Sichere Authentifizierung: Checkliste für den Passwortschutz in Unternehmen

Unternehmen benötigen wirksamen Passwortschutz und klare Richtlinien, um eine sichere Authentifizierung ihrer Mitarbeiter zu gewährleisten.

Allen guten Vorsätzen von IT-Abteilungen zum Trotz bleiben Endanwender-Schulungen und fortschrittliche Formen der Authentifizierung mit dem Ziel sichererer Passwörter – bzw. deren Fehlen – ein drückendes Problem für die meisten Unternehmen. Immer noch wählen Benutzer leicht zu erratende Passwörter, notieren sie, speichern sie unverschlüsselt oder schicken sie Freunden und Kollegen per E-Mail – und dies alles, obwohl Passwörter zumeist die erste und bisweilen auch einzige Schutzmaßnahme gegen Eindringlinge sind.

Viele Unternehmen nutzen immer noch rein Passwort-basierte Authentifizierungsmethoden, weil die in der Regel einfacher und billiger sind als Systeme, die mehr Sicherheit versprechen – und weil ihre Legacy-Systeme ohnehin nur Authentifizierung auf der Basis von Passwörtern unterstützen. Selbst Unternehmen, die bereits fortschrittlichere Authentifizierungsformen implementiert haben, verwenden diese häufig in Verbindung mit Methoden zur Passwort-Verwaltung.

Zu guter Arbeit in diesem Bereich gehört es, die Richtlinien zur Passwort-Verwaltung im eigenen Unternehmen regelmäßig einer Prüfung zu unterziehen. Auf diese Weise kann man dafür sorgen, dass eine sichere Umgebung gewährleistet ist, in der sensible Daten geschützt werden.

Knacken von Passwörtern

Wenn man eine Passwort-Richtlinie entwickelt, dann ist es hilfreich, erst einmal die Methoden zu verstehen, die für unberechtigte Zugriffe auf geschützte Ressourcen genutzt werden. Angreifer verwenden die folgenden Methoden, um Passwörter zu knacken:

  • Brute Force: Der Versuch, Zugriff auf eine abgesicherte Ressource zu erlangen, indem alle möglichen Zeichenkombinationen, aus denen ein Passwort bestehen kann, ausprobiert werden.
  • Dictionary Attack: Der Versuch, Zugriff auf eine abgesicherte Ressource zu erlangen, indem man systematisch allgemein übliche Wörter (die häufig in einer Art von Wörterbuch enthalten sind) eingibt, um das Passwort des Benutzers zu ermitteln.
  • Sniffing: Das Mitschneiden des Verkehrs in einem Netzwerk oder Drahtlos-Netzwerk, um Passwörter auszulesen.
  • Cracking: Software, die versucht Kennwörter zu entschlüsseln.
  • Social Engineering: Eine Vorgehensweise, bei der soziale Kompetenzen Anwendung finden, um Kennwörter und anderweitige persönliche Informationen zu erlangen. Angreifer verwenden häufig Telefon-, E-Mail- oder Internet-Tricks, um Anwender zur Offenlegung sensibler Daten zu verleiten. Phishing ist eine Form des Social Engineering.
  • Spyware: Software, die Anwender zumeist unbeabsichtigt auf ihren Rechnern installieren. Spyware sammelt heimlich sensible Daten oder zeichnet Tastatureingaben auf und sendet diese an den Angreifer.
  • Schulter-Surfing: Der Versuch, Passwort-Informationen oder sonstige sensible Daten zu erlangen, indem man Anwender bei der Eingabe von Kennwörtern beobachtet oder aufgeschriebene Passwörter liest.

Viele dieser Methoden werden auch in Kombination genutzt. Zum Beispiel könnte ein Angreifer mittels Sniffing ein verschlüsseltes Passwort abfangen und anschließend versuchen, es mithilfe einer Cracking-Software zu entschlüsseln. Oder es kann vorkommen, dass Angreifer mittels Social Engineering persönliche Informationen sammeln und anschließend ein Dictionary-Programm verwenden, um eine – auf diesen Daten basierende – Wortliste zu erzeugen.

Solide und sichere Kennwörter

Eine wirksame Passwort-Richtlinie sollte verhindern, dass Passwörter auf irgendeine Weise erraten, geknackt oder zugänglich gemacht werden. Ein Teil dieser Richtlinie sollte alle Anwender dazu verpflichten, möglichst starke Passwörter zu erstellen und exakte Vorgaben zum Umgang damit zu befolgen.

Es gibt eine Vielzahl von Materialien, die genau erläutern, was ein starkes Passwort ausmacht und wie die korrekte Pflege von Passwörtern aussehen sollte. Die folgenden Regeln fassen einen Großteil dieser Informationen zusammen und bieten somit eine schnelle Checkliste für die Entwicklung von Standards für Passwörter:

  • Halten Sie Passwörter geheim. Notieren Sie keine Passwörter. Zeigen Sie sie nicht herum und erzählen Sie niemandem davon. Speichern oder versenden Sie keine Passwörter über elektronische Medien, es sei denn, diese sind mittels Verschlüsselung gesichert.
  • Verwenden Sie keine persönlichen Informationen. Nutzen Sie keine Vor- oder Nachnamen, Adressen, Geburtstage oder Jahrestage. Auch Sozialversicherungsnummern, Benutzernamen, Spitznamen, Namen von Haustieren oder sonstige persönliche Informationen sind tabu.
  • Erstellen Sie keine Passwörter, die leicht zu erraten sind. Vermeiden Sie es, gebräuchliche Wörter, Abkürzungen oder auch Fremdwörter zu verwenden. Das gilt auch für übliche Schreibfehler oder rückwärts geschriebene Begriffe. Wenn Sie eine Passphrase erstellen, dann verwenden Sie keine allgemein üblichen Sätze, berühmte Zitate oder Zeilen aus Gedichten oder Liedern.
  • Verwenden Sie gemischte Zeichen. Passwörter sollen groß und klein geschriebene Zeichen, Nummern und Symbole wie zum Beispiel @, %, !, &, und ^ enthalten.
  • Erstellen Sie lange Passwörter. Je länger das Passwort, desto besser. Die meisten Quellen empfehlen, dass Passwörter mindestens acht Zeichen lang sein sollten, oftmals auch länger. (Microsoft empfiehlt inzwischen, dass ein starkes Passwort aus mindestens 14 Zeichen bestehen sollte.) Falls Passphrases unterstützt werden, sollten Sie diese auch nutzen. Sie sollten dann mindestens 20 bis 30 Zeichen lang sein.
  • Ändern Sie die Passwörter regelmäßig. Die Empfehlungen zur Häufigkeit, mit der Passwörter geändert werden sollten, variieren. 90 Tage gelten jedoch als allgemein üblicher Standard. In einigen Organisationen gilt die Richtlinie, dass Konten mit besonderen Privilegien (Administratoren-Konten) häufiger geändert werden müssen als Konten von Endanwendern.
  • Verwenden Sie Passwörter nicht mehrmals. Nachdem Sie ein Passwort benutzt haben, sollten Sie es schlicht vergessen. Zudem sollte sich das neue Passwort deutlich vom alten unterscheiden.
  • Verwenden Sie unterschiedliche Passwörter für verschiedene Konten. Vermeiden Sie es, dasselbe Passwort für mehr als ein Konto zu verwenden.

Es ist nicht sonderlich überraschend, dass es umso schwieriger wird, sich Passwörter zu merken, je stärker diese sind. Und je schwieriger das Merken wird, desto wahrscheinlicher wird es, dass Anwender sich die Passwörter notieren, vergessen oder beim Support danach fragen.

Der Kniff besteht hier darin, die Anwender zur Nutzung starker Passwörter zu bewegen, die sie sich merken können. Eine Möglichkeit dafür besteht darin, das Passwort aus den Anfangsbuchstaben der einzelnen Wörter in einem Ausdruck oder einem Satz zu bilden. Zum Beispiel wird aus dem Satz Der Zug #3 kommt heute Mittag @ Bahnsteig 2A an! das Passwort DZ#3khM@B2Aa!. Wie Sie sehen, enthält das Passwort Groß- und Kleinbuchstaben, Zahlen und Symbole.

Die Passwort-Verwaltung

Eine wirksame Sicherheitsstrategie sollte unter anderem eine klar dokumentierte Passwort-Richtlinie enthalten, die unter anderem starke Passwörter vorsieht. Allerdings sollte die Richtlinie auch noch andere Belange regeln, die im Hinblick auf die Passwort-Verwaltung  kritisch sind:

  • Schulung von Anwendern: Alle Anwender sollten hinsichtlich der Passwort-Problematik geschult werden. Und zwar inklusive der Details, wie Passwörter geknackt werden können, wie ein starkes Passwort aussehen muss, wie man ein solches erstellt und schließlich noch, wie man sicher damit umgeht.
  • Standards durchsetzen: Passwort-Richtlinien sollten systematisch durchgesetzt werden. Dies kann über Sicherheitsrichtlinien und andere Netzwerk- und Betriebssystem-Mechanismen geschehen, die Benutzer daran hindern, schwache Passwörter anzulegen oder sie falsch zu verwalten. Zum Beispiel sollten Sie dafür sorgen, dass Passwörter nach Ablauf einer bestimmten Frist verfallen, die Passwort-Historie jedoch aufbewahrt wird. So kann eine erneute Verwendung abgelaufener Passwörter unterbunden werden. Zudem sollten neue Benutzer dazu aufgefordert werden, ihre Passwörter bei der erstmaligen Systemanmeldung zu ändern.

Eindringlinge aufspüren: Richten Sie Kontrollmechanismen ein, um die Anzahl der Fehlversuche bei der Passwort-Eingabe festzulegen, die zu einer Sperrung des Kontos führt.

  • Passwörter auditieren: Passwörter sollten regelmäßig auditiert werden, um die Einhaltung aller Richtlinien sicherzustellen. Diese Prüfung muss so erfolgen, dass die Passwörter selbst nicht angezeigt werden.
  • Passwörter speichern und senden: Passwörter sollten stets in verschlüsselter Form gespeichert oder versendet werden.
  • Umgang mit Passwörtern mit Sonderrechten: Passwörter mit besonderen Rechten – zum Beispiel solche für den Zugriff auf Administrator-Konten – erlauben unter anderem Computern gegenseitige Zugriffe oder die Ausführung von Service-Programmen. Sie sollten daher möglichst zentral auf einem System gespeichert werden, das einen Prozess für sichere Zugriffe und Änderungen unterstützt.
  • Passwort-Verwaltung einführen: Lösungen für das Verwalten von Passwörtern können beim Umgang mit kompromittierten Passwörtern helfen. Es gibt sie als zentralisierte Technologie (zum Beispiel Single-Sign-On oder Passwort-Synchronisierung) oder so, dass  Benutzer Namen, Passwörter und andere sensible Informationen lokal speichern können. Falls Ihre Organisation eine dieser Methoden einführt, dann sollte Ihre Passwort-Richtlinie konsequenterweise auch Aussagen zum Betrieb dieser Technologien und deren Verwendung enthalten.

Eine wirksame Passwort-Richtlinie muss eindeutig mehr leisten, als nur sicherzustellen, dass Anwender starke Passwörter anlegen. Das Ziel muss insgesamt darin bestehen, allen autorisierten Benutzern den Zugriff auf geschützte Daten zu gestatten, während unberechtigte Benutzer an solchen Zugriffen gehindert werden.

Deshalb sollten Sie eine Richtlinie erstellen, in der sämtliche Probleme berücksichtigt sind, die im Zusammenhang mit der Verwaltung von Passwörtern auftreten können. Die oben aufgeführten Punkte stellen so gesehen nur einen Anfang dar. Ihre Richtlinie sollte speziell auf Ihr Unternehmen zugeschnitten sein. Mit anderen Worten: Ihre Passwort-Richtlinie sollte jeden einzelnen Schritt enthalten, der dafür nötig ist, die Gefahr der Kompromittierung eines der Systeme in Ihrem Unternehmen zu verringern

ÜBER DEN AUTOR:
Robert Sheldon arbeitet als technischer Berater und freiberuflicher Autor für Technologie-Themen. Er hat zahlreiche Bücher, Artikel und Schulungsunterlagen zu Microsoft Windows, relationalen Datenbank-Verwaltungssystemen sowie Konzepten und Implementierungen für Business Intelligence verfasst. Mehr Informationen finden Sie unter http://rhsheldon.com.

Artikel wurde zuletzt im August 2011 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identity-Management: Technologie und Strategie

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close