Starke Passwörter nach BSI IT-Grundschutz im Active Directory? So funktioniert es!Borns IT- und Windows-Blog
Werbung – Wie kann ich sicherstellen, dass im Active Directory starke Passwörter verwendet werden? Mit dem „IT-Grundschutz“ hat das BSI IT-Administratoren quasi ein Rezept an die Hand gegeben, wie sie die Ressourcen einer Organisation schützen können. Specops Software, ein führender Anbieter von Passwortmanagement- und Authentifizierungslösungen, hat sich dem Thema „Starke Passwörter gemäß Active Directory des BSI-IT-Grundschutzes“ angenommen und im Folgenden einige Tipps zusammengestellt.
„Der Zugriff auf die zu schützenden Ressourcen einer Organisation muss auf autorisierte Benutzer und autorisierte IT-Komponenten beschränkt sein. Benutzer und IT-Komponenten müssen unbedingt identifiziert und authentifiziert werden.“ Das schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Einleitung zum Baustein „Identitäts- und Berechtigungsmanagement“ (ORP.4) des aktuellen IT-Grundschutz-Kompendiums. (PDF, verfügbar ab 2023 über die IT-Grundschutz-Website des BSI).
Wenn es um die Benutzeridentifizierung und -authentifizierung geht, ist eine Kombination aus Benutzername oder E-Mail-Adresse und Passwort in Unternehmen immer noch die gebräuchlichste Methode, obwohl es mittlerweile auch Optionen für die passwortlose Authentifizierung gibt. Das bedeutet, dass die Sicherheit der verwendeten Passwörter eine zentrale Rolle für die Computersicherheit des gesamten Unternehmens spielt. Daher fordert das BSI, dass zum Schutz des Unternehmensnetzwerks und vertraulicher Daten je nach Verwendungszweck und Schutzbedarf Passwörter von angemessener Qualität gewählt werden sollten. Ziel dieses Artikels ist es, einen Überblick über die Anforderungen des IT-Grundschutz-Kompendiums in Bezug auf Passwörter zu geben und Maßnahmen und Tools aufzuzeigen, die Ihnen helfen, diese Anforderungen zeitsparend zu erfüllen.
Starke Passwörter, aber nicht zu kompliziert
Abschnitt ORP.4.A22 zur Passwortqualität erfordert Passwörter für:
Je nach Verwendungszweck und Sicherheitsanforderungen SOLLTEN sichere Passwörter von ausreichender Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es leicht erraten werden kann. Das Passwort DARF NICHT zu komplex sein, als dass Benutzer es mit vertretbarem Aufwand regelmäßig verwenden könnten.
Aber die Länge und Komplexität von Passwörtern sind nicht die einzigen Indikatoren für die Passwortqualität. Auch Passwörter, die auf Firmen- oder Produktnamen basieren, sind für Angreifer relativ leicht zu erraten und daher erlaubt, so das IT-Grundschutz-Kompendium (ORP.4.A8)… Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten auftauchen, sollten NICHT verwendet werden….
Zusätzlich zu Optionen zum Festlegen der Passwortlänge und -komplexität in oder über Gruppenrichtlinien Detaillierte Passwortrichtlinien In Active Directory erweitern Tools wie Specops Password Policy die Funktionalität, um Passwörter im Zusammenhang mit Ihrer Organisation bei Bedarf mithilfe von Blacklists oder Ausschlusslisten einfach zu erraten.
Abbildung 1: Erstellen Sie benutzerdefinierte Blacklists, um leicht zu erratende Begriffe mit der Specops-Passwortrichtlinie zu blockieren. Klicken Sie zum Vergrößern
Allerdings gibt das BSI an, dass Passwörter mit „vertretbarem Aufwand“ weniger kompliziert gestaltet werden können (ORP.4.A22). Um das Gedächtnis zu unterstützen, werden häufig Strategien angewendet, die sich negativ auf die Sicherheit des „gemerkten“ Passworts auswirken: Beispielsweise lässt man das Passwort irgendwo am Arbeitsplatz notieren oder verwendet für viele Dinge dasselbe „sichere“ Passwort. Das Grundschutz-Kontenkompendium erlaubt die Eingabe von Passwörtern in Notfällen und nur dann, wenn das eingegebene Passwort sicher gespeichert wird (ORP.4.A8).
Wiederverwendung von Passwörtern
Vielen Benutzern scheint nicht bewusst zu sein, dass ein wiederholtes Passwort, sobald es kompromittiert wurde, den Zugriff auf alle anderen damit gesicherten Konten freigibt (das Schlüsselwort „Credential Padding“ unterstreicht also:
Passwörter sollten NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenes Passwort verwendet werden. (ORP.4.A8).
Als präventive Maßnahme kommen hier Sensibilisierung und Schulung sowie Tools wie Passwort-Manager zum Einsatz, die dabei helfen, alle „Post-Login“-Passwörter oder Zugangsdaten zu speichern.
Bereits (und zukünftige) kompromittierte Passwörter
So steht es in ORP.4.A8 „…Verwenden Sie KEINE Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten auftauchen. Passwörter MÜSSEN vertraulich behandelt werden. Benutzer kennen sich möglicherweise nur persönlich…“ und A23-Anfragen „…Maßnahmen SOLLTEN ergriffen werden, um Passwortrisiken zu erkennen…“ – aber wie geht das am einfachsten?
Online-Verzeichnisse wie Haveibeenpwned ermöglichen es Ihnen, Passwörter gezielt per API zu überprüfen, um zu sehen, ob sie in ihren jeweiligen Einträgen erscheinen. Ein automatischer und regelmäßiger Scan aller Passwörter im Active Directory hilft dabei, unsichere Passwörter schnellstmöglich zu erkennen und den Anforderungen gerecht zu werden.
Lösungen von Drittanbietern, wie Specops Password Policy mit Breached Password Protection, bieten eine regelmäßige Passwortüberprüfung. Dazu werden Passwort-Hashes mit einer umfangreichen und aktuellen Datenbank bereits kompromittierter Passwörter abgeglichen. Diese Datenbank enthält derzeit über 4 Milliarden kompromittierte Passwörter aus Leak-Listen, Passwort-Spray-Angriffen von proprietären Honeypot-Systemen und von Infostealer-Malware gestohlenen Passwörtern.
Befinden sich in Ihrem Active Directory bereits kompromittierte Passwörter? Überprüfen Sie mehr als 1 Milliarde kompromittierte Passwörter und andere passwortbezogene Schwachstellen mit dem kostenlosen, schreibgeschützten Specops Password Auditor-Tool.
Abbildung 2 Regelmäßiges Scannen nach kompromittierten Passwörtern trägt dazu bei, das Risiko von Passwörtern, Informationsdieben und der Wiederverwendung bereits kompromittierter Passwörter zu verringern. Zum Vergrößern anklicken.
IT-Grundschutz-Anforderungen zur Passwortänderung
Werden kompromittierte Passwörter gefunden, müssen diese selbstverständlich sofort geändert werden, ebenso wie Passwörter, die von Unbefugten entdeckt wurden. Gemäß ORP.4.A8 gilt dies auch dann, wenn nur der Verdacht besteht, dass ein Passwort bekannt ist.
Das BSI weicht dagegen deutlich von der alten Vorgabe der periodischen Passwortänderung ab: „IT-Systeme oder Anwendungen müssen Sie mit einem triftigen Grund auffordern, Ihr Passwort zu ändern. Rein zeitgesteuerte Änderungen SOLLTEN vermieden werden” (ORP.4.A23). Nur wenn Maßnahmen zur Erkennung gefährlicher Passwörter nicht möglich sind, empfiehlt das IT-Grundschutz-Kompendium die Prüfung “Nachteile der zeitgesteuerten Passwortänderung sind akzeptabel.”
Um Benutzern die Vergabe längerer Passwörter angenehmer zu gestalten, empfehlen wir, mit der Passwortlänge einen nicht zu kurzen Änderungszyklus zu verknüpfen. Mit der Specops-Passwortrichtlinie könnten sich Benutzer beispielsweise mit einem jährlichen Passwortwechsel für Passwörter ab 15 Zeichen anmelden, hin zu kürzeren Passwörtern, die für einen kürzeren Zeitraum gültig sind.
Abbildung 3: Einstellungsoptionen zum Festlegen von Ablaufdaten basierend auf der Passwortlänge in der Specops-Passwortrichtlinie
der Abschluss
Das IT-Grundschutz-Kompendium enthält mehrere Richtlinien, die teilweise auf unterschiedliche Weise in Passwortrichtlinien, Lösungen von Drittanbietern und einer Sensibilisierung der Mitarbeiter für Cybersicherheit umgesetzt werden können. Unsere Experten von Specops Software zeigen Ihnen gerne, wie Sie konforme Passwortrichtlinien für Ihr Unternehmen implementieren können.
