Auf der Grundlage von Untersuchungen, die aus buchstäblich Milliarden von Anmeldeversuchen bei seinem Cloud-Dienst Azure gewonnen wurden, aktualisiert Microsoft seine Kennwortempfehlungen - und verwirft einige seit langem geltende bewährte Praktiken der Branche.
Microsoft hat kürzlich ein White Paper veröffentlicht, "Microsoft Kennwort-Anleitung" veröffentlicht, in dem die neuen Passwortrichtlinien erläutert werden, die auf der riesigen Menge an Daten basieren, die bei der Anmeldung in Azure AD gesammelt werden. (Jeden Tag werden mehr als 10 Millionen Angriffe auf Benutzernamen und Passwörter registriert .) Einiges davon entspricht dem, was Sie vielleicht denken... aber einiges widerspricht der herkömmlichen Passwort-Weisheit.
Die Autorin (Robyn Hicock vom Microsoft Identity Protection Team mit einer langen Liste von Beiträgen ihrer Teamkollegen, von Microsoft Research und der Microsoft IT-Abteilung) stellt fest, dass altbewährte Kennwortpraktiken angesichts moderner, auf Anmeldeinformationen ausgerichteter Angriffe nicht mehr greifen. Darüber hinaus erhöhen einige dieser Richtlinien sogar die Leichtigkeit, mit der Passwörter kompromittiert werden können, und sollten daher geändert oder ganz aufgegeben werden.
Microsoft empfiehlt sieben Maßnahmen, um einen maximalen kennwortbasierten Identitätsschutz zu gewährleisten:
- Halten Sie eine Mindestlänge von 8 Zeichen ein (länger ist nicht unbedingt besser).
- Beseitigen Sie die Anforderungen an die Zeichenkomposition.
- Eliminieren Sie die obligatorische regelmäßige Zurücksetzung von Passwörtern für Benutzerkonten.
- Verbieten Sie gängige Passwörter, um die anfälligsten Passwörter von Ihrem System fernzuhalten.
- Weisen Sie Ihre Benutzer darauf hin, ihr Passwort nicht für andere Zwecke als die Arbeit zu verwenden.
- Erzwingen Sie die Registrierung für die Multi-Faktor-Authentifizierung.
- Aktivieren Sie risikobasierte Multi-Faktor-Authentifizierungsherausforderungen.
Werfen wir einen Blick auf die eher ungewöhnlichen Empfehlungen, die sich unmittelbar darauf auswirken, wie eine Organisation ihre policy für Domain-Passwörter festlegt.
Anti-Patterns beseitigen
Halten Sie eine Mindestlänge von 8 Zeichen ein. Microsoft Research hat festgestellt , dass lange, komplexe Web-Passwörter für Benutzer eine Belastung darstellen (keine Überraschung), aber aus mehreren Gründen tatsächlich nur begrenzt wirksam sind. Die Stärke des Passworts ist irrelevant, wenn der Benutzer Opfer eines Phishing-Angriffs wird und es preisgibt oder wenn sich Keylogger-Malware auf seinem System befindet. Dies sind laut den Autoren die häufigsten Angriffe. Das Passwort muss lediglich stark genug sein, um einer Sperrregel vom Typ „Drei-Fehler-Regel“ standzuhalten. Beachten Sie, dass diese Studie zwar Web-Passwörter zum Gegenstand hat, es jedoch keinen Grund gibt, warum sie nicht auch für Active-Directory-Passwörter (und Ihre eigene policy) gelten sollte.
Abschaffung der Anforderungen an die Zeichenkomposition. Abstrakt betrachtet ist dies eine schöne Idee, aber Microsoft und andere (Bruce Schneier) haben herausgefunden, dass Menschen, wenn sie mit Anforderungen an die Komplexität von Kennwörtern konfrontiert werden, in ein paar erkennbare Muster verfallen, die sich Programme zum Knacken von Kennwörtern zunutze machen. Es hat sich zum Beispiel herausgestellt, dass ein typisches Kennwort aus einem Wortstamm besteht, der in der Regel etwas Aussprechbares ist, und einem Suffix wie einer Zahl. Und ja, sie wissen, dass Sie "$" für "s", "!" für "i", usw. verwenden!
Schaffen Sie die Pflicht zum regelmäßigen Zurücksetzen von Passwörtern für Benutzerkonten ab. Regelmäßige Passwortänderungen sind zwar im Prinzip eine gute Idee, scheitern aber, wenn sie durch das menschliche Gehirn laufen. Und warum? Weil Menschen dazu neigen, ihr neues Passwort auf der Grundlage ihres alten zu erstellen, und zwar auf sehr vorhersehbare Weise. Da Kriminelle außerdem Passwörter verwenden, sobald sie sie kompromittiert haben, bringt es nichts, sie einzudämmen (d.h. Warnungen wie "Wir wurden kompromittiert; bitte ändern Sie Ihr Passwort, damit Ihr Konto nicht mehr gehackt werden kann" kommen viel zu spät).
Der aktuelle Rat von Schneier und Microsoft lautet: Ändern Sie Ihr Passwort nicht, es sei denn, Sie glauben, dass es kompromittiert sein könnte. Ich würde diese Empfehlung dahingehend abändern, dass Sie Ihre Passwörter im Laufe der Zeit verstärken , aber nicht versuchen, selbst den Überblick darüber zu behalten: Verbeugen Sie sich vor unseren Roboter-Meistern und verwenden Sie ein Dienstprogramm wie LastPass, um lange, komplexe, nicht merkbare Passwörter zu generieren und sie in seinem verschlüsselten Tresor zu speichern. Dann brauchen Sie sich nur noch ein komplexes Passwort zu merken - das Master-Passwort für Ihren Tresor. Wenn Sie die Verwaltung erst einmal an ein solches Dienstprogramm abgegeben haben, ist das wirklich sehr befreiend. Sie können im Handumdrehen ein haariges 18-Zeichen-Passwort wie "wO2AECJ^OZhbXwY#0Y" für eine Website erstellen und sicher sein, dass es praktisch unknackbar ist.
Erfolgsmuster durchsetzen
Verbieten Sie gängige Kennwörter. Microsoft ist der Meinung, dass der wichtigste Schritt, den Sie für die Sicherheit unternehmen können, darin besteht, eine Liste bekannter schwacher Passwörter (z.B. abcdefg, passw0rd, usw.) aus Ihrem System zu verbannen, um es gegen Brute-Force-Angriffe zu stärken. Microsoft hat festgestellt, dass das Verbot dieser Passwörter (das sie für Azure AD durchführen) sehr effektiv ist, um schwache Passwörter aus dem System zu entfernen.
Wenn Sie dies in einem traditionellen Unternehmen lesen, denken Sie wahrscheinlich: „Das ist ja alles schön und gut, aber wie setze ich eine solche policy meine lokale Active Directory-Umgebung um?“ Wenn Sie wie ich ein AD-Experte sind, wissen Sie, dass hierfür ein benutzerdefinierter Passwortfilter erforderlich ist, der auf allen AD-Domänencontrollern installiert werden muss, und dass Microsoft keine Funktionen zum Sperren von Passwörtern standardmäßig bereitstellt.
Es gibt Produkte von Drittanbietern wie Anixis Password Policy oder nFront Password Filter , die diese Funktion bieten. Microsoft arbeitet Berichten zufolge an einer eigenen Unterstützung für diese Funktion; in ihrem Twitter-Feed schreibt die Autorin: „Wir arbeiten daran. Bleiben Sie dran“, aber natürlich lässt sich nicht abschätzen, wann diese Funktion verfügbar sein wird. Da diese Funktion in Windows Server Active Directory integriert werden müsste, hängt die Dauer davon ab, wie die Funktion implementiert wird. Wenn sie Teil von Active Directory ist, ist die Zeit für eine tiefgreifende Integration in Windows Server 2016 bereits vorbei – was eine Wartezeit von zwei Jahren bis zur Veröffentlichung der nächsten Version von Windows Server bedeutet. Ein aktualisierter Passwortfilter (passfilt.dll) kann jederzeit als Download bereitgestellt werden.
Bringen Sie Ihren Benutzern bei, ihr Passwort nicht für andere Zwecke als die Arbeit zu verwenden. Es ist nicht schwer zu vermuten, dass ein Benutzer, der sich einmal ein gutes Passwort für die Arbeit zugelegt hat, dieses auch für andere Websites verwenden würde. Leider ist es eine so gängige Praxis, dass Kriminelle immer wieder kompromittierte Anmeldedaten auf vielen Websites ausprobieren. Microsoft sieht täglich 12 Millionen durchgesickerte Anmeldedaten (Microsoft unterhält eine umfangreiche Liste kompromittierter Anmeldedaten), die mit seinen Systemen getestet werden.
Dieses Muster ist wirklich schwer durchzusetzen, denn Sie können es nur durch die Aufklärung der Benutzer erreichen. Und es ist ein harter Kampf, denn es macht es für die Benutzer schwieriger.
Erzwingen Sie die Registrierung für die Multi-Faktor-Authentifizierung. Die Multi-Faktor-Authentifizierung (MFA) wird von Unternehmen und größeren SaaS-Anbietern immer häufiger eingesetzt. Ein zweiter Satz von Sicherheitsinformationen (z.B. eine alternative E-Mail-Adresse oder Handynummer), der außerhalb des Bandes verifiziert werden kann, verbessert die Sicherheit erheblich. Aktivieren Sie MFA, wo immer Sie können! Ja, es kann ein kleines Ärgernis sein - aber es ist bei weitem kein so großes Ärgernis wie ein kompromittiertes Konto.
Aktivieren Sie risikobasierte Multi-Faktor-Authentifizierungsherausforderungen. Dieses Muster hebt MFA auf die nächste Stufe, indem es eine MFA-Aufforderung auslöst, wenn verdächtige Aktivitäten (wie eine geografisch andere IP-Adresse als die, mit der sich der Benutzer zuvor angemeldet hat) erkannt werden. Dies setzt natürlich voraus, dass diese Funktion in Ihrem Anmeldesicherheitssystem verfügbar ist.
Beachten Sie, dass Sie einige oder alle dieser Vorschläge möglicherweise nicht umsetzen können, wenn Ihr Unternehmen Compliance-Anforderungen hat. Dennoch ist es immer gut zu wissen, was in der realen Welt passiert. Und realer als die Daten von einem Ort mit 10 Millionen Angriffen pro Tag geht es kaum.
