.

Was ihnen jedoch fehlt, sind die Implementierung von Passwortrichtlinien und weitreichende Filter, um kompromittierte Kennwörter auszuschließen. Sie bieten einen guten Schutz für Kleinstbetriebe und Einzelunternehmer.

Professioneller Passwortmanager

Mittlere und größere Unternehmen benötigen mehr fachliche und organisatorische Hilfestellung. Das können nur zweckbestimmte Produkte leisten, die den Firmen genügend Einstellmöglichkeiten, Skalierbarkeit und Schutz bieten.

Leider hilft auch die beste Lösung zu Passwortverwaltung nichts, wenn die Passwortrichtlinien nicht zuverlässig umgesetzt werden können.

Durchsetzung von Passwortrichtlinien und Industriestandards für Windows Active Directory

Specops Password Policy integriert moderne Richtlinien und Empfehlungen der führenden Sicherheitsinstitute weltweit. Damit werden die notwendigen gesetzlichen, organisatorischen und sicherheitstechnischen Rahmenbedingungen für die Passwortvergabe und -verwaltung festgelegt. Mit dem kostenloses Specops Passwort Auditor scannen Sie Ihr Active Directory und identifizieren passwortrelevante Schwachstellen sowie kompromitierte Passwörter. Die gesammelten Informationen werden in einem interaktiven Bericht zusammengefasst.

Erzwingen von starken Passwörtern

Doppelt genutzte, nur leicht abgeänderte, kompromittierte oder zu schnell erratbare Kombinationen dürfen nicht zur Authentifizierung zugelassen werden. Zudem können Sie Ihre Mitarbeiter mit entsprechenden Einstellungen zu langen und wirksamen Passphrasen ermutigen, die sie nur in längeren Abständen oder gar nicht mehr erneuern müssen.

Abgleich der Passwörter

Die internationale Datenbank mit mehr als 2,6 Milliarden kompromittierten Kennwörter wird ständig abgeglichen und aktualisiert. Bereits gehackte und veröffentlichte Passwörter werden bei der Passworterstellung oder Passworteingabe sofort blockiert und der Nutzer dazu aufgefordert ein neues Passwort zu vergeben.

Flexible Einstellungsoptionen

Für IT-Manager bietet Specops Password Policy viele notwendige und nützliche Einstellmöglichkeiten für Ihre Active Directory Gruppenrichtlinien. Je nach Sensibilität der zu schützenden Daten können Administratoren einem Arbeitsplatz, Mitarbeitern oder einer Nutzergruppe verschiedene Sicherheitsstufen zuordnen. Alle relevanten Aspekte der Vergabe und Verwaltung von Kennwörtern können eingestellt, zugewiesen oder blockiert werden.

Kommunikation und Feedback

Vergeben Mitarbeiter ein Passwort, bekommen sie eine sofortige Rückmeldung auf dem Display (siehe auch Blog zum dynamischen Feedback). Ist das Kennwort oder die Passphrase zu schwach, nicht erlaubt oder bereits kompromittiert, werden die Nutzer darüber in Echtzeit informiert. Daher sind alle Beschäftigten immer im Bilde und müssen nicht beim Helpdesk nachfragen. Das erspart allen Beteiligten Zeit und Nerven.

Fazit: Passwortverwaltung und Passwortrichtlinien: So geht’s

Effektive Software ist dazu da, das Leben einfacher und sicherer zu gestalten. Das gilt vor allem für Passwort-Manager, die sensible persönliche Daten und zum Teil beträchtliche betriebliche Werte beschützen. Mit Specops Password Policy haben IT-Manager ein Tool zur Verfügung, das allen modernen Anforderungen für die Verwaltung von Passwortrichtlinien in Active Directory gerecht wird.

Für IT-Verantwortliche, Systemadministratoren und Datenschützer gibt es unter Password Policy weiterführende Informationen oder buchen Sie direkt einen unverbindlichen Demo-Termin mit einem unserer Experten, der Ihnen beim Thema Passwortsicherheit und Passwortrichtlinien weiterhelfen kann.