Neue Passwort-Richtlinien von Microsoft: Das Ende zeitlich begrenzter Passwör...

Nachdem sich schon geraume Zeit etliche IT-Sicherheitsexperten gegen ablaufende Passwörter ausgesprochen haben, hat auch Microsoft im Mai 2019 seine diesbezüglichen Empfehlungen geändert und die Gründe hierfür in einem Blog-Beitrag erläutert. Das Grundproblem kennt jeder IT-Sicherheitsverantwortliche: Der durchschnittliche Nutzer wählt ein Passwort, dass leicht zu tippen und damit für einen Computer leicht zu erraten ist. Wenn man ihn nun zwingt, sein Passwort alle paar Monate zu wechseln, ändert das nichts an der Tatsache, dass sein (neues) Passwort ebenfalls leicht zu erraten ist. Moderne Computer können ein achtstelliges alphanumerisches Passwort innerhalb weniger Stunden per Brute Force knacken. Soll man also den Empfehlungen von Microsoft folgen und seine Richtlinien zum Ablauf von Passwörtern entfernen?

Kennwort-Ablaufrichtlinien sind nur ein Baustein in der Cybersicherheitswand. Aber, um im Bild zu bleiben, sollte man keinen Stein entfernen, es sei denn, man kann ihn durch einen anderen Baustein ersetzen, also durch andere Maßnahmen kompensieren. Warum sollte man also auf die zeitliche Begrenzung verzichten? Microsoft beantwortet dies mit einen ganzen Abschnitt in seinem Blog-Post, aber der springende Punkt ihres Arguments ist, dass der Ablauf des Passworts eine Sicherheitsmaßnahme mit eher geringer Wirkung ist – und verzichten deshalb auf eine weitere Empfehlung. Wichtig in diesem Zusammenhang ist, dass Microsoft nicht empfiehlt, dass man Richtlinien zum Ablauf von Passwörtern jetzt deaktivieren sollte, sondern viel mehr, dass man mehr als so eine Richtlinie in seiner Strategie benötigt.

Sollte ich meine Richtlinie zum Ablauf von Passwörtern streichen?

Die meisten Unternehmen sollten ihre aktuelle Richtlinie zum Ablauf des Passworts vorerst beibehalten. Stellen wir uns eine einfache Frage: Was passiert, wenn das Passwort eines Benutzers gestohlen wird? Die Ablauf-Richtlinien helfen dabei, indem sie das Zeitfenster für Angreifer verkürzen. Je schneller ein Passwort abläuft, desto weniger Zeit bleibt dem Angreifer, die Systeme zu kompromittieren und Daten zu exfiltrieren (wenn der Angreifer keinen anderen Zugangspunkt eingerichtet hat). Dies ist das – durchaus stichhaltige – Hauptargument für eine zeitliche Begrenzung. Dagegen spricht jedoch, dass der Zwang zum Passwortwechsel in der Realität zu einer schlechten Cybersecurity-Hygiene führt, also wiederverwendete, nur leicht abgewandelte Passwörter (Sommer19, Herbst19, Winter19) oder den berühmten Post-its am Monitor.

Microsoft ist (wie viele andere auch) zu dem Schluss gekommen, dass das aus schlechten Passwortpraktiken resultierende Risiko größer ist als das durch Passwort-Verfallsrichtlinien reduzierte Risiko. Dies ist durchaus nachvollziehbar, aber Unternehmen sollten – wie eingangs erwähnt – den Wegfall der Verfallsrichtlinie kompensieren. Und grundlegenden bewährten Handlungsweisen folgen:

  • Passphrasen: Die Durchsetzung langer (16 Zeichen oder mehr) und komplexer Passwörter erschwert das Knacken mittels Brute-Force, während alte achtstellige Standard-Passwörter für moderne Computer keine große Hürde sind.
  • Privilegienmodell auf Basis der minimalen Rechtevergabe: Wenn ein Passwort abhandenkommt oder geknackt wird, ist es immerhin gut zu wissen, dass der Angreifer nur Zugriff auf ein Minimum an Daten hat.
  • Überwachung des Nutzerverhaltens: IT-Verantwortliche sollten erkennen können, wann ein Konto aufgrund von Abweichungen bei der normalen Anmelde- und Datenzugriffsaktivität gefährdet wurde. Statische Analysen allein reichen hier nicht aus.
  • Multi-Faktor-Authentifizierung: Selbst wenn ein Angreifer den Benutzernamen und das Passwort hat, stellt die mehrstufige Authentifizierung eine große Hürde für den durchschnittlichen Hacker dar.

Die eigentliche Frage lautet letztlich: Sterben Passwörter aus? Es gibt einige Technologien, die sich anschicken, Passwörter als De-facto-Authentifizierungsprotokoll zu ersetzen. So speichert FIDO2 Identitätsdaten auf einem physikalischen Gerät, auch die Biometrie ist trotz etwaiger Bedenken eine Option. Das neue Paradigma scheinen Authentifizierungsmethoden zu sein, die nicht versehentlich geteilt oder leicht gestohlen werden können. Allerdings sind diese Technologien noch nicht flächendeckend in den Unternehmen angekommen. Bis dies geschieht, sollten Unternehmen ihre Richtlinien zum Ablauf von Passwörtern beibehalten, denn im Zweifel kann es auf jeden einzelnen Baustein in der Abwehr ankommen.

Autor: Klaus Nemelka, Technical Evangelist bei Varonis Systems

Foto: Pixabay