Durch die kürzliche Senkung des maximalen Kennwortalters von Microsoft wurde die Debatte rund um erzwungene Kennwortänderungen erneut angefeuert. Hier ist der Grund, warum Sie Ihre Kennwörter auch weiterhin ablaufen lassen sollten. [...]
Microsofts Entscheidung vom 24. April, die Standardeinstellung „Maximales Kennwortalter“ (erzwungener Ablauf) von Microsoft Windows zu entfernen, hat seither zahlreiche Diskussionen ausgelöst. Das standardmäßige (und empfohlene) maximale Kennwortalter betrug je nach Betriebssystemversion 45 bis 60 Tage. Das Entfernen der Standardeinstellung für das erzwungene Ablaufen von Passwörtern folgt der jüngsten Empfehlung des amerikanischen Nationalen Instituts für Standards und Technologie (NIST), eine Kennwortänderung erst dann erforderlich zu machen, wenn Sie wissen, dass ein Kennwort manipuliert wurde.
Microsoft geht davon aus, dass Passwörter normalerweise durch andere Mittel als durch Erraten bzw. Hacken kompromittiert werden. Diese Wahrscheinlichkeit zu minimieren ist das Ziel der obligatorischen Ablaufzeiten. Doch schlimmer: Wenn Benutzer gezwungen werden, ihre Kennwörter noch häufiger zu ändern, werden sie möglicherweise dazu verleitet, dieselben Kennwörter oder Muster auf mehreren Websites immer wieder zu verwenden. Die meisten Passwörter werden durch Phishing-Angriffe gestohlen, und eine erzwungene Passwortänderung wird dies nicht verhindern.
Sollten Sie die Richtlinien von NIST und Microsoft befolgen und das erzwungene Ablaufen von Kennwörtern vollständig beseitigen? Das glaube ich nicht. Hier ist der Grund.
Konformität erfordert weiterhin das Ablaufen des Kennworts
So gut wie alle Unternehmen unterliegen gewissen Cybersicherheitsverordnungen oder Gesetzen (PCI-DSS, HIPAA, SOX, NERC). All diese Vorschriften erfordern automatische, häufige Passwortänderungen. Viel Glück also, wenn Sie an die neuen Passwortempfehlungen von NIST glauben, denn vermutlich bleiben Sie in den alten Empfehlungen gefangen, bis sich die Vorschriften endgültig ändern.
Sie wissen selten, wann ein Kennwort wirklich gefährdet ist
Mein größtes Problem mit der Empfehlung „Ändere dein Passwort nur, wenn du weißt, dass es kompromittiert ist“ ist, dass die meisten Leute gar nicht wissen, ob ihr Passwort kompromittiert wurde oder nicht. Gemäß jedem von mir gelesenen „Verweilzeit“-Datenpunkt hat der durchschnittliche Hacker in der Regel viele Monate lang uneingeschränkten Zugriff auf das Netzwerk und seine Kennwörter, bevor er entdeckt wird.
Hunderte Millionen von Passwörtern, die schon vor einigen Jahren kompromittiert wurden, werden auch jetzt noch häufig im Darknet oder auf einer Pastebin-Website gefunden. Viele dieser Passwörter sind immer noch gültig, da viele Benutzer ihre Passwörter eben nicht regelmäßig ändern. Diese Tatsache allein sollte als Werbung für obligatorische Passwortänderungen angesehen werden.
Indem die Benutzer dazu gezwungen werden, ihre Kennwörter regelmäßig zu ändern, wird die Wahrscheinlichkeit minimiert, dass ein kompromittierter Kennwortangriff oder -speicherauszug erfolgt. Dies ist der Hauptgrund dafür, dass das Kennwort automatisch ablaufen sollte.
Die Wahrscheinlichkeit, Passwörter wiederzuverwenden, wird vermutlich nicht erhöht
Erneut wird angenommen, dass erzwungene Kennwortänderungen die Wahrscheinlichkeit erhöhen, dass Benutzer Kennwörter oder Muster für mehrere Websites und Dienste wiederverwenden. Ich habe keine Daten von NIST gesehen, aus denen hervorgeht, dass dies tatsächlich der Fall ist. Die Daten sind möglicherweise vorhanden, aber ich kann sie nach Jahren des Versuchs nicht finden.
Wenn eine Person regelmäßig dazu aufgefordert wird, ihr Kennwort auf einer Webseite zu ändern, wird sie nur selten gleichzeitig auch jedes andere Kennwort auf jeder anderen Webseite ändern. Was normalerweise passiert, ist, dass der Benutzer das ein Passwort ändert und nichts mit den anderen Webseiten macht. Dies gilt insbesondere für Unternehmensnetzwerke. Wenn ein Unternehmen häufigere Kennwortänderungen erfordert als die meisten anderen Websites, ist praktisch sichergestellt, dass es über ein einzigartiges Kennwort verfügt oder über ein Kennwort, das auf weniger Websites gleichzeitig verwendet wird. Das Verzichten auf Kennwortänderungen erleichtert und erschwert das Teilen von Kennwörtern zwischen Websites.
NIST vermutet sogar, dass komplexere Passwörter die Wahrscheinlichkeit erhöhen, dass Benutzer sie auf mehreren Websites wiederverwenden. Auch hier habe ich keine Daten gesehen, die dies unterstützen, und ich bin mir nicht sicher, ob dies überhaupt möglich ist. Wenn Sie standardmäßig lange oder komplexe Passwörter verwenden möchten, werden Sie feststellen, dass das, was als langes und komplexes Passwort gilt, von Website zu Website variiert. Einige Websites akzeptieren Längen von acht bis zwölf Zeichen. Andere akzeptieren keine Zeichen außer Buchstaben. Einige Websites akzeptieren nur Zahlen und Buchstaben. Viel Glück, wenn Sie Ihr langes und komplexes Kennwort gleich auf mehreren Websites wiederverwenden möchten.
Das Erraten und Knacken von Passwörtern geschieht immer noch
Auch wenn das Erraten bzw. Knacken von Passwörtern nicht mehr so beliebt ist wie früher, geschieht es dennoch – und führt immer noch jedes Jahr zu unzähligen kompromittierten Kennwörtern. Viele Malware-Programme können Passwörter von Personen und Unternehmen erraten. Diese Bots raten jeden Tag jede Sekunde gegen Windows Remote Desktop Protocol (RDP), Putty, VNC, SSH und andere Online-Anmeldeportalen an. Jedes von ihnen kann mit langen oder komplexen Passwörtern im Kern erstickt werden, aber Fakt ist, die betroffenen Nutzer haben es eben nicht getan. Regelmäßige Kennwortänderungen zu forcieren führt dazu, dass der Hacker weniger Zeit hat, das Klartext-Kennwort zu ermitteln, ganz unabhängig von der Länge oder der Komplexität des Kennworts.
Was schadet es, das Risiko auszugleichen, solange Passwörter noch erraten oder geknackt werden? Sie wollen meine Meinung ändern? Zeigen Sie mir Daten, die beweisen, dass das erzwungene Ändern von Passwörtern ein weitaus größeres Risiko darstellt.
Ihr Passwort kann per E-Mail gestohlen werden
Ich könnte in einer E-Mail einen Link einbetten, der Ihren Browser dazu anweist, mir Ihren Windows-Kennwort-Hash zu senden, wenn ich Sie dazu verleiten kann, darauf zu klicken. Es gibt Möglichkeiten, dies zu verhindern, aber die meisten Unternehmen implementieren nicht die richtigen Abwehrmaßnahmen, insbesondere wenn mobile Benutzer ihr Netzwerk regelmäßig verlassen.
Dabei wird mir kein Klartext-Passwort gesendet. Es sendet stattdessen den Windows NTLM Challenge Response Handshake, aus dem viele Hacking-Tools Ihren Passwort-Hash extrahieren können. Ihr Passwort-Hash kann bei anderen Arten von Angriffen wiederholt genutzt oder so Ihr Klartext-Passwort geknackt werden.
Kennwort-Hashes mit acht Zeichen sind unabhängig von ihrer Komplexität ein Kinderspiel. Ich habe viele Demonstrationen mit 12-stelligen Passwort-Hashes und sogar mit 16-stelligen Passwörtern gesehen. Keines von ihnen war super komplex, aber sie sahen aus wie eine Darstellung des durchschnittlichen Passworts, das ich in den meisten Umgebungen schon gesehen habe. Solange ich Sie dazu verleiten kann, auf diesen eingebetteten Link zu klicken, und so Ihren Passwort-Hash erhalte, ist es ein erhöhtes Risiko, Passwörter nicht regelmäßig zu ändern.
Wie oft sollten Sie Ihr Passwort ändern?
Microsoft hat nie offiziell empfohlen, dass Sie Ihr Kennwort niemals ablaufen lassen sollten. Sie überließen diese Entscheidung dem Administrator. Das macht einen subtilen Unterschied.
Wenn Sie eine Vorschrift einhalten müssen, die ein automatisiertes Ablaufen des Kennworts erfordert, ist dies ein strittiger Punkt. Sie müssen sich an diese Verordnung halten. Wenn Sie auswählen können, welches maximale Kennwortalter für Ihr Unternehmen am besten geeignet ist, hängt dies von der Risikoakzeptanz des Unternehmens selbst ab. Ich halte einen erzwungenen Wechsel alle 30 bis 45 Tage für verrückt. In dieser kurzen Zeit ist das Risiko der Passwort-Wiederverwendung einfach zu hoch. Das durchschnittliche Unternehmen ändert sein Kennwort wahrscheinlich alle 90 Tage, und für mich (ohne die richtigen Daten zu kennen), ist dies für Unternehmen angemessen, die sich ein wesentlich geringeres Risiko als die meisten anderen Unternehmen wünschen.
Das erzwungene Ablaufen des Kennworts zu beseitigen erhöht das Risiko der Passwort-Kompromittierung – solange, bis mir jemand anhand von echten Daten das Gegenteil beweisen kann.
*Roger A. Grimes ist Kolumnist bei CSO.com
Be the first to comment