Tipps eines Pentesters zum Thema Passwortmanagement
Die 5 goldenen Regeln für einen sicheren Umgang mit Passwörtern
Die 5 goldenen Regeln für einen sicheren Umgang mit Passwörtern
Über 80 Prozent der Daten-Breaches werden durch unsichere Passwörter verursacht.
Vor kurzem habe ich versucht mich bei einer Website anzumelden, die ich schon lange nicht mehr verwendet habe. Leider wusste ich das Passwort nicht mehr, deshalb habe ich die „Passwort vergessen“ Funktion verwendet. In der E-Mail, die ich daraufhin bekommen habe, war kein Link zum Zurücksetzen des Passworts, sondern mein altes Passwort. Im Klartext. Passwörter sollen nie in einer unverschlüsselten E-Mail gesendet werden. Zudem sollte die Seite mein Passwort gar nicht im Klartext haben, sondern nur in gehashter Form.
Dieser Vorfall hat mich motiviert hier ein paar Grundsätze für richtiges Passwortmanagement zu schreiben.
Der „Data Breach Investigations Report 2020“ von Verizon zeigt, dass in über 80 Prozent der Breaches, die durch Hacking verursacht wurden, gestohlene oder erratene Passwörter verwendet wurden.
| 1. Starke Passwörter verwenden |
|---|
|
Das ist der wohl bekannteste Grundsatz, wenn es um Passwörter geht. Wichtig ist, dass lange Passwörter verwendet werden. Ein Passwort, das zwar komplex ist, aber kurz, bietet nicht genügend Sicherheit. Sicherheitsstandards wie der OWASP ASVS schreiben vor, dass ein Passwort mindestens 12 Zeichen lang sein sollte. Um für ausreichend Komplexität zu sorgen, kann ein Mix aus Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen verwendet werden. Des Weiteren soll man keine Passwörter verwenden, die häufig verwendet werden (z.B. Passwort1!), da diese durch eine Dictionary-Attack (ein Angriff bei dem ein „Wörterbuch“ an möglichen Passwörtern verwendet wird) erraten werden können. Am besten, man verwendet eine Passphrase, wie z.B. MeinAutoHat120PS. (inklusive des Punkts). Zusätzlich soll für jede Anwendung ein eigenes Passwort verwendet werden. Da man da schnell den Überblick verlieren kann, empfiehlt es sich einen Passwort-Manager zu verwenden. |
| 2. Passwörter nicht als Klartext speichern |
|---|
| Um Passwörter bei jedem Login Vorgang auf ihre Richtigkeit überprüfen zu können, müssen sie irgendwo gespeichert sein. Wichtig hierbei ist, dass Passwörter nie als Klartext gespeichert werden dürfen. Passwörter müssen durch eine Einweg Verschlüsselungsfunktion (Hash) unkenntlich gemacht werden. Der Vorteil einer Hash Funktion ist, dass man sie nicht rückgängig machen kann. Es ist also keine Verschlüsselung, die man wieder entschlüsseln kann, sondern funktioniert nur in eine Richtung. Um für zusätzliche Sicherheit zu sorgen, werden die Hashes „gesalzen“, also mit einem zusätzlichen, zufälligen Wert versehen. Dadurch können Brute-Force-Angriffe verhindert werden. |
| 3. Multifaktor-Authentifizierung |
|---|
| Multifaktor-Authentifizierung (MFA, auch 2-Faktor Authentifizierung, 2FA) bedeutet, dass zum Anmelden mindestens zwei verschiedene Faktoren benötigt werden. Es gibt Wissensfaktoren (z.B. Passwort, PIN, usw.), Besitzfaktoren (z.B. Smartphone, Token, etc.) und Biometrie Faktoren (z.B. Fingerabdruck, Gesichtserkennung, etc.). MFA erhöht die Sicherheit enorm. Für Angreifer ist es beinahe unmöglich, MFA zu brechen. Selbst wenn Zugangsdaten gestohlen oder geleakt wurden, können sie nicht verwendet werden, da der zweite Faktor immer noch Schutz bietet. |
| 4. User Experience beachten |
|---|
| Sicherheit und Usability werden oft als Gegensätze gesehen. Das muss und soll aber nicht so sein. Verschiedenste Sicherheitsmaßnahmen, die in der Vergangenheit als notwendig gegolten haben, führten aufgrund von fehlender Usability zu noch größeren Schwachstellen. Ein gutes Beispiel dafür ist das häufige Ändern des Passworts. Früher ging man davon aus, dass dadurch ein gestohlenes Passwort zumindest nicht lange gültig ist. Das häufige Ändern führt aber dazu, dass Passwörter mit bestimmtem Muster angelegt werden (z.B. wird häufig die Monatszahl am Ende des Passworts angehängt). Hat ein Angreifer ein Passwort, ist es ein leichtes, das nächste zu erraten. Zudem führt das häufige Ändern dazu, dass Benutzer sich Passwörter aufschreiben. Heutzutage ist die Empfehlung, das Passwort nicht zu häufig zu ändern. Einmal pro Jahr ist ausreichend. Zusätzlich muss ein Passwort immer geändert werden, wenn Verdacht besteht, dass es gestohlen wurde. Hierzu können Dienste hilfreich sein, die Datenleaks nach E-Mail-Adressen durchsuchen (wie zum Beispiel haveibeenpwned.com). |
| 5. Benachrichtigungen |
|---|
| Bei jeder „auffälligen“ Tätigkeit soll der Benutzer benachrichtigt werden. Wird z.B. ein Passwort geändert oder zurückgesetzt, soll der Benutzer entsprechend darüber informiert werden. Wurden vermehrt Login Fehlversuche registriert, soll der Benutzer informiert werden. Ist ein Login aus einem anderen Land erfolgt, soll der Benutzer informiert werden. Dadurch gibt man dem Benutzer die Möglichkeit, bei Auffälligkeiten einzugreifen, und z.B. sein Passwort zu wechseln. |
Weitere Maßnahmen, die die User Experience und Sicherheit verbessern sind:
Abschließend gilt zu sagen:
Befolgt man diese Grundregeln, ist man schon auf einem guten Weg für mehr Passwortsicherheit.
Für weitere bzw. genauere Richtlinien gibt es Standards wie z.B. den OWASP ASVS.
Wir helfen gerne beim Umsetzen und Testen davon!
Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre IT-Schwachstellen identifizieren und Sie Ihren Schutz vor Angreifern gezielt verstärken, wenden Sie sich bitte an unsere versierten Sicherheitsexperten. Wir stehen Ihnen jederzeit für Fragen zur Verfügung.