Best Practices für Passwörter: Länge, Komplexität und Ablaufdatum

    Kennwort abgelaufenNach land­läufiger Meinung bieten Kenn­wörter umso mehr Sicher­heit, je länger und kom­plexer sie sind. Außer­dem erreiche man zusätz­lichen Schutz, wenn man die Benutzer regel­mäßig zwingt, ihre Pass­wörter zu ändern. Ein kürz­lich von Microsoft ver­öffentl­ichtes Whitepaper empfiehlt das Gegenteil.

    Die reine Anmeldung über Benutzername und Passwort gilt generell als nicht besonders sicher, weshalb viele Firmen Smartcards einsetzen oder auf eine Zwei-Faktor-Authenti­fizierung mit Hilfe von Tokens vertrauen. Microsoft bemüht sich zudem, die Anmeldung mittels Passwort durch andere Verfahren zu ersetzen (etwa durch Anmeldung mit PIN).

    Veraltete AD-Vorgaben

    Dennoch ist die Kombination aus Username und Passwort noch in vielen Unternehmen verbreitet, so dass Richtlinien zur Verwendung von Kennwörtern eine wichtige Rolle spielen. Solche legt beispiels­weise das Active Directory über die Default Domain Policy bereits standardmäßig fest.

    Allerdings sind seine Möglichkeiten für Kennwort­richtlinien beschränkt und die Vorgaben widersprechen teilweise den Erkenntnissen, die Microsoft kürzlich im Password Guidance (PDF) publiziert hat.

    Dieser Ratgeber bezieht sich zwar schwerpunktmäßig auf die Sicherheit von Microsoft-Konten, gilt aber in vielen Punkten auch für AD-Accounts und enthält zudem Empfehlungen explizit für Admini­stratoren.

    Mindestlänge von 8 Zeichen

    Zu diesen Ratschlägen gehört etwa, dass man die Mindestlänge der Passwörter bei 8 Zeichen belassen sollte. Die gängige Vorstellung, dass mehr als 10 Zeichen lange Kennwörter die Sicherheit erhöhen, sei unzutreffend.

    Zwar lassen sich die Hash-Codes von kurzen Passwörtern grundsätzlich leichter entschlüsseln, wenn sie Hackern in die Hände fallen. Eine von Microsoft durchgeführte Studie zeige aber, dass Richtlinien, die 16 Zeichen erzwingen, die Benutzer zu Wortwieder­holungen (z.B. "PassPassPassPass") verführten, um sich die Kennwörter besser merken zu können.

    Außerdem steige mit den Anforderungen an die Länge der Passwörter die Wahrschein­lichkeit, dass sie die erzwungene Mindest­anzahl der Zeichen gar nicht oder nur geringfügig überschreiten. Dieses Wissen um eine weitgehend einheitliche Länge der Passwörter erleichtere ebenfalls ihre Ent­schlüsselung.

    Hohe Komplexität führt zu berechenbarem Verhalten

    Die Default Domain Policy fordert bei der Komplexität von Passwörtern, dass Benutzer neben Groß- und Kleinbuchstaben auch Ziffern sowie Sonderzeichen verwenden (sie müssen sich aus mindestens 3 dieser 4 Kategorien bedienen).

    Bei der Aktivierung der AD-Komplexitätsanforderungen müssen Passwörter Ziffern oder Sonderzeichen enthalten.

    Entgegen allgemeiner Überzeugung erhöht auch diese Anforderung nicht die Sicherheit der Kennwörter, wie eine weitere Studie herausfand. Vielmehr veranlasst sie die Benutzer zu einem berechenbaren Verhalten, indem diese bestimmte Buchstaben durch Ziffern ersetzten (a => @, S => $, I => 1, O => 0, etc.).

    Außerdem würden Großbuchstaben meistens am Anfang und Sonderzeichen wie !,?,# oder % fast immer am Ende verwendet. Hacker wüssten das mittlerweile und würden diese Muster in Dictionary-Angriffen gezielt ausnutzen.

    Ablaufdatum für Passwörter

    Eine andere gängige Praxis, die vermeintlich die Sicherheit erhöht, zwingt die Benutzer in regelmäßigen Intervallen zum Wechsel ihrer Passwörter. Auch diese Maßnahme verleitet die User ebenfalls zu einem vorherseh­baren Verhalten, weil sie dann häufig die bereits benutzten Kennwörter variieren, beispielsweise durch Anhängen einer fortlaufenden Nummer.

    Kennwort läuft nie ab

    Falls Cyber-Krimi­nelle an das Passwort eines Benutzers gelan­gen, dann machen sie in der Regel sofort davon Gebrauch. Das Ändern des Kennworts kommt daher meist zu spät.

    Und wenn es der User zwischen­zeitlich erneuert, dann stehen die Chancen gut, dass es der Angreifer heraus­finden kann. In einer US-Studie wurden 17 Prozent der neuen Kennwörter innerhalb von 5 Versuchen erraten, wenn den Versuchs­personen das alte bekannt war.

    Alternative Maßnahmen

    Der Ratgeber empfiehlt stattdessen andere Vorkehrungen, um den Schutz von Konten durch Passwörter zu stärken. Dazu zählt zunächst eine nicht-technische Maßnahme, indem Unternehmen ihre Mitarbeiter dazu anhalten, die intern genutzten Kennwörter für keine externen Web-Sites oder Cloud-Dienste zu verwenden. Werden diese dort gestohlen, dann besteht die Gefahr, dass Angreifer sie auch ausprobieren, um Zugang zur IT der Firma zu erhalten.

    Eine verbreitete Schwäche von Passwörtern besteht darin, dass viele Benutzer triviale Codes verwenden. Daher wäre es sinnvoll, unerwünschte Kennwörter wie "P@sswort", "123456", Vornamen und dgl. auf eine Blacklist zu setzen. Dies erfolgt standardmäßig für Microsoft-Konten und Azure AD, für Active Directory benötigt man dafür jedoch Tools von Dritther­stellern.

    Passwörter in sicherem Kontext

    Es versteht sich von selbst, dass auch die besten Passwörter nur in einer sicheren Umgebung bestehen können. Sind Rechner von Malware befallen, die alle Tastatur­eingaben mitschneidet, dann helfen keine Richtlinien für Kennwörter. Ähnliches gilt für Phishing-Angriffe, wenn sie Benutzer zur Herausgabe der Passwörter verleiten.

    Folgende Tabelle gibt einen Überblick darüber, welche Vorkehrungen gegen welche Art von Angriffen wirksam sind:

    Angriff Häufig­keit Wirk­samkeit Unique Long Com­plex Ro­tate MFA
    Breach 90% ↑↑ Y Y Y N Y
    Phishing 9% ↑↑ Y N N N Y
    Malware ↑↑ Y N N N Y
    Social engineering, Recovery < 1% Y N N N Y
    Hammering ↓↓ Y Y Y N Y
    Targeted, Spear Phish ↑↑ Y N N N Y
    Proof Compromise* ↑↑ N N N N N

    *Hackern fällt Be­weis für Konto­besitz in die Hände, z.B Handy oder Mail-Account

    Unique bedeutet, dass Passwörter nicht zusätzlich in einem anderen Zusammen­hang genutzt werden, Rotate steht für den erzwungenen Wechsel von Kennwörtern nach einer bestimmten Frist und MFA für Multi-Faktor-Authentifizierung.

    Keine Kommentare