Authentifizierung für Netzwerke: Best Practices zu Passwort-Richtlinien

Wie sollen Unternehmen ihre Passwort-Richtlinien überprüfen, anpassen oder erweitern? Die richtige Authentifizierung der Mitarbeiter ist entscheidend.

Es gibt eine Vielzahl von Geschichten jüngeren Datums, in denen bekannte Websites – wie zum Beispiel Facebook – Ziel von erfolgreichen Hacker-Angriffen wurden. Zumeist wurden dabei Tausende, wenn nicht gar Hunderttausende von Passwörtern und anderen Benutzerinformationen entwendet. Nahezu alle Websites behaupten, die personenbezogenen Daten ihrer Nutzer umfassend zu schützen. Doch allem Anschein nach haben die meisten Probleme damit, dieses Versprechen einzulösen – und was ist dann erst mit denen, die nicht einmal einen ernsthaften Versuch dazu unternehmen? Wenn wir uns auf einer Website registrieren, dann gehen wir in zumeist davon aus, dass grundlegende Sicherheitsmechanismen vorhanden sind, zu allererst, dass unser Passwort nicht unverschlüsselt gespeichert wird. Aber können wir uns da wirklich sicher sein?

Kennwörter allein sind längst kein sicheres Mittel zur Authentifizierung mehr.

Probleme dieser Art bereiten die Bühne für die Frage, wie viele Unternehmen ihre Passwort-Richtlinien überprüfen und gegebenenfalls anzupassen oder erweitern sollten. Betrachten wir dazu einen ganz normalen Mitarbeiter: Dieser ist sich der Sicherheitsproblematik durchaus bewusst und verwendet zuhause, auf seinem privaten Rechner, eine Firewall, sowie Software zum Schutz von Viren und Malware; sein Kennwort gibt er selbstverständlich nicht an Dritte weiter. Er verfügt über diverse Online-Konten und ist Mitglied bei mehreren sozialen Netzwerken. Da dies eine Vielzahl von Benutzernamen und Kennwörtern bedeutet, verwendet er – der Einfachheit halber – dasselbe Passwort für alle diese Websites. Um sich das Leben ein Stück leichter zu machen, verwendet er dieses außerdem auch zur Anmeldung am Unternehmensnetzwerk.

Alle der Passwort-geschützten Sites und Services, auf die er zugreift, behaupten, dass sie das Thema Sicherheit äußerst ernst nehmen und dass persönliche Daten sicher gespeichert werden. Hin und wieder passiert es trotzdem, dass Benutzernamen, Passwörter und weitere personenbezogene Daten gestohlen werden. Und was ist eigentlich mit den Websites, die den Anschein erwecken, echt zu sein, aber tatsächlich nur dazu gedacht sind, Benutzernamen und Passwörter zu sammeln – und zwar genau auf Basis der Annahme, dass die meisten Menschen dieselbe Kombination für alle ihre Benutzerkonten verwenden? Es kann also durchaus sein, dass unser umsichtiger und sicherheitsbewusster Mitarbeiter seine Anmeldedaten für diverse Ressourcen in Ihren Netzwerk in die Öffentlichkeit gebracht hat – unbewusst zwar, aber trotzdem gegenüber einer Vielzahl von vertrauensunwürdigen und -würdigen (aber nicht notwendigerweise auch hinreichend sicheren) Dritten.

Dies ist der Grund, warum Richtlinien zur Passwort-Sicherheit unbedingt verlangen sollten, dass Netzwerk-Passwörter nicht mit privat verwendeten übereinstimmen dürfen. Das ist zwar nur schwer oder gar nicht durchsetzbar, lässt sich aber mit Änderungen bei den Passwort-Anforderungen eher erreichen. Außerdem können den Benutzern so die Gefahren der Verwendung eines einzigen Passworts für mehrere Benutzerkonten bewusst gemacht werden. Die meisten Menschen verwenden ein Passwort mit sechs Zeichen, das vielleicht sogar eine Zahl enthält, aber nur selten auch nicht-alphanumerische Zeichen. Schon indem Sie über Ihre Passwort-Richtlinie durchsetzen, dass Ihre Netzwerk-Nutzer acht oder mehr Zeichen mit mindestens einer Zahl und einem Sonderzeichen als Passwort nehmen, kann eine Besserung eintreten. Denn Sie senken so die Wahrscheinlichkeit, dass einer Ihrer Mitarbeiter dasselbe Kennwort auch für private Websites verwendet.

Natürlich ist dies noch längst keine vollständige Lösung für das Problem eines nachlässigen Umgangs mit Passwörtern. Es ist aber auf jeden Fall ein guter erster Schritt. Passwörter allein sind jedoch längst kein sicheres Mittel zur Authentifizierung mehr. Die Authentifizierung ist der Dreh- und Angelpunkt dafür, wer welche Dinge tun darf. Bei jedem Netzwerk, das wertvolle oder sensible Informationen enthält sollte man unbedingt zu einer zweistufigen Authentifizierung übergehen. Allein schon, um ein Eindringen aufgrund kompromittierter Passwort-Informationen auszuschließen. Die Authentifizierung muss besonders robust sein, wenn verhindert werden soll, dass Daten – insbesondere solche, die alles andere als trivial sind – offengelegt werden.

Organisationen, die von ihren Mitarbeiten das Tragen von Ausweisen verlangen, sollten überlegen, diese ID-Karten zu Tokens aufzuwerten. Denn dadurch werden diese für die zweistufige Authentifizierung nutzbar. Dadurch wäre ein zentrales Medium geschaffen, um Zugriffsrichtlinien einzuführen und durchzusetzen – und zwar sowohl für physische als auch logische Ressourcen. Dies verhilft dazu, die Risiken und Kosten zu senken, die mit dem Diebstahl von Passwörtern einhergehen. Außerdem fügt sich diese Veränderung relativ leicht in ein System ein, an das sich die Mitarbeiter ohnehin bereits gewöhnt haben.

Über den Autor: Michael Cobb, CISSP-ISSAP, ist Gründer und Managing Director von Cobweb Applications Ltd., einer Beratungsfirma, die IT-Schulungen und -Support zum Thema Datensicherheit und -Analyse anbietet. Er ist zudem Co-Autor des Buches IIS Security und Verfasser vieler  Artikel in führenden IT-Publikationen.

Artikel wurde zuletzt im September 2010 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identity-Management: Technologie und Strategie

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close