Diesen Monat sind wir in Schritt 6 unserer Top Ten Controls angekommen. Heute geht es um Fine-Grained Password Policies. Wer jetzt denkt:
MOMENT, das BSI empfiehlt doch gar nicht mehr sein Passwort regelmäßig zu ändern….
dem sei gesagt, dass wir genau auf diesen Umstand weiter unten eingehen. ACHTUNG Spoiler, wir empfehlen weiterhin einen regelmäßigen Passwortwechsel.
So aber nun zurück zum Inhalt. Hier unsere Infografik zu dem Thema:

Wozu sind Fine-Grained Password Policies gut?

Mit Fine-Grained Password Policies kann man unterschiedlichen Gruppen von Benutzern unterschiedliche Passwort Policies zuweisen.

Klingt simpel, ist es auch. Allerdings wurde diese Möglichkeit erst mit Windows Server 2008 eingeführt. Wie Opa Harrie in unserer Infografik mahnt, gab es davor nur die Möglichkeit, eine einzige Richtline für die ganze Domäne in der Default Domain Policy zu konfigurieren.

Warum will man unterschiedliche Passwort Policies für verschiedene Nutzergruppen?

Wenn man nur auf den Aspekt Sicherheit schaut, sollten natürlich alle Passwörter sehr lang und komplex sein. In der wirklichen Welt ist aber auch der Aspekt der Usability zu beachten. Ist es für einen normalen Nutzer zumutbar, jedes Mal, nachdem er sich einen Kaffee geholt hat und seinen Rechner entsperrt (wir sperren doch alle unseren Rechner, oder?), ein dreißigstelliges Passwort einzugeben? Eher nicht.

Deshalb sollte für jede Nutzergruppe eine Balance zwischen Sicherheit und Nutzbarkeit gefunden werden. Und genau hier kommen die Fine-Grained Password Policies zum Einsatz.

Besonders wenn man ein Tiering-Modell eingeführt hat (für nähere Informationen schaut euch den Blog vom letzten Monat an), kann man sehr leicht anhand der Tier-Klassifizierung die verschiedenen Nutzergruppen identifizieren.

Aus unserer Sicht sollte man zwischen folgenden Gruppen unterscheiden:

• „normale“ Endbenutzer
• Admin Accounts (Tier2)
• Admin Accounts (Tier1)
• Admin Accounts (Tier0)
• Service Accounts

Wie werden Fine-Grained Password Policies konfiguriert?

Fine-Grained Password Policies werden entweder im Active Directory Administrative Center oder per Powershell konfiguriert.

Quelle:https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/

Man kann dabei die gleichen Einstellungen, mit Ausnahme der Kerberos Einstellungen, wie bei der Default Domain Policy konfigurieren. Zusätzlich gibt es noch den Wert „Precedence“. Dieser wird verwendet, wenn mehrere Policies mit einer Nutzergruppe verlinkt sind, um zu entscheiden, welche Policy angewandt wird.

Quelle: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements–level-100-

Wichtig ist hierbei, dass die Default Domain Policy mit einem langen Passwort konfiguriert wird, falls doch mal ein User angelegt und nicht zu einer der Policy Gruppen hinzugefügt wird. Da kein Benutzer Lust auf ein 30stelliges Passwort hat, wird er sich umgehend an den Help Desk wenden und die korrekte Zuweisung kann durchgeführt werden.

Passwörter? Passwörter sind doch so Zweitausendsiebzehn

Im Ernst, sind Passwörter und / oder das regelmäßige Wechseln davon noch zeitgemäß?

Mit viel Beachtung in der Presse (1,2,3) hat das BSI in seinem Grundschutzkatalog 2020 die Passage, die besagt, dass Passwörter regelmäßig zu wechseln sind, aus dem Katalog entfernt. Heißt das, dass jeder sein bisheriges Passwort für immer nutzen kann?

Aus unserer Sicht muss diese Frage differenzierter betrachtet werden. Da in den meisten Artikeln in der Presse nicht die kompletten Empfehlungen, sondern nur Ausschnitte zitiert wurden, hier zunächst die kompletten Passagen. Zunächst die Version vom Jahr 2019:

„ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, Leiter IT]

Die Institution MUSS den Passwortgebrauch verbindlich regeln. Dabei MUSS festgelegt werden, dass nur Passwörter mit ausreichender Länge und Komplexität verwendet werden. Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden. Die Passwörter MÜSSEN sofort gewechselt, sobald sie unautorisierten Personen bekannt geworden sind oder der Verdacht darauf besteht. Passwörter MÜSSEN geheim gehalten werden. Standardpasswörter MÜSSEN durch ausreichend starke Passwörter ersetzt und vordefinierte Logins geändert werden. Es SOLLTE überprüft werden, dass die mögliche Passwortlänge auch im vollen Umfang von dem IT-System geprüft wird. Bei erfolglosen Anmeldeversuchen SOLLTE das System keinen Hinweis darauf geben, ob Passwort oder Benutzerkennung falsch sind.“

https://www.hannover.ihk.de/fileadmin/data/Dokumente/Themen/Sicherheit/IT_Grundschutz_Kompendium_Edition2019.pdf

Version aus dem Jahr 2020:

„ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, IT-Betrieb] (B)

Die Institution MUSS den Passwortgebrauch verbindlich regeln (siehe auch ORP.4.A22 Regelung zur Passwortqualität und ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme). Dabei MUSS geprüft werden, ob Passwörter als alleiniges Authentisierungsverfahren eingesetzt werden sollen, oder ob andere Authentisierungsmerkmale bzw. -verfahren zusätzlich zu oder anstelle von Passwörtern verwendet werden können.

Passwörter DÜRFEN NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden. Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden. Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR dem Benutzer persönlich bekannt sein. Passwörter DÜRFEN NUR unbeobachtet eingegeben werden. Passwörter DÜRFEN NICHT auf programmierbaren Funktionstasten von Tastaturen oder Mäusen gespeichert werden. Ein Passwort DARF NUR für eine Hinterlegung für einen Notfall schriftlich fixiert werden. Es MUSS dann sicher aufbewahrt werden. Die Nutzung eines Passwort-Managers SOLLTE geprüft werden. Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.“

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/ORP/ORP_4_Identit%C3%A4ts-_und_Berechtigungsmanagement.html Stand 25.01.2021

Warum zitieren wir das hier alles? Weil aus unserer Sicht der Wegfall des Satzes „Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden“ zuviel Aufmerksamkeit bekommen hat ohne die anderen Änderungen zu beachten.

Passwordless und Multi-Faktor

Zunächst postuliert das BSI, dass „Dabei MUSS geprüft werden, ob Passwörter als alleiniges Authentisierungsverfahren eingesetzt werden sollen, oder ob andere Authentisierungsmerkmale bzw. -verfahren zusätzlich zu oder anstelle von Passwörtern verwendet werden können.“

Im Klartext heißt das, man soll passwortlose Authentifizierungsverfahren oder Multi-Faktor Authentifizierung (MFA) nutzen. Sicherlich gibt es heute schon Technologien zur passwortlosen Authentifizierung, in der Praxis ist es aber leider so, dass nicht jede Applikation im Unternehmen diese unterstützt. Besser sieht es mit MFA aus, aber auch das ist nicht garantiert. Auch ist nicht jedes MFA Verfahren gleich sicher.

Länge und Komplexität

Wenn man genau liest, stellt man fest, dass auch der Satz „Dabei MUSS festgelegt werden, dass nur Passwörter mit ausreichender Länge und Komplexität verwendet werden.“ ebenfalls weggefallen ist. Heißt das jetzt, dass einstellige Passwörter vollkommen ausreichen? Eher nicht.

Missbrauchserkennung

Weiterhin empfiehlt das BSI, dass „Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht“. Jede Organisation muss sich hier also erstmal die Frage stellen, ob sie in der Lage ist, überhaupt zu erkennen, ob das Passwort unautorisierten Personen bekannt geworden ist.

Außer bei super offensichtlichen Sachen wie einem Ransomware Angriff ist das in der Praxis eine ziemlich schwierige Sache. Man muss dazu Logs korrelieren und das Anmeldeverhalten der User überwachen. Glücklicherweise gibt es heute Services wie Defender for Identity, welcher genau das tut. Allerdings will nicht jede Organisation ihre AD logs an Azure schicken oder die entsprechenden Lizenzen für jeden User bezahlen (z.B. EMS E5).

Passwort Fazit

Deshalb lautet unser Statement zum Passwortwechsel: Bis man als Organisation in der Lage ist zu entdecken, ob ein Passwort von unautorisierten Personen genutzt wird und / oder man flächendeckend Multi-Faktor Authentifizierung eingeführt hat, sollten die Passwörter regelmäßig gewechselt werden.

Wenn man nun doch Passwörter nutzt und diese regelmäßig wechselt, dann sind Fine-Grained Password Policies ein tolles Mittel, um eine Balance zwischen Sicherheit und Nutzbarkeit zu finden.

Natürlich sollte man auch bei der Nutzung von Fine-Grained Password Policies das Thema Aufklärung und Schulung der Anwender und Administratoren nicht zu kurz kommen lassen.

Fazit Fazit 😉

Auch wenn uns die Presse etwas anderes weismachen will, werden uns Passwörter vermutlich noch eine Weile begleiten. Fine-Grained Password Policies helfen, die Balance zwischen Sicherheit und Nutzbarkeit für die verschiedenen Risikoklassen zu finden.