Überdenken von Passwortrichtlinien
Ebenso wie die Unwirksamkeit von Phishing-Simulationen ist es immer noch ein weit verbreiteter Irrglaube, dass Passwörter regelmässig geändert werden müssen, um sicher zu sein. In Wirklichkeit tragen veraltete Passwortrichtlinien zu einem schwächeren Schutz und zur Frustration der Benutzer:innen bei.
Das Schweizer-Käse-Modell: Ein mehrschichtiger Abwehrmechanismus
Das Schweizer-Käse-Modell ist ein bekanntes Konzept im Risikomanagement und lässt sich besonders gut auf die Cybersicherheit anwenden. Die Idee ist, dass keine einzelne Sicherheitsebene perfekt ist – jede hat „Löcher“ oder Schwachstellen, ähnlich wie Scheiben von Schweizer Käse. Durch den Aufbau mehrerer Verteidigungsschichten werden die Löcher in einer Schicht jedoch durch die Stärken einer anderen Schicht abgedeckt, wodurch die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich verringert wird.
Wie sich dies auf die Passwortsicherheit auswirkt:
Anstatt sich darauf zu verlassen, dass die Endbenutzer sichere Kennwörter mithilfe einer Reihe komplexer Richtlinien erstellen, sollten Unternehmen mehrere Schutzebenen implementieren. Betrachten wir einige der Möglichkeiten näher:
1. Passwortänderungen: Nur wenn kompromittiert
Seit 2017 empfehlen die NIST-Richtlinien, erzwungene regelmässige Passwortänderungen zu vermeiden. Jetzt haben wurde dies zu einer Anforderung. Willkürliche Rücksetzungen sind nicht nur unnötig, sondern auch aktiv schädlich. NIST SP 800-63B unterstreicht:
«Verifizierer DÜRFEN NICHT verlangen, dass gespeicherte Schlüssel willkürlich (z. B. in regelmässigen Abständen) geändert werden.»
Original: “Verifiers SHALL NOT require memorized secrets to be changed arbitrarily (e.g., periodically).”
– US National Institute for Standards and Technology
Warum diese Anforderung?
Die Erzwingung routinemässiger Passwortänderungen führt zu einem vorhersehbaren und unsicheren Benutzerverhalten. Benutzer:innen nehmen oft geringfügige, leicht zu erratende Änderungen vor, wie z. B. „Passw0rt“ in „Passw0rt1“ oder „Winter2023!“ in „Frühling2024!“. Solche Muster untergraben die Sicherheitsvorteile, die das Ändern von Kennwörtern mit sich bringt.
Stattdessen rät NIST, sich auf proaktive Massnahmen zu konzentrieren, wie die Erkennung von Sicherheitsverletzungen und die Reaktion auf Vorfälle, um Passwortänderungen nur dann zu veranlassen, wenn eine verifizierte Bedrohung vorliegt. Ein wichtiger Sicherheitsaspekt ist außerdem, dass jeder Dienst ein eindeutiges Passwort hat. Die Wiederverwendung von Passwörtern über mehrere Servcies hinweg erhöht das Risiko, da ein einziges kompromittiertes Passwort Angreifern Zugriff auf mehrere Konten gewähren könnte.
2. Passwort-Manager
Niemand möchte sich all diese Passwörter für jeden Dienst merken. Da kommen Passwort-Manager gerade recht. Benutzer:innen müssen sich nur ein Passwort merken, um auf alle anderen zuzugreifen. Einige gute Beispiele sind KeePass (Passwortdatenbank bleibt lokal) oder Bitwarden (kann selbst gehostet werden). Die meisten Unternehmenslösungen bieten auch einen Dienst für den persönlichen Gebrauch an. Je nach Bedrohungsmodell reicht vielleicht sogar iCloud Keychain für die persönliche Nutzung aus.
Dank der Browsererweiterungen dieser Anwendungen kann man sich automatisch anmelden und trotzdem ein eindeutiges und komplexes Passwort pro Dienst beibehalten.
3. Regeln für die Zusammensetzung von Passwörtern: Nicht länger erforderlich
Falls jetzt die Befürchtung besteht, dass ein Passwort-Manager keine Passwörter generieren kann, die den verschiedenen Anforderungen einer Website entsprechen, kann durchgeatmet werden. Erstens unterhält Apple ein Git-Repository mit Passwortmanager-Ressourcen, in dem Anforderungen für bekannte Websites, sowie Seiten, welche das gleiche Authentifizierungs-Backend und URLs für Passwortänderungen verwenden, gespeichert sind.
Aber noch wichtiger ist, dass NIST die Verwendung solcher Anforderungen nicht mehr empfiehlt. Um direkt aus dem NIST FAQ zu zitieren:
«SP 800-63B Abschnitt 5.1.1.2 Absatz 9 rät von der Verwendung von Zusammensetzungsregeln (z. B. Kleinschreibung, Grossschreibung, Ziffern und/oder Sonderzeichen) für gespeicherte Geheimnisse ab. Diese Regeln bringen weniger Nutzen als erwartet, da die Benutzer:innen dazu neigen, vorhersehbare Methoden zu verwenden, um diese Anforderungen zu erfüllen, wenn sie ihnen auferlegt werden (z. B. indem sie ein ! an ein gespeichertes Kennwort anhängen, wenn sie ein Sonderzeichen verwenden müssen). Die Frustration, mit der sie oft konfrontiert sind, kann sie auch dazu veranlassen, sich auf die minimale Erfüllung der Anforderungen zu konzentrieren, anstatt ein einprägsames, aber komplexes Kennwort zu entwickeln. Eine Blockliste mit gängigen Passwörtern hindert die Teilnehmer stattdessen daran, sehr gängige Werte zu wählen, die besonders angreifbar wären, insbesondere für Online-Angriffe.
Zusammensetzungsregeln ermutigen auch unbeabsichtigt dazu, dasselbe Passwort für mehrere Systeme zu verwenden, da sie oft zu Passwörtern führen, die man sich nur schwer merken kann.»
Original: «SP 800-63B Section 5.1.1.2 paragraph 9 recommends against the use of composition rules (e.g., requiring lower-case, upper-case, digits, and/or special characters) for memorized secrets. These rules provide less benefit than might be expected because users tend to use predictable methods for satisfying these requirements when imposed (e.g., appending a ! to a memorized secret when required to use a special character). The frustration they often face may also cause them to focus on minimally satisfying the requirements rather than devising a memorable but complex secret. Instead, a blacklist of common passwords prevents subscribers from choosing very common values that would be particularly vulnerable, especially to an online attack.
Composition rules also inadvertently encourage people to use the same password across multiple systems since they often result in passwords that are difficult for people to memorize.»
– US National Institute for Standards and Technology
Dennoch sollten Passwörter weiterhin auf bekannte / entwendete Passwörter hin überprüft werden. Eine vollständige Liste der Anforderungen findet sich in den NIST-Richtlinien.
4. Darf ich vorstellen: Passphrasen
Wenn aus irgendeinem Grund kein Passwort-Manager verwendet werden kann oder der Wille nicht vorhanden ist (was aber unbedingt gemacht werden sollte), sollten Passphrasen anstelle von Passwörtern verwenden. Eine Passphrase ist eine Folge zufälliger, aber einprägsamer Wörter, wie z. B. „DiePinkenSonnenuntergängeAnDienstagen!“. Auf diese Weise sind Passwörter sicher und leicht zu merken, aber dennoch lang und komplex genug, um Brute-Force-Angriffen zu widerstehen.
Tipps zur Erstellung von Passphrasen:
- Eine Reihe von nicht zusammenhängenden, aber einprägsamen Wörtern.
- Mindestens 16 Zeichen.
- Interpunktion und Grossschreibung helfen die Sicherheit zu erhöhen.
5. Zwei-Faktoren-Authentifizierung (2FA): Eine unentbehrliche Schicht
Passwörter alleine reichen nicht aus; die 2FA bietet eine wichtige zusätzliche Sicherheitsebene. Sie erfordert einen zweiten Faktor, wie z. B. einen Code aus einer App oder einen Hardware-Sicherheitsschlüssel, um unbefugten Zugriff zu verhindern, selbst wenn ein Kennwort kompromittiert wurde.
Arten von 2FA:
- SMS-basierte Codes: Bequem, aber weniger sicher. Sollten vermieden werden.
- Authenticator-Apps: Zu den sichereren Optionen gehören Google Authenticator und Microsoft Authenticator.
- Hardware-Schlüssel: Die sicherste Form, mit Geräten wie YubiKey.
6. Richtlinien für den bedingten Zugang: Intelligentere 2FA-Eingabeaufforderungen
Wiederholte 2FA-Eingabeaufforderungen können zu einer Ermüdung der Benutzer:innen führen und die Anfälligkeit für Phishing-Angriffe erhöhen. Richtlinien für den bedingten Zugriff bieten eine Möglichkeit, Sicherheit und Benutzerfreundlichkeit auszubalancieren, indem 2FA nur dann erzwungen wird, wenn es notwendig ist, z. B. bei risikoreichen Anmeldungen oder von unbekannten Geräten.
Beispiele für bedingte Zugriffsrichtlinien:
- Aufforderung zur 2FA nur beim Zugriff auf sensible Ressourcen.
- Verwenden von risikobasierer Authentifizierung, bei der Faktoren wie Standort und Benutzerverhalten berücksichtigt werden.
- Konfiguration von Gerätekonformitätsprüfungen, bevor der Zugriff gewährt wird
Konfigurationsleitfaden:
Weitere Informationen zum Einrichten dieser Maßnahmen in M365 findet sich in der Microsoft-Dokumentation zu bedingtem Zugriff.
7. Passkeys: ein moderner Ansatz
Passkeys sind ein großer Fortschritt bei der sicheren, passwortlosen Authentifizierung. Sie verwenden ein kryptografisches Schlüsselpaar: einen öffentlichen Schlüssel, der auf dem Server gespeichert ist, und einen privaten Schlüssel, der sicher auf dem Gerät des Benutzers gespeichert ist. Mit diesem Ansatz wird das Phishing-Risiko praktisch eliminiert, da es kein Passwort gibt, das gestohlen oder missbraucht werden könnte.
Beispielhafte Implementierung:
Plattformen wie Apple und Google haben Passkey-Unterstützung integriert. Einzelheiten zur Konfiguration für macOS- und iOS-Geräte sind im Passkeys-Leitfaden von Apple zu finden.
Fazit
Das Ziel moderner Passwortrichtlinien ist nicht nur die Verbesserung der Sicherheit, sondern auch die Schaffung einer benutzerfreundlichen Erfahrung. Anstatt sich darauf zu verlassen, dass die Benutzer:innen sichere Passwörter durch eine Reihe komplexer Richtlinien erstellen, sollten Unternehmen proaktive Massnahmen ergreifen. Dazu gehören die Erkennung von Sicherheitsverletzungen, die Reaktion auf Vorfälle und die Sicherstellung, dass jeder Dienst über ein eindeutiges Passwort verfügt – am besten mit Hilfe von Passwortmanagern. Sich ausschließlich auf das Benutzerverhalten zu verlassen, ist eine fehlerhafte Strategie; IT-Abteilungen sollten das Schweizer-Käse-Modell für Sicherheit anwenden. Intelligente Multi-Faktor-Authentifizierung (MFA), passwortlose Authentifizierung und bedingte Zugriffsrichtlinien sind entscheidende Komponenten.
Gerne dürfen weitere Einblicke und eigene Strategien in den Kommentaren geteilt werden.