Flexible Security for Your Peace of Mind
Specops Password Policy

Passwort – Wörterbücher Überblick und Best-Practice Beispiele

So lange Benutzer einfache und vorhersehbare Passwörter verwenden, werden auch Wörterbuchattacken weiterhin funktionieren. Cyber-Kriminelle sind nicht die Einzigen, die aus vorhersagbaren Kennwörtern Vorteile ziehen. Der beste Schutz gegen eine Wörterbuchattacke ist es, selbst ein Wörterbuch während der Erstellung eines Passwortes zu verwenden. Das bedeutet, dass zukünftig Passwörter gegen solche Wörterbücher abgeglichen werden sollten und dass Benutzer daran gehindert werden sollten, Passwörter auszuwählen, die hinsichtlich Attacken anfällig sind.

Specops Password Policy unterstützt die folgenden Wörterbücher:

  • Eigene benutzerdefinierte Wörterbücher
  • Compliance („Specops Master“ Liste)
  • Allgemeine Tastaturkombinationen und Sequenzen
  • LinkedIN kompromittierte Passwort-Hashes
  • Kompromittierte Kennwörter von Adobe
  • Kompromittierte Kennwörter von Gawker

Anmerkung: Zusätzlich zu den oben genannten Wörterbüchern besitzt Specops Password Policy ein Add On mit einer Liste kompromittierter Kennwörter. Die Breached Password Protection Liste beinhaltet mehrere Milliarden Passwörter und wird als Reaktion auf neue Datenleaks regelmäßig aktualisiert.

Es ist Best Praxis, dass Passwortrichtlinien Wörterbücher mit Anforderungen an die Passwortlänge (mindestens 15 Zeichen) und längenbasierter Passwortalterung miteinander kombinieren.

Die Wörterbucheinstellungen können im Group Policy Managment Editor konfiguriert werden. Sie finden den Editor unter User Configuration\Policies\Windows Settings\Specops Password Policy. Klicken Sie auf, Create New Password und wählen den Tab Password Rules aus.

Benutzerdefinierte Wörterbücher

Sie können Ihr eigenes benutzerdefiniertes Wörterbuch erstellen oder importieren, um allgemein verbreitete Passwörter auszusortieren. Das benutzerdefinierte Wörterbuch sollte Passwörter beinhalten, die für Ihre Organisation relevant sind, inklusive Firmennamen, Standorten, Dienstleistungen, jeglichen relevanten Akronymen und selbst lokalen Sportmannschaften. Für die Zielliste der für Ihre Firma zutreffenden Wörtern und potenziellen Kennwörtern können Ihr eigenes Kennwort-Audit vornehmen. Tools wie L0phtcrack können Ihnen dabei helfen, eine umfassende Liste mit schwachen Passwörtern zusammenzustellen, welche Sie zu Ihrem benutzerdefinierten Wörterbuch hinzufügen können. Um weitere passwortrelevante Schwachstellen aufzuspüren, benutzen Sie unsere kostenlose Lösung Specops Password Auditor. Unser Software erlaubt es Ihnen, Ihr Active Directory auf Konten, die kompromittierte Passwörter verwenden, zu scannen.

Anmerkung: Da benutzerdefinierte Wörterbuch in den Speicher jedes beschreibbaren Domainencontrollers geladen werden, ist es wichtig zu berücksichtigen, dass große Wörterbücher entsprechende Auswirkungen auf die Performance haben.

Einstellungen

Sie können des Weiteren Ihr benutzerdefiniertes Wörterbuch mit folgenden Einstellungen konfigurieren. Diese Einstellungen stellen sicher, dass Ihre Benutzer das Wörterbuch nicht mit vorhersagbaren Mustern wie einem Ausrufezeichen innerhalb des Kennwortes umgehen können.

Passwort-Wörterbuch Einstellungen

Funktion: Part of the password

Verhindern Sie die Erstellung eines Kennwortes, welches ein Wort aus Ihrem Wörterbuch enthält. Zum Beispiel sollte Ihr Wörterbuch das Wort Fußball enthalten, wird die aktivierte Option Kombinationen / Varianten wie FUßBALL, Fußball!, Fußball1 verhindern. Ein Passwort, welches auf Fussba1 geändert wird, wird nicht verhindert.

Diese Einstellung wird empfohlen, wenn sie weniger umfassende Wörterbücher, welche nur firmenspezifische oder produktspezifische Wörter enthalten verwenden.

Zeichenersetzung (leetspeak)

Wenn Ihre Passwortrichtlinie auch Anforderungen an die Komplexität eines Kennwortes stellt, könnten Benutzer Ihre in Ihrem Wörterbuch enthaltenen Wörter dadurch umgehen, indem sie Zeichen ersetzen. Ist diese Funktion aktiviert, werden Zeichenersetzungen während der Überprüfung des Passwortes in die ursprünglichen Zeichen geändert. Die folgenden Zeichenersetzungen werden für die Konvertierung verwendet:

@ = a
4 = a
8 = b
3 = e
€ = e
9 = g
6 = g
1 = i
| = l
! = i
0 = o
5 = s
$ = s
§ = s
7 = t
2 = z

Wenn zum Beispiel das Wort „Password“ im Wörterbuch enthalten ist, wird die Funktion sofern aktiviert, dass Passwort ablehnen, wenn es in „p@ssword“ oder p4ssw0rd geändert wurde.

Funktion: Reverse of the new Password

Ist dieses Feature aktiviert, können Sie ein im Wörterbuch enthaltenes Passwort verhindern, wenn es rückwärts geschrieben wurde. Wenn zum Beispiel das Wörterbuch das Wort abc123 enthält, dann wird auch die Schreibweise 321cba verhindert.

Die Funktion „Ignore dictionairy words shorter than x characters“

Kurze Wörterbuchwörter machen es für Benutzer schwierig, Passwörter zu wechseln, besonders dann, wenn Sie Teil des neuen Passwortes sind und diese Funktion aktiviert ist. Standardmäßig werden Wörter mit weniger als vier Buchstaben ignoriert. Sie können die Anzahl der Buchstaben in den Einstellungen erhöhen oder verringern.


Wenn Ihr benutzerdefiniertes Wörterbuch kurze Wörter enthält und die Funktion „Part of the new password“ aktiviert ist, dann empfiehlt es sich nicht, die Anzahl der Buchstaben zu verringern.

Von Specops unterstützte Wörterbücher

Zusätzlich zu den benutzerdefinierten Wörterbüchern unterstützt Specops eine Anzahl von herunterladbaren Wörterbüchern, welche zahlreiche Listen mit kompromittierten Passwörtern enthalten. Da diese Listen in der Regel recht umfangreich sind, werden ihre Einträge so, wie sie sind, durchgesetzt. Mit Ausnahme des Wörterbuchs für Tastaturkombinationen, welches standardmäßig die Funktion „Part of the new passsword“ aktiviert hat, bietet Specops die Einstellungen für „Part of the new password“ oder die „Leetspeak“ Einstellung nicht an, um die heruntergeladenen Wörterbücher zu konfigurieren. Bei einer automatisierten Wörterbuchattacke wird der Hash-Wert des kompromittierten Passwortes gegen den Hash-Wert eines anderen Passwortes getestet. Diese Einstellungen würden zu einem völlig anderen Hash-Wert führen und die Passwortliste als unwirksam gegen den Angriff erachten. Weitere Informationen zu dieser Vorgehensweise in englischer Sprache finden Sie hier.

Compliance Wörterbuch

Das Compliance-Wörterbuch („Specops Master“ Liste) ist eine Kombination aus Kennwortlisten von Daniel Miessler, die speziell für Penetration Tests entwickelt wurden. Es gibt zwei Versionen des Compliance-Wörterbuches. Eine Version filtert Kennwörter mit weniger als 8 Buchstaben heraus, während die andere Version Passwörter mit weniger als acht Buchstaben enthält. Das letztgenannte Wörterbuch wird für Organisationen empfohlen, die den NIST- und NCSC-Richtlinien folgen, da Passwörter mit acht oder mehr Zeichen in ihren jeweiligen Passwort-Richtlinien empfohlen werden. Das Compliance-Wörterbuch enthält Passwörter mit beliebten Namen, Städten, Tagen des Monats und anderen kompromittierten Geheimnissen.

Tastaturkombinationen und Reihenfolgen

Tastaturmuster sind eine Visualisierungstechnik, die bei der Wiedererkennung von Passwörtern helfen kann. Es handelt sich dabei sowohl um die offensichtlichen benachbarten Tastenkombinationen wie z. B. asdfgh, als auch um parallele Reihenfolgen wie 1qaz2wsx. Das Wörterbuch für Tastaturkombinationen und -sequenzen besteht aus den gängigsten Tastaturmuster-Passwörtern, zum Beispiel qwerty. Wie bereits erwähnt, aktiviert das Wörterbuch automatisch den Teil der neuen Passworteinstellung, der die Erstellung von Passwörtern verhindert, die ein Wort aus dem Wörterbuch enthalten.

LinekdIn, Adobe und Gawker Wörterbücher

Blockieren Sie kompromittierte Passwörter, die bei Datendiebstählen von Gawker (über 180.000 Kennwörter), LinkedIn (6.5 Millionen Passwort-Hashes) und Adobe erbeutet wurden, indem Sie hierzu die von Specops unterstützten Wörterbücher herunterladen.

Wörterbücher und ablaufende Passwörter

Sie sollten die Benutzer auffordern, ihre Passwörter jedes Mal zu ändern, wenn das Passwort-Wörterbuch aktualisiert wird – vorzugsweise immer dann, wenn ein größerer Vorfall eintritt.

Kombination von Wörterbuch-Einstellungen zur Erreichung der bestmöglichen Vorgehensweise.

Nun, da wir einen Überblick über die Wörterbucheinstellungen in Specops Password Policy haben, lassen Sie uns zusammenfassen, wie wir sie kombinieren können, um die bestmögliche Vorgehensweise zu erreichen.

Specops empfiehlt, folgendes zu aktivieren:

  • Specops Master List Wörterbuch: Wenn Ihre Passwortrichtlinie mehr als acht Buchsstaben vorschreibt, können Sie die Master Liste, welche eine umfassende Liste von bereits kompromittierten Passwörtern mit mehr als acht Buchstaben beinhaltet, verwenden. Standardmäßig ist die Specops Master Liste so eingestellt, dass sie exakte Passworttreffer identifiziert.
  • Benutzerdefiniertes Wörterbuch: Benutzen Sie benutzerdefinierte Wörterbücher, um spezielle Wörter, die mit Ihrer Firma in Zusammenhang stehen, zu erfassen. Wir empfehlen, die partielle Vergleichsprüfung zu aktivieren, die in der Benutzeroberfläche als „Part of the new password“ Funktion bekannt ist, um Benutzer an der Verwendung von Teilen dieser Wörter in ihrem Passwort zu hindern. Es wird auch empfohlen, Leetspeak zu aktivieren, um übliche Zeichenersetzungen zu verhindern.
  • Tastaturmusterwörterbuch: Um die Verwendung von Tastenkombinationen als Passwörter (z.B. qwerty) zu verhindern, empfehlen wir die Verwendung des Tastaturmusterwörterbuchs.
  • Specops Breached Password Protection: Für eine ständig aktualisierte Liste mit kompromittierten Passwörtern aktivieren Sie die Specops Leaked – Liste. Die Liste enthält Milliarden von Passwörtern aus größeren Sicherheitsverletzungen, darunter die jüngste Collection 5 Liste und die vom Sicherheitsexperten Troy Hunt zusammengestellte Have I Been Pwned-Liste. Während einer Passwortänderung in Active Directory blockiert der Dienst die Benutzer und benachrichtigt sie, wenn das von ihnen gewählte Passwort in einer Liste von kompromittierten Passwörtern gefunden wird.

(Zuletzt aktualisiert am 15/06/2021)

Tags: , , ,

Zurück zum Blog