Best Practices für die Kontosperrung (Account Lockout)

Gleichzeitig bergen rigide Richtlinien für die Kontosperrung die Gefahr unerwünschter Nebeneffekte. Benutzer vergessen häufig ihr Passwort und versuchen dann, das Problem mit Trial und Error selbst zu lösen. Außerdem kann das Limit für Fehlversuche schnell überschritten werden, wenn Anwendungen sich mit einem gespeicherten Kennwort authentifizieren, nachdem dieses geändert wurde. In beiden Fällen macht sich eine zu niedrige Einstellung durch häufigere Anfragen an den Helpdesk bemerkbar.

Noch unangenehmer sind die Folgen einer Denial-of-Service-Attacke (DoS), bei der ein Angreifer den Zugang zu zahlreichen Konten durch automatisierte Falschanmeldungen blockieren kann. Es liegt auf der Hand, dass man sich dagegen nicht schützen kann, indem man die Zahl der erlaubten Fehlversuche hochsetzt, weil ein Script in kürzester Zeit hunderte ungültiger Authen­ti­fizierungen auslösen kann.

Drei Einstellungen für die Kontosperre

Aus diesem Grund kennt Windows für Kontosperrungen noch zwei weitere Einstellungen, nämlich die Sperrdauer und die Zeit, nach der Windows den Zähler für die ungültigen Anmeldungen zurücksetzt. Die Kunst besteht also darin, das Limit für Fehlversuche und die Dauer für die Sperrung bzw. den Zähler-Reset so zu kombinieren, dass Angreifer einerseits möglichst wenige Versuche zum Erraten eines Passworts erhalten und andererseits DoS-Attacken keine gravierenden Auswirkungen haben.

Microsoft stellt für den Security Compliance Manager (SCM) eine Reihe von Baselines zusammen, die empfohlene Einstellungen auch für die Kontosperrung enthalten. Diese ändern sich jedoch häufig mit neuen Versionen von Windows, weil sie sich an die wechselnden Rahmenbedingungen anpassen (etwa den vermehrten Einsatz von mobilen Geräten, die sich gerne mit gespeicherten, aber nicht mehr aktuellen Passwörtern anmelden oder bei denen Tippfehler häufiger auftreten).

Idealwert von 10/15/15

Das SCM-Team beschreibt diese Anpassungen in einem Blogeintrag und begründet dort auch seine mit Windows 8.1 und Server 2012 R2 aktualisierten Vorgaben. Diese liegen bei einem Limit von 10 Fehlversuchen und jeweils 15 Minuten für die Sperre und das Zurücksetzen des Zählers. Sie würden einem Angreifer maximal 40 Versuche pro Stunde gewähren, um ein Kennwort zu erraten.

Die Autoren betonen, dass diese Empfehlung wohl für die meisten Unternehmen passt, aber trotzdem nicht ungeprüft übernommen werden muss, wenn es spezifische Anforderungen für diese Sicherheitsfunktion gibt.

Die Vorgabe von Microsoft versucht einen Kompromiss zu finden zwischen dem Schutz von Passwörtern und unerwünschten Nebeneffekten. Aber DoS-Attacken kann sie natürlich auch nicht unterbinden, weil die Kontosperrung nicht zwischen mutwilligen Fehlanmeldungen und irrtümlichen Benutzereingaben unterscheiden kann.

Alternativen zur Kontosperrung

Aus diesem Grund könnte man Alternativen zur Kontosperrung erwägen, die das Erraten von Kennwörtern weitgehend unterbinden und dabei keine neue Angriffsfläche bieten. Das SCM-Team empfiehlt dafür folgende Maßnahmen:

• Lange Passwörter erzwingen: Windows erlaubt die Festlegung einer mini­malen Kennwortlänge von bis zu 14 Zeichen. Dies erhöht die Zahl der möglichen Kombinationen deutlich, die ein Angreifer ausprobieren müsste.
• Höhere Passwortkomplexität: Die vorgeschriebene Verwendung von Ziffern und Sonderzeichen machen es wahrscheinlicher, dass die Benutzer starke Passwörter wählen.
• Konsequente Überwachung von fehlgeschlagenen Anmeldeversuchen und das Vorbereiten von Gegenmaßnahmen für den Fall, dass Password-Guessing entdeckt wird.
• Verwendung von Smartcards, ohne ein Passwort vorzugeben, so dass Windows hier eine zufällige Zeichenkette nimmt und eine Anmeldung über User und Kennwort faktisch verhindert.