XtravaganT - Fotolia

F

Microsoft: Das Sicherheitsrisiko Passwort in den Griff bekommen

Passwörter sind nach wie vor eine der größten Schwachstellen in der IT-Sicherheit. Microsoft begegnet dem Problem mit neuen Funktionalitäten.

In Sachen Cyber-Kriminalität ist der Diebstahl von Passwörtern ein lohnendes Geschäft. Ein russischer Hacker, der unter anderem als „Collector“ bekannt wurde, hat kürzlich mehr als 250 Millionen gestohlenen Benutzernamen und Passwörter für Mail.ru, Yahoo Mail, Gmail, Hotmail und andere Konten feil geboten. Ein weiterer Hacker namens „Peace“ wirbt für den Verkauf einer Datenbank mit 167 Millionen E-Mails und gehashten Passwörter von LinkedIn-Benutzern.

Da viele Anwender dieselben Zugangsdaten für verschiedene Dienste verwenden, können deren Nutzernamen und Kennwörter Zugriff auf Firmenkonten, Social-Media-Netzwerke oder Online-Banking erlauben. Laut Microsofts 20. Security Intelligence Report registiert Microsoft täglich über 10 Millionen Angriffe auf die verschiedenen Identitätssysteme, die über Zugangsdaten erfolgen.

Wenn diese großen Mengen an Zugangsdaten offengelegt werden, beziehungsweise auf den Markt kommen, werden diese von Kriminellen wie Sicherheitsexperten gleichermaßen analysiert. So hat dies beispielsweise auch das Microsoft Azure Team Active Directory Identity Protection getan. Schließlich möchte man gern wissen, welche Passwörter am häufigsten verwendet werden. Microsoft nutzt diese Informationen, um die Liste der verbotenen, zu schwachen Passwörter dynamisch anzupassen und zu aktualisieren.

Blackliste für schwache Kennwörter

Wenn Nutzer künftig entsprechende, leicht zu erratende, Kennwörter beispielsweise bei ihrem Microsoft-Konto verwenden wollen, bekommen sie einen Hinweis, es dem Angreifer doch ein wenig schwerer zu machen. Damit führt Microsoft eine Art dynamische Blacklist für einfache Kennwörter ein. Dies gilt für das Microsoft-Konto als auch für Azure AD (Active Directory). Indem man Nutzer daran hindert, zu einfach zu erratende Passwörter zu verwenden, wird es gleichzeitig für Angreifer schwieriger, mit Wörterbuch- oder Brute-Force-Attacken schnell zum Erfolg zu kommen.

Abbildung 1: Wer beim Microsoft-Konto oder einigen Microsoft-Cloud-Diensten ein zu einfaches oder leicht zu erratendes Passwort wählt, bekommt einen entsprechenden Hinweis.

Zusätzlich führt Microsoft eine Funktionalitiät ein, die versucht, intelligent mit der Sperrung von Konten umzugehen, in einem Blogbeitrag auch als „Smart Password Lockout“ bezeichnet. Versucht ein Angreifer ein Passwort zu erraten, endet dies oftmals auch in gesperrten Accounts durch entsprechende fehlgeschlagene Login-Versuche. Dann ist der Angreifer zwar nicht im System, aber durch die Sperrung des Zugangs kann der Betrieb ebenfalls gestört werden. Wenn nun Microsofts Sicherheitslösung erkennt, das jemand versucht, online das Passwort für einen Zugang zu erraten, so wird nur diese spezielle Login-Session gesperrt. Versucht sich der echte Benutzer einzuloggen, ist das Konto nicht gesperrt – solange dieser die korrekten Zugangsdaten eingibt, kann er auf das Konto zugreifen. Dies kann angesichts der vielen Angriffe, die täglich erfolgen, jede Menge Zeit und Frust sparen. Ein echter Benutzer wird nur gesperrt, wenn versucht wird, vom eigenen System oder Netzwerk aus das Passwort zu erraten.

Inzwischen erfordern viele Richtlinien und Online-Dienste vom Nutzer zwangsweise sehr komplexe Passwörter mit einer Minimallänge und bestimmten Zeichentypen. Dies würde laut Microsoft keineswegs immer die Sicherheit erhöhen. Zwinge man Nutzer beispielsweise dazu, besonders lange Passwörter zu wählen, würde dies häufig ein vorsehbares Verhalten der Nutzer zur Folge haben. Und dies macht es Angreifern wiederum leichter, diese zu erraten. Per System zu unterbinden, dass Anwender schwache Passwörter verwenden, wird die Wirksamkeit von entsprechenden Richtlinien vermutlich erhöhen. Insbesondere wenn sichergestellt werden kann, das die Passwörter „einzigartiger“ sind. Obwohl dies die Sicherheit erhöht, werden Nutzer sicher damit zu kämpfen haben, sich diese Passwörter auch zu merken.

Multifaktor-Authentifizierung einrichten

Da Passwörter eine bekannte Schwachstelle in der IT-Sicherheit sind, sollte, wann immer technisch möglich, eine Multifaktor-Authentifizierung (MFA) eingerichtet werden. Anwender kennen dies zunehmend auch von ihren privaten Diensten, was die Akzeptanz derlei Lösungen erhöht. Multifaktor-Authentifizierung macht es für Angreifer deutlich schwieriger, mit gestohlenen Zugangsdaten Zugriff auf Geräte oder das Netzwerk zu erlangen.

In vielen Geräten sind hochwertige Kameras, Fingerabdruckleser oder auch Mikrofone integriert. Nie war es einfacher, entsprechende Zugangstechnologien zu implementieren. Die FIDO-Spezifikation unterstützt eine breite Palette an Authentifizierungstechnologien. Dazu gehören Biometrie, USB-Token und Smartcards, die sich ohne umfangreichen Entwicklungsaufwand implementieren lassen. Man kann nur hoffen, dass damit die Rolle des Passwortes als primärer Authentifizierungsfaktor an Bedeutung verliert.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Passwortregeln auf den Prüfstand stellen.

Zugangsdaten gestohlen: Was können Unternehmen tun?

Multifaktor-Authentifizierung: Beispiele und Anwendungsfälle für MFA.

Microsoft Ignite 2016: Mehr Sicherheit für Windows und Office.

Artikel wurde zuletzt im Oktober 2016 aktualisiert

Erfahren Sie mehr über Identity-Management: Technologie und Strategie

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close