Eine solide Passwortpolitik ist oft die erste Verteidigungslinie gegen Cyberangriffe, doch viele Unternehmen folgen weiterhin veralteten Richtlinien, die sie einem erheblichen Risiko aussetzen.
Laut dem 2020 Data Breach Investigations Report von Verizon sind verlorene oder gestohlene Zugangsdaten nach wie vor die wichtigste Hacking-Taktik, die von böswilligen Akteuren für Datenschutzverletzungen eingesetzt wird. 35 % aller Datenschutzverletzungen sind auf kompromittierte oder schwache Passwörter zurückzuführen.
Die Sicherheit von Passwörtern war noch nie so wichtig wie heute, vor allem, weil ein großer Teil der Belegschaft weiterhin von zu Hause aus arbeitet. Die Bedrohungslage hat sich vergrößert. Deshalb ist es wichtig, dass Unternehmen ihre Passwortrichtlinien aktualisieren, um ihre Mitarbeiter darin zu schulen, wie sie sichere Passwörter erstellen und eine solide Verteidigung gegen Cyber-Bedrohungen bieten können.
Frühere Anleitungen zur Sicherheit von Passwörtern konzentrierten sich auf Einzigartigkeit, Komplexität, Mindestlänge des Passworts und regelmäßiges Ändern des Passworts; die neuesten Ratschläge sind jedoch davon abgerückt, da viele dieser Passwortpraktiken Benutzer dazu veranlassen könnten, schwächere statt stärkere Passwörter zu erstellen.
Das National Institute of Standards and Technology (NIST) hat sich mit der Veröffentlichung der NIST Special Publication 800-63B (Digital Identity Guidelines - Authentication and Lifecycle Management) mit der Bedeutung von Passwortrichtlinien befasst. Die Veröffentlichung enthält aktuelle Ratschläge für Organisationen, wie sie den Authentifizierungsprozess verbessern und das Risiko einer Sicherheitsverletzung verringern können.
Microsoft und das National Cyber Security Centre (NCSC) haben ebenfalls ihre Richtlinien für Passwörter aktualisiert, um Unternehmen bei der Einführung von Passwortrichtlinien zu unterstützen, die gegen die sich entwickelnden Bedrohungen schützen und die natürliche Arbeitsweise der Menschen unterstützen können.
Um sicherzustellen, dass Ihre Kennwortrichtlinie effektiv ist und den von NIST, Microsoft und NCSC empfohlenen Standards entspricht, haben wir die neuesten Richtlinien in Form von umsetzbaren Ratschlägen zusammengestellt, die Ihr Unternehmen zur Verbesserung der Kennwortsicherheit nutzen kann.
Best Practices für Kennwortrichtlinien
Erhöhen Sie die Länge von Passwörtern und reduzieren Sie den Fokus auf die Komplexität von Passwörtern.
In der Vergangenheit haben sich die Ratschläge zur Passwortsicherheit stark auf die Erstellung komplexer Passwörter konzentriert, was jedoch häufig dazu führt, dass bestehende Passwörter mit geringfügigen Änderungen wiederverwendet werden. Laut dem National Cyber Security Council: "Die Anforderungen an die Komplexität stellen eine zusätzliche Belastung für die Benutzer dar, von denen viele vorhersehbare Muster verwenden (z. B. das Ersetzen des Buchstabens "o" durch eine Null oder die Verwendung von Sonderzeichen), um die geforderten "Komplexitäts"-Kriterien zu erfüllen.
Die Angreifer sind mit diesen Strategien vertraut und nutzen dieses Wissen, um ihre Angriffe zu optimieren. Die Länge des Passworts ist oft ein viel wichtigerer Faktor, da ein längeres Passwort statistisch gesehen schwieriger zu knacken ist. NIST und Microsoft empfehlen eine Mindestlänge von 8 Zeichen für ein vom Benutzer erstelltes Passwort. Um die Sicherheit für sensiblere Konten zu erhöhen, empfiehlt NIST, dass Unternehmen die maximale Passwortlänge auf 64 Zeichen festlegen. Dies ermöglicht die Verwendung von Passphrasen. Eine Passphrase ist ein Passwort, das aus einem Satz oder einer Kombination von Wörtern besteht. Es hilft den Benutzern, sich längere Passwörter zu merken, und erschwert es Hackern, sie mit roher Gewalt zu erraten.
Passwörter gegen schwarze Listen prüfen
Die Wiederverwendung von Passwörtern ist ein weit verbreitetes Problem. Laut einer Google/Harris-Umfrage verwenden 52 % der Menschen dasselbe Passwort für mehrere Konten. Dieses riskante Verhalten hat zu einem enormen Anstieg von Angriffen auf Zugangsdaten geführt, da Hacker versuchen, aus den Milliarden von kompromittierten Zugangsdaten, die im Dark Web zum Kauf angeboten werden, Kapital zu schlagen. Mit diesen gestohlenen Zugangsdaten können Hacker versuchen, mit demselben kompromittierten Passwort auf weitere Benutzerkonten zuzugreifen.
Um diese Bedrohung zu bekämpfen, empfiehlt das NIST, dass Unternehmen eine Software verwenden, die Passwörter anhand einer schwarzen Liste überprüft, die Wörter aus dem Wörterbuch, sich wiederholende oder aufeinanderfolgende Zeichenfolgen, bei früheren Sicherheitsverletzungen gestohlene Passwörter , häufig verwendete Passphrasen oder andere Wörter und Muster enthält, die von Hackern erraten werden könnten. Dieses Prüfverfahren hilft den Nutzern, die Auswahl von Passwörtern zu vermeiden, die ein Sicherheitsrisiko darstellen, und zeigt an, wenn ein zuvor sicheres Passwort in Zukunft aufgedeckt wird.
Regelmäßiges Zurücksetzen von Passwörtern entfällt
Viele Unternehmen verlangen von ihren Mitarbeitern, dass sie ihre Passwörter in regelmäßigen Abständen ändern, oft alle 30, 60 oder 90 Tage. Jüngste Studien haben jedoch gezeigt, dass dieser Ansatz für die Passwortsicherheit oft kontraproduktiv ist und die Sicherheit sogar verschlechtern kann. In der Regel haben die Benutzer mehrere Passwörter, die sie sich merken müssen. Wenn sie also gezwungen sind, ihre Passwörter regelmäßig zu ändern, greifen sie auf vorhersehbare Verhaltensmuster zurück, wie z. B. die Wahl eines neuen Passworts, das nur eine geringfügige Variation des alten ist.
Sie können es aktualisieren, indem sie ein einzelnes Zeichen ändern oder ein Symbol hinzufügen, das wie ein Buchstabe aussieht (z. B. ! statt I). Wenn ein Angreifer das bestehende Kennwort des Benutzers bereits kennt, wird es nicht allzu schwer sein, die aktualisierte Version zu knacken. Das NIST empfiehlt, diese Anforderung zu entfernen, um die Kennwortsicherheit benutzerfreundlicher zu gestalten, und Microsoft rät dazu: "Wenn ein Kennwort nie gestohlen wird, ist es nicht nötig, es ablaufen zu lassen. Und wenn Sie Beweise dafür haben, dass ein Kennwort gestohlen wurde, würden Sie vermutlich sofort handeln, anstatt auf das Ablaufdatum zu warten, um das Problem zu beheben.
Kopieren und Einfügen von Passwörtern zulassen
Das NIST hat seine frühere Anleitung überarbeitet und empfiehlt nun die Verwendung von "Kopieren und Einfügen" bei der Eingabe eines Passworts. Dies trägt dazu bei, die Verwendung von Passwortmanagern zu fördern, was zweifellos die Sicherheit erhöht, da die Benutzer längere Passwörter erstellen können, die schwieriger zu knacken sind.
Passwortversuche begrenzen
Bei einem Brute-Force-Angriff versuchen Hacker, in ein Konto einzudringen, indem sie sich systematisch anmelden und alle möglichen Kombinationen von Buchstaben, Zahlen und Symbolen ausprobieren, bis sie die richtige Passwortkombination gefunden haben. Eine der besten Möglichkeiten, sich gegen diese Art von Angriffen zu schützen, besteht darin, die Anzahl der Passwortversuche zu begrenzen, die eine einzelne IP-Adresse innerhalb eines bestimmten Zeitrahmens unternehmen kann.
Verwenden Sie keine Passwort-Hinweise
Passwort-Hinweise werden häufig von Organisationen verwendet, um ihren Benutzern zu helfen, sich komplexe Passwörter zu merken. Dabei kann es sich um eine einfache Aufforderung handeln, oder der Benutzer muss eine persönliche Frage beantworten, z. B. "In welcher Stadt wurden Sie geboren?" oder "Wie lautet der Name Ihrer ersten Schule?". Die Antworten auf viele dieser Fragen können von einem entschlossenen Angreifer leicht in den sozialen Medien gefunden werden. Dies untergräbt die Sicherheit, weshalb das NIST den Unternehmen empfohlen hat, diese Praxis aufzugeben, da sie das Risiko eines Einbruchs erhöhen könnte.
Verwenden Sie die Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung (MFA) ist eine der effektivsten Möglichkeiten, ein passwortgeschütztes Konto zusätzlich zu schützen. Nach Angaben von Microsoft ist die Wahrscheinlichkeit, dass Konten kompromittiert werden, um 99,9 % geringer, wenn MFA aktiviert ist. Eine kürzlich durchgeführte GetApp-Umfrage ergab jedoch, dass nur 55 % der Befragten die Zwei-Faktor-Authentifizierung standardmäßig für ihre geschäftlichen und privaten Konten verwenden, wenn sie verfügbar ist.
Es gibt drei Arten der Authentifizierung, die verwendet werden können:
- Etwas, das Sie wissen: Ein Passwort, eine PIN, eine Postleitzahl oder die Antwort auf eine Frage (z. B. der Mädchenname der Mutter).
- Etwas, das Sie haben: Ein Token, ein Telefon, eine Kreditkarte, eine SIM-Karte oder ein physischer Sicherheitsschlüssel.
- Etwas, das Sie sind: Biometrische Daten wie Fingerabdruck, Stimme oder Gesichtserkennung.
Einige dieser Überprüfungsmethoden sind zweifellos sicherer als andere, aber im Wesentlichen bedeutet dies, dass selbst wenn jemand ein Passwort stiehlt oder errät, er ohne einen weiteren Authentifizierungsfaktor nicht auf das Konto zugreifen kann.
Schulung der Mitarbeiter in Bezug auf bewährte Verfahren für Passwörter
Es gibt viele widersprüchliche Ratschläge darüber, was ein sicheres Passwort ausmacht. Daher ist es wichtig, dass Ihre Mitarbeiter die besten Praktiken verstehen und genau wissen, was Ihre Passwortrichtlinie von ihnen verlangt. Schulungen zum Sicherheitsbewusstsein sollten die Mitarbeiter in folgenden Bereichen schulen:
- Die Risiken der Wiederverwendung der gleichen Passwörter für private und berufliche Konten
- Wie man starke und sichere Passwörter erstellt
- So aktivieren Sie MFA
- Verwendung eines automatischen Passwort-Managers zur sicheren Speicherung von Passwörtern
