Auswählen sicherer Kennwörter

Auf dieser Seite

	Einführung
	Vorbereitung
	Entwickeln einer Kennwortrichtlinie für die Organisation
	Verwandte Informationen

Einführung

Die meisten Benutzer melden sich heute noch mit Benutzernamen und Kennwörtern am Computer und an Remotecomputern an. Manche Produkte verwenden auch sicherere Technologien wie biometrische Verfahren, Smartcards oder einmalig eingegebene Kennwörter. Diese stehen für alle verbreiteten Betriebssysteme zur Verfügung. Trotzdem vertrauen die meisten Organisationen nach wie vor auf herkömmliche Kennwörter. Benutzer müssen sich die unterschiedlichen Anmeldeinformationen für Arbeitsplatz, Mobiltelefon, Bank oder ihrem Versicherungsunternehmen einzeln merken. Deshalb verwenden die Benutzer oft dasselbe oder ähnliche Kennwörter auf allen Systemen. Bei freier Wahl entscheiden sich die meisten für ein einfaches, leicht zu merkendes Kennwort, wie den Geburtstag, den Mädchennamen ihrer Mutter oder den Namen eines Verwandten. Kurze und einfache Kennwörter können von Angreifern relativ leicht entschlüsselt werden. Die gebräuchlichsten Methoden bei der Entschlüsselung sind:

Jede dieser Angriffsmethoden kann durch die Wahl geeigneter Kennwörter erheblich erschwert oder abgewehrt werden. Daher sollten Computerbenutzer, wann immer möglich, sichere Kennwörter für alle Computerkonten verwenden. Computer unter Windows Vista, Windows NT einschließlich Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003 unterstützen sichere Kennwörter. Unter Windows gilt ein Kennwort unter anderem dann als sicher, wenn es Zeichen aus mindestens drei der folgenden fünf Zeichenkategorien enthält.

Zeichenklassen

Hinweis: Leerzeichen gehören zu keiner dieser fünf Gruppen und tragen nicht zur Komplexität von Kennwörtern bei.

Die Kennwörter wichtiger Konten für Administratoren oder leitende Mitarbeiter und für Konten, unter denen zentrale Netzwerkdienste ausgeführt werden, sollten vier oder sogar alle fünf genannten Gruppen beinhalten. Auf der anderen Seite müssen Kennwörter auch leicht zu merken sein, um von den Benutzern verwendet zu werden. Der Verlust des Kontokennworts eines leitenden Mitarbeiters oder Administrators kann verheerend sein. In diesem Dokument wird beschrieben, wie Kennwörter in Windows-Betriebssystemen gespeichert werden und wie Administratoren die Sicherheit der Kennwörter maximieren können.

Die Sicherheitsanforderungen können mithilfe von "Kennsätzen" anstelle von Kennwörtern erfüllt werden. Jede Version von Windows, die sichere Kennwörter unterstützt, unterstützt auch die Verwendung von Leer- und Interpunktionszeichen in Kontokennwörtern. Zum Beispiel ist "Ich will wirklich 11 Hunde k@ufen!" ein gültiger Kennsatz. Mit mehr als 20 Zeichen ist er sehr lang und enthält Zeichen aus vier der fünf möglichen Gruppen. Darüber hinaus ist er leicht zu merken. Die meisten Programme zum Entschlüsseln von Kennwörtern gehen von einer maximalen Länge von 14 Zeichen aus., der Obergrenze für DOS-Netzwerkbootdisketten, Microsoft-Remoteinstallationsdienste (RIS - Remote Installation Services), PXE-Bootdisketten (Pre eXecutable Environment) und ältere LAN Manager-Clients (Win9x). Auch ohne Komplexität kann ein sehr langes Kennwort (mehr als 14 Zeichen, bis zu 128 Zeichen) der bestmögliche Schutz gegen die Entschlüsselung sein.

Hinweis: Verwenden Sie auf keinen Fall die in diesem Dokument aufgeführten Beispielkennwörter. Angreifer könnten das obige und andere Beispielkennwörter aus diesem Text ihren Angriffstools hinzufügen.

Die Verwendung eines kürzeren Kennworts mit komplexen Zeichen bietet einen guten Schutz, wenn Administratoren mit älteren Systemen oder mit RIS-Installationen arbeiten oder sie sehr lange Kennwörter als nicht benutzerfreundlich betrachten. Beachten Sie jedoch, dass ein längeres Kennwort schwieriger zu entschlüsseln ist. Die Kombination aus Komplexität und Länge erschwert deutlich die Entschlüsselung. Die Erstellung von Richtlinien für Kennwörter in Ihrem Unternehmen trägt dazu bei, Angreifer abzuwehren und dadurch das Unternehmen vor dem Verlust, der Offenlegung oder der Manipulation sensibler Informationen zu schützen.

In diesem Dokument wird beschrieben, wie Kennwörter in den Windows-Betriebssystemen gespeichert werden, wie Administratoren die Sicherheit von Kennwörtern maximieren können und wie Benutzer Kennwörter wählen, die den Komplexitätsanforderungen entsprechen und trotzdem leicht zu merken sind.

Zum Seitenanfang

Vorbereitung

Vor der Planung von Kennwortrichtlinien sollten Sie eine solide Kenntnis darüber haben, wie Kennworthashwerte erstellt und in Windows-Betriebssystemen gespeichert werden. Außerdem stellen wir Ihnen andere Konzepte der Kennwortkomplexität wie Entropie, Unicode-Zeichen und ALT-Zeichen vor.

Kennwortspeicherung unter Windows

Standardmäßig speichern Windows NT 4.0, Windows 2000, Windows Vista, Windows XP und Windows Server 2003 Benutzerkennwörter nicht als Klartext, sondern als "Hashwerte". Die erste Variante von Hashwerten -der LM-Hash (LAN Manager) - ist wesentlich unsicherer als der NTLM-Hash. Der Grund für die Speicherung beider Hashwerte ist die Abwärtskompatibilität mit älteren Anwendungen und Betriebssystemen.

Der LM-Hash (LAN Manager)

Der LM-Hash ist im technischen Sinn eigentlich kein Hashwert. Er wird wie folgt berechnet:

Durch den verwendeten Algorithmus ist dieser Hashwert sehr leicht zu entschlüsseln. Erstens kann auch ein Kennwort in zwei getrennten Teilen angegriffen werden, das länger als acht Zeichen ist. Und zweitens können alle Kleinbuchstaben ignoriert werden. Die meisten Programme zum Entschlüsseln von Kennwörtern entschlüsseln zuerst die LM-Hashwerte und ändern anschließend einfach die alphabetischen Zeichen im entschlüsselten Kennwort, um Kennwörter mit Beachtung der Groß- und Kleinschreibung zu erzeugen. Für das remote oder lokale Anmelden an einem Computer ist ab Windows 2000 ein Kennwort mit Einhaltung der Groß- und Kleinschreibung erforderlich.

Der NTLM-Hash

Der NTLM-Hash wird auch als Unicode-Hash bezeichnet, da er den vollständigen Unicode-Zeichensatz unterstützt. Der NTLM-Hash wird berechnet, indem aus dem Klartextkennwort ein MD4-Nachrichtenhash (MD4 - Message Digest 4) erzeugt wird. Der MD4-Hash ist der tatsächliche Wert, der entweder in der Active Directory-Datenbank oder in der lokalen Sicherheitskontenverwaltung (SAM - Security Accounts Manager) gespeichert wird. Der NTLM-Hash ist deutlich sicherer als der LM-Hash: Brute-Force-Angriffe auf den NTLM-Hash dauern um ein Vielfaches länger als auf den LM-Hash desselben Kennworts.

Entropie

Entropie ist ein Maß der Unordnung in einem System. Der Grad der Entropie in einem Kennwort wird dadurch bestimmt, wie zufällig es in Bezug auf den Wertebereich und die Reihenfolge der Zeichen zusammengesetzt ist. Bei der Wahl eines sicheren Kennworts sollte die Entropie innerhalb des Kennworts genau bedacht werden. Die meisten Programme für Brute-Force-Angriffe suchen zuerst die üblichen alphanumerische Zeichen und Symbole, wie zum Beispiel ` ~ ! @ # $ % ^ & * ( ) _ - + = . Ihr Kennwort wird sicherer, wenn Sie andere Symbole verwenden: [ ] { } < >. Noch sicherer sind ALT-Tastenkombinationen. Entsprechend der Errechnung des LM-Hashwertes hat ein Symbol nur wenig Auswirkung auf die Kennwortkomplexität, das als einzige Entropie an achter Stelle in einem acht Zeichen langen Kennwort gesetzt wird. Für maximale Entropie und Komplexität sollten nicht-alphanumerische Zeichen über das gesamte Kennwort verteilt sein.

Die Verwendung von Unicode-Zeichen in ALT-Tastenkombinationen

Für die meisten Benutzer sollte es kein Problem darstellen, Kennsätze zu finden, die einfach zu merken sind. Für besonders wichtige Konten, wie Konten mit Domänenadministratorrechten, sollten unbedingt Unicode-Zeichen mithilfe von ALT-Tastenkombinationen innerhalb der Kennwörter verwendet werden. Diese Zeichen sind nicht auf handelsüblichen Tastaturen vorhanden. Sie werden über gedrückte ALT-Taste (beziehungsweise Fn und ALT auf den meisten Laptop-Computern) und eine drei- oder vierstellige Nummer auf der Zehnertastatur eingegeben (Erweiterte Tastenbelegung auf Laptoptastaturen). Die Verwendung solcher Zeichen schützt Kennwörterdoppelt: Erstens sind die meisten Entschlüsselungsprogramme nicht in der Lage, den Großteil dieser Zeichen zu testen. Zweitens erhöht die Verwendung dieser Zeichen die mögliche Anzahl von Zeichen in Ihrem Kennwort um ein Vielfaches und steigert so die potenzielle Komplexität eines Kennworts. Bei ALT-Tastenkombinationen muss gegebenenfalls die vorangehende Null berücksichtigt werden, da sonst ein anderes Zeichen entsteht. Zum Beispiel ergibt ALT+128 ein "Ç", während ALT+0128 das "€" ergibt. Unten finden Sie die vierstelligen Codes, mit denen Sie den gesamten Unicode-Zeichensatz abrufen können. Dabei werden die dreistelligen Codes ignoriert, die nur den erweiterten ASCII-Zeichensatz beinhalten.

Die folgende Tabelle führt die numerischen Werte auf, die als ALT-Tastenkombination verwendet werden können. Die empfohlenen Werte liegen zwischen 0128 und 1024. Jedes Feld der folgenden Tabelle gibt entweder einen einzelnen Wert oder einen Wertebereich an. So zeigt zum Beispiel das erste Feld den Bereich "0128-0159". Das bedeutet, dass Sie jeden Wert zwischen 0128 und 0159 verwenden können, wie zum Beispiel ALT+0135, was dem Unicode-Zeichen "‡" entspricht.

Empfohlener ALT-Code für ALT-Tastenkombinationen

Nicht alle Unicode-Zeichen erhöhen die Kennwortkomplexität, da einige automatisch in ASCII-Zeichen konvertiert werden. Die Folge ist ein weniger sicheres Kennwort. Die folgende Tabelle führt diese Zeichencodes und ihre entsprechenden ASCII-Zeichen auf, die nicht in einem Kennwort verwendet werden sollten.

ALT-Codes, der nicht für ALT-Tastenkombinationen verwendet werden sollte

Kennwortalter und erneute Verwendung

Benutzer sollten ihre Kennwörter regelmäßig ändern. Auch wenn lange und sichere Kennwörter sich wesentlich schwerer entschlüsseln lassen, ist es dennoch nicht unmöglich. Mit ausreichend Zeit und Rechnerleistung können Angreifer letztendlich jedes Kennwort entschlüsseln. Deshalb sollten Kennwörter spätestens nach 42 Tagen geändert und alte Kennwörter nicht weiter verwendet werden.

Zum Seitenanfang

Entwickeln einer Kennwortrichtlinie für die Organisation

Folgendes Vorgehen für zu einer Erhöhung der Sicherheit durch die Erstellung und Veröffentlichung von Kennwortrichtlinien:

Feststellen der vorhandenen Betriebssysteme

Um Probleme bei der Anmeldung von Benutzern an Computern Ihrer Organisation durch ungeeignete Richtlinien zu vermeiden, müssen Sie die verwendeten Betriebssysteme kennen. Die Anzahl der installierten Betriebssysteme ist nicht von entscheidender Bedeutung. Sie benötigen auch keine genaue Aufstellung aller Systeme Ihres Netzwerks. Sie müssen lediglich wissen, ob ältere Systeme wie Windows 95, Windows 98 oder Windows Millennium Edition vorhanden sind.

Mögliche Einschränkungen durch Betriebssysteme

Computer unter Windows NT 4.0, Windows 2000, Windows XP, Windows Vista und Windows Server 2003 unterstützen lange und sichere Kennwörter. Bei Computern unter Windows 95, Windows 98 und Windows Millennium Edition ist dies nicht der Fall. Wenn eine dieser Windows-Versionen auf Computern Ihres Netzwerks installiert ist, müssen diese in der Kennwortrichtlinie berücksichtigt werden.

Die Benutzerkennwörter können dann nicht länger als 14 Zeichen sein und keine Zeichen enthalten, die mit ALT-Tastenkombinationen erstellt werden.

Wenn auf allen Computern Ihrer Organisation Windows NT 4.0, Windows 2000, Windows XP, Windows Vista oder Windows Server 2003 installiert ist, können Benutzerkennwörter bis zu 128 Zeichen lang sein und Zeichen enthalten, die mit ALT-Tastenkombinationen erstellt werden.

Technische Anforderungen an Kennwörter

Für Computer unter Windows 2000, Windows XP, Windows Vista und Windows Server 2003 können Sie bis zu fünf Einstellungen in Bezug auf Kennwortcharakteristika festlegen. Folgende Tabelle zeigt die Definitionen der Einstellungen und gibt Empfehlungen zu den Werten. Sie können entscheiden, welche Werte für Ihre Organisation erforderlich sind.

Dokumentiation der Kennwortrichtlinien

Sie entscheiden anschließend, wie formal Sie die Dokumentation der Kennwortrichtlinie für Ihr Unternehmen gestalten möchten.

Die Einstellungen auf den Computern im Netzwerk Ihrer Organisation sollten auf jeden Fall dokumentiert werden.

Manche Organisationen halten die Richtlinien in einer formalen Erklärung fest. In diesem Dokument unter "Verwandte Informationen" finden Sie Links mit Beispielen für solche Richtlinien.

Wenn Sie festgelegte Vorgaben für Unternehmensrichtlinien dieser Art haben, sollten Sie vor Implementierung und Veröffentlichung die Rechtsabteilung Ihres Unternehmens konsultieren.

Veröffentlichung der Kennwortrichtlinien

Jede wichtige Änderung von Richtlinien sollte den Mitarbeitern Ihres Unternehmens ausführlich vermittelt werden. Beim Ändern oder Implementieren von Kennwortrichtlinien ist es besonders wichtig, den Benutzern die Verfahren und deren Begründung genau zu erläutern.

Beispiel für eine Kennwortrichtlinie

Folgender Text kann als Ausgangspunkt für die Veröffentlichung dienen. Passen Sie das Dokument durch entsprechende Änderungen Ihren eigenen Bedürfnissen oder speziellen Anforderungen an.

Der Beispieltext erläutert nicht die Verwendung von ALT-Tastenkombinationen, um die Allgemeinheit der Benutzer nicht zu überfordern. ALT-Tastenkombinationen eignen sich für technisch fortgeschrittene Benutzer wie Administratoren mit entsprechend, wichtigen Konten.

An die Mitarbeiter:

Unsichere oder leere Kennwörter sind für Angreifer der einfachste Weg, in Ihren Computer oder das Netzwerk unseres Unternehmens zu gelangen. Langfristig unveränderte oder wiederverwendete Kennwörter sind ebenfalls leicht zu entschlüsseln.

Um den Schutz Ihres Kontos im Netzwerk zu erhöhen, wird die Verwendung sicherer Kennwörter für den Zugriff auf Computersysteme dieses Unternehmens dringend empfohlen. Sie werden aufgefordert, Ihr Kennwort regelmäßig zu ändern. Dabei darf das neue Kennwort nicht mit einem der vorherigen übereinstimmen.

Ein sicheres Kennwort besteht aus mindestens acht Zeichen, die aus mindestens drei der fünf folgenden Gruppen stammen:

Ihr Kennwort darf nicht mehr als zwei aufeinander folgende Buchstaben Ihres Kontonamens beinhalten. Nach spätestens 42 Tagen werden Sie dazu aufgefordert, Ihr Kennwort zu ändern. Eine erneute Verwendung alter Kennwörter ist nicht möglich.

Bei der Änderung Ihres Kennworts wird Ihr neues Kennwort automatisch auf seine Komplexität überprüft und mit früheren Kennwörtern verglichen. Fertigen Sie möglichst keine Notizen zum Kennwort an oder verwahren Sie diese zumindest nicht an einer leicht zugänglichen Stelle an Ihrem Arbeitsplatz. Ihr Computer und unser gesamtes Unternehmen sind einem gewaltigen Risiko ausgesetzt, wenn sich Unbefugte mithilfe Ihrer Anmeldedaten Zugriff auf das Netzwerk verschaffen können. Erstellen Sie deshalb Kennwörter, die gleichzeitig sicher und leicht zu merken sind.

Im Folgenden finden Sie ausführliche Informationen und Ratschläge zur Auswahl sicherer Kennwörter, die leicht zu merken sind.

Verwenden Sie "Kennsätze"

Der Begriff "Kennsatz" erleichtert eventuell den Umgang mit Kennwörtern. Wenn auf Ihrem Computer Windows NT 4.0 oder eine frühere Version, Windows 2000, Windows XP, Windows Vista oder Windows Server 2003 installiert ist, werden Kennwörter mit bis zu 15 oder mehr Zeichen einschließlich Leerzeichen unterstützt. "Daran kannst du knacken bis dir die Zähne ausfallen!" ist ein perfekter und gültiger Kennsatz: Er ist auch mit starken Entschlüsselungsprogrammen äußerst schwer zu entschlüsseln. Verwenden Sie einen möglichst langen Kennsatz aus Groß- und Kleinbuchstaben, Zahlen und Symbolen.

Verwenden Sie in keinem Fall Beispielkennwörter aus diesem Text. Das Kennwort "Daran kannst du knacken bis dir die Zähne ausfallen!" ist zwar sehr lang, aber Angreifer könnten dieses und andere Beispielkennwörter aus diesem Text ihren Angriffstools hinzufügen. Sie sollten immer Ihr eigenes, individuelles Kennwort erzeugen.

Weitere Tipps zu Kennwörtern

Folgende Tipps und Tricks erleichtern die Wahl gut zu merkender Kennwörter und Kennsätze.

Was Sie tun sollten:

"Gute Nacht" = "GuteN8" oder "Gut€N8"

"Katze + * + Maus" = "Katze*Maus" oder "Katze*Mau$"

"Angriff + 3 + Buch" = "Angriff3bucH" or "@ngriff3bucH"

Was Sie nicht tun sollten:

Implementieren der Kennwortrichtlinie in Ihrem Unternehmen

Sobald Sie die neuen Kennwortrichtlinien festgelegt und den Benutzern erläutert haben, können Sie mit der Implementierung im Netzwerk fortfahren. Informationen zur Festlegung der Kennwortregelungen finden Sie im "Microsoft Windows Server 2003 Sicherheitshandbuch" unter http://go.microsoft.com/fwlink/?LinkId=14845

Zum Seitenanfang

Verwandte Informationen

Weitere Informationen zum Erstellen von Kennwortrichtlinien finden Sie hier:

Weitere Informationen zu Kennwortrichtlinien finden Sie unter:

Zum Seitenanfang