Microsoft gibt Tipps für sichere Passwörter
Trotz zahlreicher Aufklärungskampagnen in den vergangenen Jahren verwenden Nutzer immer noch massenhaft einfach zu erratende Passwörter. Da auch Microsoft immer mehr passwortgeschützte Dienste anbietet, ist ihm das ein Dorn im Auge.
Microsofts Umbau vom Softwareanbieter zum Diensteanbieter mit diversen Cloud-Angeboten, Apps und Online-Services bringt es auch mit sich, dass Nutzer sich zunehmend nicht mehr nur am heimischen PC anmelden, sondern bei diversen Webseiten und Diensten des Konzerns. Dadurch wiederum bekommt das Unternehmen umfassenden Einblick in die Passwortgewohnheiten der Nutzer, aber auch in die Strategien, mit denen Kriminelle Passworte zu erraten versuchen: Laut Microsoft wird pro Tag durchschnittlich 10 Millionen Mal versucht, eine Kombination aus Nutzernamen und Passwort bei einem seiner Diente zu knacken.
Für Firmen bietet Microsoft zur internen Verwaltung von Nutzern und Zugangsberechtigungen schon seit vielen Jahren mit dem Active Directory eine aufgrund der vielfältigen Nutzungsmöglichkeiten zwar etwas gewöhnungsbedürftige, aber letztlich dann doch recht umfassend nutzbare Möglichkeit an. Der nächste Schritt auf diesem Weg ist das Azure Active Directory, mit dem sich auch der Zugriff auf diverse Cloud- und Online-Dienste regeln und verwalten lässt.
Mit dem Azure Active Directory lassen sich auch vergleichsweise einfach sichere Passwörter durchsetzen. Der IT-Administrator kann hier entsprechende Vorgaben machen. Das geht sogar so weit, das sich Nutzer nur einmal, an ihrem Rechner, anmelden müssen und über Azure Active Directory dann die Anmeldung an den diversen Diensten erfolgt, ohne dass der Nutzer das Passwort dafür überhaupt kennen muss.
Bis es aber soweit ist, dass die Mehrheit der Firmen dieses oder vergleichbare Angebote nutzt, muss auch Microsoft dafür Sorge tragen, dass schwache oder mehrfach verwendete Passwörter nicht zum Einfallstor für Unbefugte werden. Als einfachste Maßnahme empfiehlt Robyn Hicock vom Microsoft Identity Protection Team in einem aktuellen Whitepaper mit dem Titel “Microsoft Password Guidance” (PDF), allzu verbreitete und einfach zu erratende Passwörter wie abcdefg oder password auf eine Blacklist zu setzen. Microsoft selbst tue das schon seit einiger Zeit und habe damit sehr gute Erfahrungen gemacht.
Mythos 1: Lange Passwörter
Andere, weit verbreitete Praktiken, Nutzer zu sichereren Passworten zu zwingen, sieht er dagegen vor dem Hintergrund der bei Microsoft-Diensten gemachten Erfahrungen eher kritisch. So habe eine Microsoft-Untersuchung etwa gezeigt, dass der Zwang zu langen Passwörtern (also solchen mit mehr als zehn Zeichen), diese nicht automatisch sicherer macht, da Nutzer, um sie sich überhaupt noch merken zu können, Kombinationen wie fourfourfourfour oder passwordpassword wählen. Außerdem habe man beobachtet, dass Nutzer, sofern lange Passwörter gefordert werden, solche wählen, die knapp über dem geforderten Minimum liegen, was es wiederum Angreifern erleichtere da sie mit einer bestimmten Zeichenzahl operieren können.
Passworte, die einer Brute-Force-Attacke tatsächlich standhalten können, falls einem Angreifer eine Liste mit gehashten Nutzerinformationen in die Hände fällt, müssten 18 bis 20 Zeichen lang sein. Diese Länge wiederum führe zwangsläufig zu den oben beschriebenen Ausweichstrategien der Nutzer und damit letztlich nicht zu dem gewünschten Plus an Sicherheit.
Mythos 2: Sonderzeichen
Auch die verbreitete Anforderung, Klein- und Großschreibung sowie Sonderzeichen zu verwenden, führt einer Untersuchung von Microsoft zufolge (PDF) nicht zum gewünschten Erfolg. Grund sind auch hier die vorhersehbaren Verhaltensmuster der Nutzer.
Beispielsweise sei es sehr wahrscheinlich, dass der Großbuchstabe am Anfang steht, das geforderte Symbol am Ende und eine Ziffer an vorletzter Stelle. Außerdem habe es sich eingebürgert, für bestimmte Buchstaben bestimmte Sonderzeichnen als Ersatz zu wählen, etwa $ für S oder @ für A und 1 anstatt L.
Mythos 3: Passwörter regelmäßig ändern
Ebenfalls in vielen Firmen Praxis ist es, eine regelmäßige Änderung des Passworts zu verlangen. Aber auch das sieht Hicock in seinem Whitepaper aufgrund der Erfahrungen von Microsoft als kritisch an. Grund ist wieder die Bequemlichkeit der Nutzer.
So würden in solchen Fällen in der Regel, “nah verwandet Begriffe und Zahlen” verwendet, so dass inzwischen auch US-Behörden von dieser Praxis abraten. Anwender wählten dann nämlich etwa statt dem ausgelaufenen Passwort “Super$icher1” etwa “Super$icher2“. Das wiederum mache es Angreifern möglich aus alten Passwörtern, die ihnen möglicherweise in die Hände fallen, problemlos aktuelle Passwörter abzuleiten.
Tipps für sichere Passwörter
Im Rahmen seines Whitepapers gibt Hicock aber Nutzern sowie Firmen auch Tipps, was sie tun könne, um die Passwortsicherheit effektiv zu erhöhen. Als einfachste Maßnahme nennt er das Verbot, der am häufigsten verwendeten Passwörter. Listen damit werden regelmäßig von diversen Institutionen erstellt.
Eine Liste der im englischen Sprachraum “schlechtesten Passwörter 2015” gibt es zum Beispiel von Splash Data. Für Deutschland und Europa veröffentlicht GMX seit 2009 einmal pro Jahr umfangreiche Zahlen zu Passwortgewohnheiten, zuletzt im Mai 2015. Demnach verwenden 44 Prozent der Befragten in ausgewählten europäischen Ländern als Passwörter normalerweise Geburtstage, Haustiernamen oder einfache Tastenfolgen wie “123456” und “qwertz” – also “schlechte Passwörter”. Deutschland liegt mit 43 Prozent knapp unter dem Durchschnitt, in Frankreich generieren sogar 54 Prozent Passwörter mit persönlichen Informationen oder einfachen Zeichenfolgen.
Als zweite wichtige Maßnahme empfiehlt Hicok, Nutzer darüber aufzuklären, dass sie ein Passwort jeweils nur für einen Dienst nutzen. Er verweist dabei auf eine Untersuchung gestohlener Passwörter, von denen fast die Hälfte zumindest bei zwei Diensten verwendet wurde. Daher sei es quasi Alltagsgeschäft der Kriminellen, einmal erbeutete Kombinationen aus Passwort und Nutzernamen auch bei anderen, gängigen Diensten auszuprobieren. Alleine bei Microsoft-Diensten sei das pro Tag bis zu zwölf Millionen Mal der Fall.
Als weitere, bei vielen diensten inzwischen aber schon verbreitete Maßnahme rät Hicok zu Multi-Faktor-Authentifizierung, also ein zweite E-Mail-Adresse, Telefonnummer oder ein registriertes Gerät, dem Push-Benachrichtigungen zugestellt werden können. Microsoft selber gehe noch einen Schritt weiter und nutze risikobasierende Multi-Faktor-Authentifizierung. Das bedeutet, dass bei verdächtigen Aktivitäten Nutzer aufgefordert werden, sich erneut zu legitimieren. Bei Microsoft gehört zu solchen „verdächtigen Aktivitäten“ etwa auch der Anmeldeversuch von IP-Adressen, die sich bekanntermaßen im Besitz von Kriminellen befinden oder Anmeldeversuche von zwei weit auseinanderliegenden Standorten in einem Zeitraum, der es dem Nutzer nicht erlauben würde, tatsächlich von einem Ort zum anderen zu reisen.