So richten Sie Richtlinien für Active Directory Passwörter ein

Schwache Passwörter sind ein Einfallstor für Cyberkriminelle. Wie groß die Gefahr ist, zeigen einige Vorfälle aus den letzten Wochen: So hat der Landkreis Anhalt-Bitterfeld nach einer Cyberattacke im Juli 2021 den Katastrophenfall ausgelöst und die Verwaltung wurde praktisch handlungsunfähig . Auch in der Schweiz wurde die öffentliche Verwaltung im August 2021 im Kanton Waadt von Hackern angegriffen . Die Opfer kommunizieren in solchen Fällen eher selten, was die eigentliche Ursache des Datenverlustes war. Die Wahrscheinlichkeit ist aber hoch, dass tatsächlich schwache Passwörter im Spiel waren, denn 95 Prozent aller Cyberangriffe werden durch menschliche Fehler ermöglicht.

Besser mit Passwörtern umgehen

Administratoren sollten also einen genauen Blick auf den Umgang mit Passwörtern werfen, um Risiken auszuschließen. Im ersten Teil  unserer dreiteiligen Serie unter dem Titel  „Active Directory Passwörter richtig auditieren“ haben wir geschildert, welche Compliance-Vorgaben Unternehmen in Bezug auf Passwörter erfüllen müssen. Relevant sind dabei vor allem die 2018 eingeführte Datenschutzgrundverordnung (EU-DSGVO) Artikel 32 sowie das IT-Sicherheitsgesetz (ITSiG). Es hat schon mehrere schwerwiegende Sicherheitsvorfälle gegeben, die auf schwache Passwörter zurückzuführen sind. Mit einem Audit können sich Sicherheitsverantwortliche einen Überblick verschaffen, wie es in ihrem Unternehmen mit der Passwortsicherheit aussieht. Ein geeignetes Werkzeug dafür, dass sich in der Praxis bewährt hat, ist der kostenlos zur Verfügung stehende Specops Password Auditor.

Übersichtliches Dashboard mit passwortrelevanten Schwachstellen in Specops Password Auditor (Bildquelle: Specops)

Von der Übersicht zum Handeln

Ein Audit ist ein wichtiger erster Schritt. Aber es ist sinnvoll, danach den zweiten Schritt anzugehen, also aktives Handeln. Darauf wollen wir in diesem Artikel näher eingehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Hinweise zum richtigen Umgang mit Passwörtern  und weist darauf hin, wie wichtig starke Passwörter sind. Ähnlich sind die Ratschläge des amerikanischen National Institute of Standards and Technology (NIST), die erst kürzlich aktualisiert wurden und noch über die des BSI hinausgehen. Konkret rät das NIST dazu:

  • Setzen Sie die maximale Passwortlänge auf mindestens 64 Zeichen fest.
  • Überspringen Sie Regeln für die Zeichenzusammensetzung, da sie eine unnötige Belastung für die Endnutzer darstellen.
  • Erlauben Sie die Funktion des Kopierens und Einfügens in Passwortfeldern, um die Verwendung von Passwortmanagern zu erleichtern.
  • Erlauben Sie die Verwendung aller druckbaren ASCII-Zeichen sowie aller UNICODE-Zeichen (einschließlich Emojis).

Passwortrichtlinien formulieren und durchsetzen

Um diese sinnvollen Maßnahmen in Ihrem Unternehmen entsprechend umzusetzen, sollten Sie Passwortrichtlinien planen und diese in Absprache mit Betriebsrat und Unternehmensführung umsetzen. Wichtig ist auf jeden Fall der Dialog mit allen Angestellten. Jeder Einzelne sollte wissen, dass schwache Passwörter gefährlich sind und wie wichtig es ist, mit starken Passwörtern sich selbst, die Kollegen und die gesamte Firma zu schützen. Um dieses Ziel zu erreichen, haben sich Schulungen mit spielerischen Elementen (Gamification) bewährt, die die Teilnehmer nicht überfordern und Langeweile vermeiden.

Active Directory (AD) ist standardmäßig mit einer Default Domain Password Policy konfiguriert. Diese Password Policy legt die Kennwortanforderungen für Active Directory-Benutzerkonten fest, z. B. die Länge des Kennworts, das Alter und so weiter.

Zu den Best Practices einer Password Policy zählt es, die branchenspezifischen und regulatorischen Compliance-Richtlinien zu berücksichtigen, die für das jeweilige Unternehmen zutreffen.

Fein abgestimmte Passwortrichtlinien mit Specops Password Policy

Specops Password Policy erlaubt es Administratoren, die aktualisierten Empfehlungen der Sicherheitsbehörden wie BSI oder NIST sowie die jeweiligen Branchenregularien an Passwortsicherheit einfach und schnell umzusetzen und damit fein abgestimmte Passwortrichtlinien einzurichten, die genau zu den individuellen Bedürfnissen eines Unternehmens passt. Specops Password Policy bietet Vorlagen, die den jeweiligen Compliance-Anforderungen entsprechen, und ein Berichtstool, das sicherstellt, dass die jeweiligen Standards eingehalten oder sogar übertroffen werden.

Starke Passwörter mit Hilfe von Passphrasen werden mit Specops Password Policy ermöglicht (Bildquelle: Specops)

Für jede Kennwortrichtlinie können Sie einen genauen Überblick darüber erhalten, wie die Einstellungen im Vergleich zu verschiedenen oben genannten Industriestandards aussehen.

Administratoren können problemlos die Funktionalität von Gruppenrichtlinien einrichten und die Umsetzung der fein abgestimmten Passwortrichtlinien vereinfachen sowie starke Passwörter mithilfe von Passphrasen durchzusetzen. Specops Password Policy erlaubt es, starke Passwörter durchzusetzen und gleichzeitig kompromittierte Kennwörter zu blockieren.

Zu den Funktionen der Specops Password Policy zählen personalisierte Listen, Listen mit kompromittierten Passwörtern und Passwort Hash Wörterbücher. Die Breached Password Protection List ist eine Datenbank mit mehr als 2,4 Milliarden kompromittierten Passwörtern, die sich aus aktuellen und vergangenen Datenleaks zusammensetzt. Sie hilft dabei, kompromittierte Passwörter in einer Windows AD Umgebung zu finden und zu entfernen.

Dynamisches Feedback für den Endnutzer, ob das gewählte Passwort den Richtlinien entspricht. (Bildquelle: Specops)

Specops Password Policy erlaubt das Blockieren von Benutzernamen, Anzeigenamen, bestimmten Wörtern, aufeinanderfolgenden Zeichen und inkrementellen Passwörtern und unterstützt Passphrasen, d. h. Kennwörter, die lang, aber dafür weniger komplex sind, zu erstellen, an die Sie sich dann auch leicht erinnern können. Darüber hinaus werden bekannte Muster wie Ziffern am Anfang und am Ende von Passwörtern verhindert.

Wenn Sie sich für Specops Password Policy interessieren, laden Sie sich hier eine kostenlose Demo-Version herunter oder vereinbaren Sie einen kostenfreien Beratungstermin.

Jakob Jung

Recent Posts

Durchgesickerte Daten: Twitch dementiert Verlust von Passwörtern

Die Angreifer haben offenbar keinen Zugriff auf die Systeme zur Speicherung von Anmeldedaten. Laut Twitch…

10 Stunden ago

Botnet MyKings nimmt mit Kryptomining fast 25 Millionen Dollar ein

Avast findet die Malware seit Anfang 2020 auf 144.000 Computern. MyKings nutzt die Rechenleistung von…

11 Stunden ago

So wehren Formel-1-Teams Cyberangriffe ab

Die Formel 1 ist ein hochkarätiger Hightech-Sport, der die Aufmerksamkeit von Cyber-Kriminellen und Hackern auf…

16 Stunden ago

Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Das US-Finanzministerium meldet, dass 5,2 Milliarden Dollar an Bitcoin-Transaktionen (BTC) im Zusammenhang mit den 10…

17 Stunden ago

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

5 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

5 Tagen ago