In Zeiten zunehmender Angriffe von Cyberkriminellen stellen kompromittierte Passwörter eines der größten Sicherheitsrisiken dar. Viele Anwender vertrauen auf vermeintlich sichere, leicht zu merkende Kennwörter mit Sonderzeichen und Ziffern wie „!passwort#2024“. Doch Brute-Force-Angreifer nutzen geschickt Muster bei der Kennworterstellung aus, um in Firmennetzwerke einzudringen. Erfahren Sie mehr darüber, wie sich Unternehmen mit bestimmten Maßnahmen dagegen schützen können.
„The bitter taste of Pizza123“ – zu Deutsch „der bittere Geschmack von Pizza123“ – beschreibt einen Vorfall, der Ende 2022 die US-amerikanische Business-Publikation FastCompany erschütterte. Das simple Kennwort „Pizza123“ war für ein Dutzend WordPress-Konten des Unternehmens verwendet worden und verschaffte den Cyberkriminellen Zugang zu sensiblen Mitarbeiterdaten, API-Keys für Apple News und Tokens für den Amazon Simple Email Service (SES). Infolgedessen wurden Abonnenten von FastCompany mit vulgären Push-Meldungen über Apple News sowie fragwürdigen E-Mail-Nachrichten geflutet. Zu allem Überdruss veröffentlichten die Hacker ihre Vorgehensweise auf der Website von FastCompany, was die Betreiber zu einem temporären Shutdown zwang.
Wenn sicher geglaubte Kennwörter alles andere als sicher sind
Solche Fälle zeigen auf, wie leicht es professionellen Angreifern gemacht wird, in Firmennetzwerke einzubrechen, Daten zu entwenden, das Unternehmensimage zu schädigen und Ransomware-Attacken zu starten. Laut Verizon erfolgte 2023 bei 86 % der Cyberangriffe der Erstzugang über kompromittierte Zugangsdaten und auch 2024 lässt sich der Großteil der Cyberangriffe auf kompromittierte Zugangsdaten zurückzuführen.
Ein Passwort wie „Pizza!24#“, erfüllt zwar aufgrund der Integration von Groß- und Kleinschreibung, Sonderzeichen und Ziffern die meisten gängigen Kennwortrichtlinien, doch dieses Sicherheitsversprechen ist trügerisch. Denn Cyberkriminellen sind solche typischen Muster bei der Passworterstellung (Beginn mit einem Großbuchstaben, dann ein komplettes Wort und zum Abschluss Sonderzeichen und Zahlen wie 123 und !§#-@, die bequem und schnell mit den Fingern erreichbar sind) geläufig und werden entsprechend in deren Brute-Forcing-Algorithmen eingebaut. Abgesehen davon ist das Passwort „Pizza!24#“ durch die Nennung an dieser Stelle jetzt auch kompromittiert.
Die wenigsten User erstellen starke, aber nur schwer zu merkende Passwörter wie „X13!cuo*#98zabFGIK0=4“. Und wenn doch, dann werden diese aufgeschrieben und damit anfällig für andere Arten des fahrlässigen Umgangs mit Passwörtern wie ein Post-IT am Bildschirm oder im Klartext auf einer Liste. Oftmals werden solch komplexe Passwörter bei Änderungen nur iterativ angepasst – zum Beispiel durch eine kleine Änderung der letzten Ziffer. Das lässt das Sicherheitspotenzial sukzessive sinken und führt zu einem schwer zu bewältigenden Balanceakt zwischen Passwortsicherheit und Benutzerfreundlichkeit.
- Wie lange dauert es, einen bcrypt-Hash zu erraten?
- So geben Sie Initialpasswörter im Onboarding-Prozess sicher weiter
- Stärken Sie jetzt die Passwortsicherheit in Ihrem Active Directory mit Specops Password Policy
- Active Directory geschützt? So decken Sie kompromittierte Kennwörter in Ihrer Angriffsfläche auf
- Über diesen Beitrag
Länger ist besser: Passwortrichtlinien gegen Brute-Force-Angriffe
Ein erster, sehr einfach umzusetzender Lösungsvorschlag besteht in längeren aber dafür simpleren Kennwörtern, die als Passphrasen bezeichnet werden. Allein durch ihre Länge weisen sie bereits eine hohe Entropie gegen gängige Brute-Force-Attacken auf. Folgendes Beispiel zeigt, wie stark lange Passphrasen gegen Brute-Force-Attacken sind:
Ein bezahlbares Setup für einen aufstrebenden Cyberkriminellen zum Knacken von Passwörtern besteht aus einem Rechner mit vier Grafikkarten des Typs nVidia RTX 4090, auf dem ein Brute-Forcing-Tool wie Hashcat läuft. Ein entsprechend schwaches Passwort mit acht Zeichen, das lediglich aus Groß- und Kleinbuchstaben besteht und in MD5 gehasht ist, wird von einer solchen Maschine in maximal zwei Minuten ermittelt. Selbst ein vermeintlich starkes Kennwort – bestehend aus einer Mischung aus acht Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen – wird von leistungsstarker Hardware (164 Milliarden Hashes x 4 pro Sekunde in Hashcat), die von Privatpersonen gekauft werden kann, in nur drei Stunden geknackt.
Erhöht man nun die Länge des Passworts von 8 auf 20 Zeichen, würde dieselbe Hardware rund 2 Billiarden Jahre bei simpler Groß- und Kleinschreibung oder gar 176 Trillionen Jahre bei Zahlen, Groß- und Kleinschreibung plus Sonderzeichen benötigen. Selbst ein rein aus Zahlen bestehendes, aber 22-stelliges Passwort würde 490 Jahre benötigen, um geknackt zu werden.
Lange Passphrasen bilden ein zuverlässiges Bollwerk gegen Brute-Force-Attacken (Quelle: Specops Best Practice Guide).
Daraus lässt sich die Tatsache ableiten, dass die Passphrase „Kühlschrank-Elefant-Telefon“ viel sicherer ist als das vermeintlich starke Kennwort „84_fHg#l“. Zwar zählt MD5 zu den einfacher zu erratenden Hashes im Vergleich zu Alternativen wie bcrypt, findet aber dennoch bei der Verschlüsselung der Passwörter vieler Online-Plattformen Anwendung.
Kennwörter im Active Directory sicher und komfortabel verwalten
Die Förderung von langen Passphrasen allein ist allerdings noch kein Sicherheitsgarant,denn Anwender neigen dazu, ihre Phrasen aus Zusammenhängen wie „Franz Beckenbauer – Weltmeister – Nationalmannschaft“ zu konstruieren. Auch die Kompromittierung durch Malware oder durch Social-Engineering- sowie Man-in-the-Middle-Attacken lässt sich dadurch nicht zuverlässig verhindern. So hat eine Untersuchung von Specops ergeben, dass 31,1 Millionen der kompromittierten Passwörter eine Länge von mehr als 16 Zeichen aufgewiesen haben. Deshalb müssen auch lange Passphrasen regelmäßig mit zuverlässigen Passwortfiltern geprüft werden, die aktuelle und umfangreiche Blocklisten enthalten.
Um die Mitarbeiter zu Passphrasen zu animieren und diese dann regelmäßig gegen umfangreiche Datenbanken mit kompromittierten Passwörtern zu prüfen, empfiehlt sich eine Lösung wie Specops Password Policy. Diese Lösung erweitert in einer Active Directory-Umgebung die Fähigkeit eines Domänen-Controllers, Anforderungen an Passwortsicherheit nach dem aktuellen Stand der Technik durchzusetzen. Durch Nutzung von Gruppenrichtlinien zur Konfiguration wird die einfache Verwaltung von individuellen Password Policies innerhalb einer Domäne ermöglicht.
So können Administratoren in den Grundeinstellungen festlegen, dass die Nutzer für den Gebrauch besonders langer Passphrasen mit einer Verlängerung der Gültigkeit belohnt werden.
Darüber hinaus erhöht Specops Password Policy die Sicherheit in Unternehmensnetzwerken durch eine Vielzahl weiterer Features:
- Kontinuierliches Scannen nach mehr als vier Milliarden kompromittierten Passwörtern in Ihrer Windows-Active-Directory-Umgebung – in Echtzeit und mit Zugriff auf tagesaktuelle Datenbanken und unter anderem auf Passwörter, die mittels Infostealer Malware kompromittiert wurden
- Blockieren vorgegebener Benutzernamen, Anzeigenamen, bestimmten Wörtern, aufeinanderfolgenden Zeichen, inkrementelle Passwörter sowie individuelle Blocklisten
- Dynamisches Echtzeit-Feedback bei Passwortänderung mit dem Specops Authentication Client
- Informative und leicht nachvollziehbare Client-Nachrichten, wenn Benutzer die Vorgaben der Passwort-Richtlinie nicht einhalten
Specops Password Policy vereinfacht die umsetzung regulatorischer Passwortempfehlungen und -vorgaben von Sicherheitsorganisationen wie BSI, NIST, CJIS, NCSC, ANSSI, CNIL, HITRUST, PCI nach dem aktuellsten Stand der Technik und ermöglicht Ihnen, Passwörter wieder zu einem vertrauenswürdigeren Authentifizierungsfaktor zu machen.
kommentar field