Auf der Grundlage von Untersuchungen, die aus buchstäblich Milliarden von Anmeldeversuchen bei seinem Cloud-Dienst Azure gewonnen wurden, aktualisiert Microsoft seine Kennwortempfehlungen - und verwirft einige seit langem geltende bewährte Praktiken der Branche.
Microsoft hat kürzlich ein White Paper veröffentlicht, "Microsoft Kennwort-Anleitung" veröffentlicht, in dem die neuen Passwortrichtlinien erläutert werden, die auf der riesigen Menge an Daten basieren, die bei der Anmeldung in Azure AD gesammelt werden. (Jeden Tag werden mehr als 10 Millionen Angriffe auf Benutzernamen und Passwörter registriert .) Einiges davon entspricht dem, was Sie vielleicht denken... aber einiges widerspricht der herkömmlichen Passwort-Weisheit.
Die Autorin (Robyn Hicock vom Microsoft Identity Protection Team mit einer langen Liste von Beiträgen ihrer Teamkollegen, von Microsoft Research und der Microsoft IT-Abteilung) stellt fest, dass altbewährte Kennwortpraktiken angesichts moderner, auf Anmeldeinformationen ausgerichteter Angriffe nicht mehr greifen. Darüber hinaus erhöhen einige dieser Richtlinien sogar die Leichtigkeit, mit der Passwörter kompromittiert werden können, und sollten daher geändert oder ganz aufgegeben werden.
Microsoft empfiehlt sieben Maßnahmen, um einen maximalen kennwortbasierten Identitätsschutz zu gewährleisten:
- Halten Sie eine Mindestlänge von 8 Zeichen ein (länger ist nicht unbedingt besser).
- Beseitigen Sie die Anforderungen an die Zeichenkomposition.
- Eliminieren Sie die obligatorische regelmäßige Zurücksetzung von Passwörtern für Benutzerkonten.
- Verbieten Sie gängige Passwörter, um die anfälligsten Passwörter von Ihrem System fernzuhalten.
- Weisen Sie Ihre Benutzer darauf hin, ihr Passwort nicht für andere Zwecke als die Arbeit zu verwenden.
- Erzwingen Sie die Registrierung für die Multi-Faktor-Authentifizierung.
- Aktivieren Sie risikobasierte Multi-Faktor-Authentifizierungsherausforderungen.
Schauen wir uns nun die ungewöhnlicheren Empfehlungen an, die sich direkt darauf auswirken, wie ein Unternehmen seine Domain-Passwort-Richtlinie einrichten würde.
Anti-Patterns beseitigen
Halten Sie eine Mindestlänge von 8 Zeichen ein. Microsoft Forschung hat herausgefunden dass lange, komplexe Web-Passwörter eine Belastung für die Benutzer darstellen (was nicht überrascht), aber aus mehreren Gründen nur begrenzt wirksam sind. Die Stärke des Kennworts ist irrelevant, wenn der Benutzer bei einem Phishing-Angriff ertappt wird und es angibt oder Keylogger-Malware auf seinem System hat. Dies sind nach Angaben der Autoren die häufigsten Angriffe. Das Passwort muss nur stark genug sein, um einer "Three-Strikes"-Sperre zu widerstehen. Beachten Sie, dass sich diese Studie zwar auf Web-Passwörter bezieht, es aber keinen Grund gibt, warum sie nicht auch für Active Directory-Passwörter (und Ihre eigene Sperrrichtlinie) gelten sollte.
Abschaffung der Anforderungen an die Zeichenkomposition. Abstrakt betrachtet ist dies eine schöne Idee, aber Microsoft und andere (Bruce Schneier) haben herausgefunden, dass Menschen, wenn sie mit Anforderungen an die Komplexität von Kennwörtern konfrontiert werden, in ein paar erkennbare Muster verfallen, die sich Programme zum Knacken von Kennwörtern zunutze machen. Es hat sich zum Beispiel herausgestellt, dass ein typisches Kennwort aus einem Wortstamm besteht, der in der Regel etwas Aussprechbares ist, und einem Suffix wie einer Zahl. Und ja, sie wissen, dass Sie "$" für "s", "!" für "i", usw. verwenden!
Schaffen Sie die Pflicht zum regelmäßigen Zurücksetzen von Passwörtern für Benutzerkonten ab. Regelmäßige Passwortänderungen sind zwar im Prinzip eine gute Idee, scheitern aber, wenn sie durch das menschliche Gehirn laufen. Und warum? Weil Menschen dazu neigen, ihr neues Passwort auf der Grundlage ihres alten zu erstellen, und zwar auf sehr vorhersehbare Weise. Da Kriminelle außerdem Passwörter verwenden, sobald sie sie kompromittiert haben, bringt es nichts, sie einzudämmen (d.h. Warnungen wie "Wir wurden kompromittiert; bitte ändern Sie Ihr Passwort, damit Ihr Konto nicht mehr gehackt werden kann" kommen viel zu spät).
Der aktuelle Rat von Schneier und Microsoft lautet: Ändern Sie Ihr Passwort nicht, es sei denn, Sie glauben, dass es kompromittiert sein könnte. Ich würde diese Empfehlung dahingehend abändern, dass Sie Ihre Passwörter im Laufe der Zeit verstärken , aber nicht versuchen, selbst den Überblick darüber zu behalten: Verbeugen Sie sich vor unseren Roboter-Meistern und verwenden Sie ein Dienstprogramm wie LastPass, um lange, komplexe, nicht merkbare Passwörter zu generieren und sie in seinem verschlüsselten Tresor zu speichern. Dann brauchen Sie sich nur noch ein komplexes Passwort zu merken - das Master-Passwort für Ihren Tresor. Wenn Sie die Verwaltung erst einmal an ein solches Dienstprogramm abgegeben haben, ist das wirklich sehr befreiend. Sie können im Handumdrehen ein haariges 18-Zeichen-Passwort wie "wO2AECJ^OZhbXwY#0Y" für eine Website erstellen und sicher sein, dass es praktisch unknackbar ist.
Erfolgsmuster durchsetzen
Verbieten Sie gängige Kennwörter. Microsoft ist der Meinung, dass der wichtigste Schritt, den Sie für die Sicherheit unternehmen können, darin besteht, eine Liste bekannter schwacher Passwörter (z.B. abcdefg, passw0rd, usw.) aus Ihrem System zu verbannen, um es gegen Brute-Force-Angriffe zu stärken. Microsoft hat festgestellt, dass das Verbot dieser Passwörter (das sie für Azure AD durchführen) sehr effektiv ist, um schwache Passwörter aus dem System zu entfernen.
Wenn Sie dies in einem traditionellen Unternehmen lesen, denken Sie wahrscheinlich: "Das ist ja alles schön und gut, aber wie kann ich eine solche Richtlinie für meine lokale Active Directory-Umgebung implementieren?" Wenn Sie wie ich ein AD-Kenner sind, wissen Sie, dass dafür ein benutzerdefinierter Kennwortfilter erforderlich ist, der auf allen AD-Domänencontrollern installiert werden muss, und dass Microsoft keine Kennwortsperrfunktionen von Haus aus anbietet.
Es gibt Produkte von Drittanbietern wie z.B. Anixis Kennwortrichtlinien-Durchsetzer oder nFront Kennwort-Filter die diese Fähigkeit bieten. Microsoft arbeitet Berichten zufolge an einer eigenen Unterstützung für diese Funktion. In ihrem Twitter-Feed sagt die Autorin: "Wir haben dafür etwas in Arbeit. Bleiben Sie dran", aber es ist natürlich nicht abzusehen, wann diese Funktion verfügbar sein wird. Da diese Funktion in das Windows Server Active Directory integriert werden muss, hängt die Dauer davon ab, wie die Funktion implementiert wird. Wenn sie Teil von Active Directory ist, ist die Zeit für eine tiefe Integration in Windows Server 2016 vorbei - was bedeutet, dass Sie zwei Jahre warten müssen, bis die nächste Version von Windows Server veröffentlicht wird. Ein aktualisierter Passwortfilter (passfilt.dll) kann jederzeit als Download zur Verfügung gestellt werden.
Bringen Sie Ihren Benutzern bei, ihr Passwort nicht für andere Zwecke als die Arbeit zu verwenden. Es ist nicht schwer zu vermuten, dass ein Benutzer, der sich einmal ein gutes Passwort für die Arbeit zugelegt hat, dieses auch für andere Websites verwenden würde. Leider ist es eine so gängige Praxis, dass Kriminelle immer wieder kompromittierte Anmeldedaten auf vielen Websites ausprobieren. Microsoft sieht täglich 12 Millionen durchgesickerte Anmeldedaten (Microsoft unterhält eine umfangreiche Liste kompromittierter Anmeldedaten), die mit seinen Systemen getestet werden.
Dieses Muster ist wirklich schwer durchzusetzen, denn Sie können es nur durch die Aufklärung der Benutzer erreichen. Und es ist ein harter Kampf, denn es macht es für die Benutzer schwieriger.
Erzwingen Sie die Registrierung für die Multi-Faktor-Authentifizierung. Die Multi-Faktor-Authentifizierung (MFA) wird von Unternehmen und größeren SaaS-Anbietern immer häufiger eingesetzt. Ein zweiter Satz von Sicherheitsinformationen (z.B. eine alternative E-Mail-Adresse oder Handynummer), der außerhalb des Bandes verifiziert werden kann, verbessert die Sicherheit erheblich. Aktivieren Sie MFA, wo immer Sie können! Ja, es kann ein kleines Ärgernis sein - aber es ist bei weitem kein so großes Ärgernis wie ein kompromittiertes Konto.
Aktivieren Sie risikobasierte Multi-Faktor-Authentifizierungsherausforderungen. Dieses Muster hebt MFA auf die nächste Stufe, indem es eine MFA-Aufforderung auslöst, wenn verdächtige Aktivitäten (wie eine geografisch andere IP-Adresse als die, mit der sich der Benutzer zuvor angemeldet hat) erkannt werden. Dies setzt natürlich voraus, dass diese Funktion in Ihrem Anmeldesicherheitssystem verfügbar ist.
Beachten Sie, dass Sie einige oder alle dieser Vorschläge möglicherweise nicht umsetzen können, wenn Ihr Unternehmen Compliance-Anforderungen hat. Dennoch ist es immer gut zu wissen, was in der realen Welt passiert. Und realer als die Daten von einem Ort mit 10 Millionen Angriffen pro Tag geht es kaum.
