Vitalii Vodolazskyi/Shutterstock.com< /figure>
Obligatorische Passwortänderungen in regelmäßigen Abständen sind in vielen Unternehmen selbstverständlich. Diese uralte Praxis wird von Befürwortern als gute grundlegende Sicherheitsmaßnahme zur Minderung der Risiken des Passwortverlusts beibehalten. Aber ist es auch Jahrzehnte nach seinem ersten Erscheinen noch relevant?
Was löst der Passwortablauf?
Zunächst ist es wichtig zu verstehen, warum erzwungene Passwort-Abläufe populär geworden sind. Die meisten Unternehmen verlangen alle 30 oder 90 Tage eine Passwortänderung. Dies stammt aus dem historischen Hintergrund einfacherer Passwort-Hashes, die relativ schnell geknackt werden konnten. Als ein Angreifer in ein paar Monaten ein Passwort knacken konnte, schlugen Sicherheitsexperten vor, dass Änderungen innerhalb dieses Zeitrahmens dazu beitragen würden, die Benutzer zu schützen.
RELATEDDas Problem mit Passwörtern sind die Menschen
Das heutige Bedrohungsmodell sieht ganz anders aus. Passwörter, die mit modernen Hashing-Mechanismen verschlüsselt wurden, können Milliarden von Jahren brauchen, um erfolgreich zu knackenHeutzutage sammeln Kriminelle Passwörter auf eine Weise, die sich auf Sie, den Benutzer, konzentriert und nicht auf den Dienst, der sie speichert. Phishing- und Social-Engineering-Angriffe sind die größten Risiken sowie koordinierte Wörterbuchangriffe mit Listen bekannter Passwörter. Diese Listen stammen aus früheren Datenschutzverletzungen.
Die Änderungen in der Bedrohungslandschaft bedeuten, dass das Ablaufen von Passwörtern nicht mehr das Problem löst, für das sie gedacht waren. Kompromisse passieren in Sekunden. Wenn Sie Ihr Passwort ändern, sind die Angreifer wahrscheinlich längst verschwunden.
Die Probleme mit dem Ablauf von Passwörtern
Erzwungene Kennwortänderungen sind eine häufige Frustration bei Benutzern. Sie neigen möglicherweise dazu, eine Abfolge kurzer Passwörter zu wählen, die sich leicht einprägen lassen. Einige Benutzer notieren sich jedes Passwort, wodurch es möglicherweise kompromittiert wird – ob in einer Textdatei oder als Desktop-Post-it.
Werbung
Untersuchungen der University of North Carolina haben ergeben, dass ein Angreifer mit Zugriff auf frühere Passwörter in 41 % der Fälle das aktuelle Passwort des Benutzers in weniger als 3 Sekunden ermitteln kann. Dies ist ein überzeugender Beweis dafür, dass viele Benutzer in den vorgeschriebenen Intervallen nur geringfügige Änderungen an ihren Passwörtern vornehmen.
Das Ablaufen von Passwörtern soll den Zugriff eines Angreifers auf ein kompromittiertes System zeitlich begrenzen. In der veränderten Landschaft von heute kann ein Eindringling bereits einen dauerhaften Zugriff haben, wenn er die Passwortliste stiehlt. Durch die Installation eines Keyloggers oder einer ähnlichen Malware werden alle Vorteile des Passwortablaufs sofort umgangen.
Schließlich haben reale Pen-Tester erklärt, dass sie nicht durch eine Richtlinie zum Ablauf von Passwörtern belastet sind. Richtlinien verteidigen oft Bedrohungen, die sie nicht eindämmen können. Heutzutage sollten regelmäßige Passwortänderungen als Versuch angesehen werden, die Benutzer zu ermutigen, die Sicherheit zu wahren. In der Praxis ist es auch dafür schlecht geeignet, da es eine Unannehmlichkeit darstellt, die Benutzer zu vermeiden versuchen.
VERWANDTE: So schützen Sie Ihr Unternehmen Gegen Passwort-Wörterbuch-Angriffe
Die Flut wendet sich gegen die Änderung Ihres Passworts
Diese Faktoren zusammen haben mehrere bekannte Organisationen dazu veranlasst, sich gegen Passwörter zu wehren in den letzten Jahren die Politik ändern. Vom britischen National Cyber Security Center (NCSC) bis hin zur offiziellen Windows-Sicherheitsbasislinie von Microsoft ist die einst allgegenwärtige Praxis schnell in Ungnade gefallen.
In einem Blogbeitrag aus dem Jahr 2016 erklärte das NCSC, dass Verfallszeiten mit “Usability-Kosten” für Benutzer, die bereits fragwürdige Sicherheitsvorteile überwiegen:
Es ist eines dieser kontraintuitiven Sicherheitsszenarien; Je häufiger Benutzer gezwungen sind, Kennwörter zu ändern, desto größer ist die allgemeine Anfälligkeit für Angriffe. Was wie ein absolut vernünftiger, seit langem bewährter Ratschlag erschien, hält einer rigorosen Gesamtsystemanalyse nicht stand.
Werbung
Die Auswirkungen der Passwortmüdigkeit schwächen eher die allgemeine Sicherheitslage eines Unternehmens, da Benutzer weniger sichere Passwörter wählen und ihre Abwehr gegen anhaltende Bedrohungen fallen lassen. Angreifer werden nicht durch eine Richtlinie zum Ablaufen von Kennwörtern gestört – Informationen werden sofort gestohlen, normalerweise lange bevor eine geplante Passwortänderung die Auswirkungen abschwächen könnte.
Was stattdessen verwendet werden?
Systemadministratoren verfügen immer noch über mehrere Tools zum Schutz ihrer Organisationen. Von den verfügbaren Optionen kann Bildung einer der stärksten langfristigen Ansätze sein. Erklären Sie den Benutzern die Risiken von Passwörtern mit geringer Sicherheit, um sie zu ermutigen, sicherere Entscheidungen zu treffen.
RELATEDWarum Sie einen Passwort-Manager verwenden sollten und wie Sie beginnen sollten
Sie sollten auch einen mehrstufigen Authentifizierungsansatz verwenden. Das Hinzufügen einer Authentifizierungs-App zur Gleichung verhindert, dass Angreifer Passwörter verwenden, selbst wenn sie diese erfolgreich stehlen. Dies war zu Beginn der Einführung von Richtlinien zum Ablauf von Passwörtern nicht möglich.
Wenn Sie immer noch auf regelmäßige Passwortänderungen bestehen oder Ihre Branche gesetzliche Vorschriften vorschreibt, finden Sie Möglichkeiten, Ihren Nutzern zu helfen. Die Bereitstellung einer genehmigten Passwortverwaltungssoftware ermöglicht es den Benutzern, sichere Passwörter zu generieren und zu speichern, ohne auf einfache, auf Notizpapier gekritzelte Sätze zurückgreifen zu müssen.
Das Löschen von Passwörtern bedeutet nicht, alle Mechanismen zur Passwortkontrolle aufzugeben. Sie können immer noch eine Mindestlänge und -komplexität erzwingen, um Benutzer zu starken Entscheidungen zu führen. Darüber hinaus sollten Sie die Möglichkeit behalten, Passwörter ungültig zu machen, damit Sie Ihre Systeme im Falle eines Verstoßes schnell sperren können.
VERWANDTE: Passwörter nicht hinterlassen in Ihrem Code; Verwenden Sie stattdessen den Secrets Manager von AWS
Schlussfolgerung: Zeit, den Ablauf von Passwörtern zu stoppen
Früher war der Ablauf von Passwörtern einigermaßen effektiv, um die Cyberangriffe des gestrigen Webs zu stoppen. Jetzt machen sie mehr Ärger, als sie wert sind. Die fortgesetzte Durchsetzung regelmäßiger Passwortänderungen wird die Benutzer frustrieren, mehr IT-Helpdesk-Anfragen verursachen und vernachlässigbare – oder negativ – Auswirkungen auf Ihre Sicherheitslage.
Werbung
Ablaufrichtlinien waren hilfreich, wenn das Web kleiner und langsamer war. Das Internet und seine Bedrohungen haben sich in den letzten Jahrzehnten enorm weiterentwickelt. Es ist jetzt üblicher, dass Benutzer einem Angreifer ihr Passwort in einer Phishing-E-Mail oder bei einem betrügerischen Anruf mitteilen, als dass ein Passwort tatsächlich “gestohlen” durch einen Eindringling.
Bei Systemen, bei denen der dauerhafte Zugriff ein Risiko darstellt, bietet der einmalige Erwerb eines privilegierten Benutzerpassworts einem Angreifer normalerweise die Möglichkeit, eine Hintertür zu installieren oder ein eigenes Benutzerkonto einzurichten. Bei so vielen Faktoren, die dem Ablauf von Passwörtern als Sicherheitsminderung entgegenstehen, ist es jetzt wichtiger, sich auf die grundlegende Passworthygiene und den Gesamtüberblick der Cyberabwehr zu konzentrieren.
Die Abschaffung der Richtlinie zum Ablauf von Passwörtern sollte den Benutzern gefallen und tragen zu Ihrem Sicherheitsstatus bei. Wägen Sie die Sicherheitsvorteile Ihrer Passwortpraktiken gegen die Usability-Kosten ab, die dadurch entstehen, dass Benutzer ihre Anmeldeinformationen alle paar Monate neu lernen. Viele Compliance-Vorschriften wie PCI-DSS und HIPAA erfordern immer noch regelmäßige Passwortänderungen, aber in nicht regulierten Branchen sollten Sie jetzt zweimal überlegen, bevor Sie vorgeschriebene Ablaufzeiten verwenden.