Auswählen sicherer Kennwörter
Auf dieser Seite
 | Einführung |
| Vorbereitung |
| Entwickeln einer Kennwortrichtlinie für die Organisation |
| Verwandte Informationen |
Einführung
Obwohl es heutzutage viele Möglichkeiten der Benutzerauthentifizierung gibt, melden sich die meisten Benutzer am Computer und an Remotecomputern mit der Eingabe ihres Benutzernamens und Kennworts über die Tastatur an. Es gibt Produkte, die sicherere Technologien verwenden, wie zum Beispiel biometrische Verfahren, Smartcards oder einmalig eingegebene Kennwörter, die für alle verbreiteten Betriebssysteme zur Verfügung stehen. Trotzdem vertrauen die meisten Organisationen jedoch nach wie vor auf herkömmliche Kennwörter. Benutzer verfügen oft über verschiedene Anmeldeinformationen an ihrem Arbeitsplatz, für ihr Mobiltelefon, bei ihrer Bank oder ihrem Versicherungsunternehmen usw. Um sich ihre Kennwörter einfacher merken zu können, verwenden die Benutzer oft dasselbe oder ähnliche Kennwörter auf jedem System, und bei freier Wahl entscheiden sich die meisten für ein einfaches, leicht zu merkendes Kennwort, wie zum Beispiel ihren Geburtstag, den Mädchennamen ihrer Mutter oder den Namen eines Verwandten. Kurze und einfache Kennwörter können von Angreifern relativ leicht entschlüsselt werden. Einige gebräuchliche Methoden, mit denen Angreifer versuchen, das Kennwort des Opfers zu entschlüsseln, sind:
| • | Raten — Der Angreifer versucht, sich über das Konto des Benutzers anzumelden, indem er wiederholt wahrscheinliche Wörter und Ausdrücke eingibt, wie zum Beispiel den Namen der Kinder oder das Geburtsdatum. |
| • | Online-Wörterbuchangriff — Der Angreifer verwendet ein automatisiertes Programm, das eine Textdatei nutzt. Das Programm versucht wiederholt, sich auf dem Zielsystem anzumelden, indem bei jedem Versuch ein neues Wort aus der Textdatei verwendet wird. |
| • | Offline-Wörterbuchangriff — Der Angreifer erhält eine Kopie der Datei, in der die gehashten oder verschlüsselten Kopien der Benutzerkonten und Kennwörter gespeichert sind, und verwendet, ähnlich wie bei dem Online-Wörterbuchangriff, ein automatisiertes Programm, um die Kennwörter für die einzelnen Konten herauszufinden. Diese Art des Angriffs kann sehr schnell durchgeführt werden, wenn der Angreifer erst einmal im Besitz einer Kopie der Kennwortdatei ist. |
| • | Offline-Brute-Force-Angriff — Es handelt sich hierbei um eine weitere Variante der Wörterbuchangriffe – diese ist jedoch dafür gedacht, Kennwörter herauszufinden, die eventuell nicht in der bei solchen Angriffen verwendeten Textdatei stehen. Obwohl ein Brute-Force-Angriff online möglich ist, wird er wegen der Netzwerkbandbreite und der Latenz normalerweise offline mit einer Kopie der Kennwortdatei des Zielsystems durchgeführt. Bei einem Brute-Force-Angriff verwendet der Angreifer ein automatisiertes Programm, das Hashwerte oder verschlüsselte Werte für alle möglichen Kennwörter erstellt, und diese mit den Werten in der Kennwortdatei vergleicht. |
Jede dieser Angriffsmethoden kann durch die Wahl geeigneter Kennwörter erheblich erschwert oder sogar abgewehrt werden. Daher sollten Computerbenutzer, wann immer möglich, sichere Kennwörter für alle Computerkonten verwenden. Computer unter Microsoft® Windows NT®, einschliesslich Windows NT 4.0, Windows 2000, Windows XP, and Windows Server™ 2003 unterstützen sichere Kennwörter. Unter Windows gilt ein Kennwort unter anderem dann als sicher, wenn es Zeichen aus mindestens drei der folgenden fünf Zeichenkategorien enthält.
Zeichenklassen
| Gruppe | Beispiel |
Kleinbuchstaben | a, b, c, ... |
Grossbuchstaben | A, B, C, ... |
Numerische Zeichen | 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 |
Nicht alphanumerische Zeichen (Symbole) | ( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / |
Unicode-Zeichen | €, , ƒ und ? |
Hinweis: Leerzeichen gehören zu keiner dieser fünf Gruppen und tragen nicht zur Komplexität von Kennwörtern bei.
Die Kennwörter sehr wichtiger Konten (Konten für Administratoren oder leitende Mitarbeiter) und Kennwörter für Konten, unter denen zentrale Netzwerkdienste ausgeführt werden, sollten vier oder sogar alle fünf genanten Gruppen beinhalten. Auf der anderen Seite müssen Kennwörter, die von Personen verwendet werden, auch leicht zu merken sein. Der Verlust eines Kennworts für das Konto eines leitenden Mitarbeiters oder Administrators könnte verheerend sein. In diesem Dokument wird beschrieben, wie Kennwörter in Windows-Betriebssystemen gespeichert werden und wie Administratoren die Sicherheit der Kennwörter maximieren können.
Die Anforderungen an sichere Kennwörter können mithilfe von "Kennsätzen" anstelle von Kennwörtern erfüllt werden. Jede Version von Windows, die sichere Kennwörter unterstützt, unterstützt auch die Verwendung von Leer- und Interpunktionszeichen in Kontokennwörtern. Zum Beispiel ist "Ich will wirklich 11 Hunde k@ufen!" ein gültiger Kennsatz. Mit mehr als 20 Zeichen ist es ein sehr langer Kennsatz, der Zeichen aus vier der fünf möglichen Gruppen enthält. Darüber hinaus er ist leicht zu merken. Die meisten Programme zum Entschlüsseln von Kennwörtern gehen von einer maximalen Länge von 14 Zeichen aus. Dies entspricht der Obergrenze für DOS-Netzwerkbootdisketten, Microsoft-Remoteinstallationsdienste (RIS - Remote Installation Services) PXE-Bootdisketten (Pre eXecutable Environment) und ältere LAN Manager-Clients (Win9x). Sogar ohne Komplexität kann ein sehr langes Kennwort (mehr als 14 Zeichen, bis zu 128 Zeichen) der bestmögliche Schutz gegen die Entschlüsselung besonders sensibler Kennwörter sein.
Hinweis: Verwenden Sie auf keinen Fall die in diesem Dokument aufgeführten Beispielkennwörter. Obwohl das oben erläuterte Kennwort "Ich will wirklich 11 Hunde k@ufen!" sehr lang und komplex ist, könnten Angreifer dieses und andere Beispielkennwörter aus diesem Text ihren Angriffstools hinzufügen.
Wenn Administratoren mit älteren Systemen oder mit RIS-Installationen arbeiten und entsprechenden Vorgaben berücksichtigen müssen oder sie sehr lange Kennwörter als nicht benutzerfreundlich betrachten, bietet die Verwendung eines kürzeren Kennworts mit komplexen Zeichen einen guten Schutz. Beachten Sie jedoch, dass ein längeres Kennwort schwieriger zu entschlüsseln ist. Beides, Komplexität und Länge, miteinander zu kombinieren, erschwert deutlich die Entschlüsselung. Die Erstellung von Richtlinien für Kennwörter in Ihrem Unternehmen trägt dazu bei, Benutzer vor Angreifern zu schützen, die versuchen, sich als autorisierter Benutzer auszugeben, und schützt dadurch das Unternehmen vor dem Verlust, der Offenlegung oder der Manipulation sensibler Informationen.
In diesem Dokument wird beschrieben, wie Kennwörter in den Windows-Betriebssystemen gespeichert werden, wie Administratoren die Sicherheit von Kennwörtern maximieren können und wie Benutzer Kennwörter wählen, die den Komplexitätsanforderungen entsprechen und trotzdem leicht zu merken sind.
Das Dokument stellt Informationen und Anleitungen zu folgenden Themen zur Verfügung:
| • | Ausführliche Informationen über die Entschlüsselung von Kennwörtern. |
| • | Wie Windows Kennwörter speichert: Informationen über LM-Hashwerte (LM - LAN Manager) und NTLM-Hashwerte. |
| • | Auflistung der Unicode-Zeichen und Verwendung von Unicode-Zeichen durch die Eingabe von ALT-Tastaturbefehlen. |
| • | Anforderungen für ältere Systeme wie Windows 98. |
| • | Einrichten einer Kennwortrichtlinie in Ihrem Unternehmen. |
| • | Eine Erläuterung für Endbenutzer über die Komplexität von Kennwörtern mit einem Text, den Sie anpassen und den Mitarbeitern Ihres Unternehmens aushändigen können. |
| • | Verweise auf weiterführende Informationen, zum Beispiel Websites, die Sie bei der Erstellung sicherer Richtlinien für Kennwörter in Ihrem Unternehmen unterstützen. |
Vorbereitung
Bevor Sie mit der Planung der Kennwortrichtlinien beginnen, ist es wichtig, dass Sie eine solide Kenntnis darüber haben, wie Kennworthashwerte erstellt und in Windows-Betriebssystemen gespeichert werden. Ausserdem ist es hilfreich, andere Konzepte der Kennwortkomplexität, wie Entropie, Unicode-Zeichen und ALT-Zeichen, vollständig zu verstehen.
Kennwortspeicherung unter Windows
Standardmässig speichern Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003 Benutzerkennwörter niemals als Klartext. Stattdessen werden Kennwörter mithilfe als "Hashwerte", gespeichert. Es gibt zwei unterschiedliche Varianten von Hashwerten – der erste, der LM-Hash (LAN Manager), ist wesentlich unsicherer als der zweite NTLM-Hash. Der Grund für die Speicherung beider Hashwerte ist die Abwärtskompatibilität mit älteren Anwendungen und Betriebssystemen, wie Windows 98.
Der LM-Hash (LAN Manager)
Der LM-Hash ist im technischen Sinn eigentlich kein Hashwert. Er wird wie folgt berechnet:
1. | Alle Kleinbuchstaben im Kennwort werden in Grossbuchstaben konvertiert. |
2. | An das Kennwort werden NULL-Zeichen angefügt, bis es genau 14 Zeichen lang ist. |
3. | Das Kennwort wird in zwei sieben Zeichen lange Abschnitte unterteilt. |
4. | Beide Abschnitte werden separat als DES-Schlüssel verwendet, um eine spezifische Zeichenfolge zu verschlüsseln. |
5. | Die beiden verschlüsselten Texte werden zu einer 128-Bit-Zeichenfolge zusammengefügt und als Ergebnis gespeichert. |
Bedingt durch den Algorithmus, der zum Erzeugen des LM-Hashwerts verwendet wird, ist dieser Hashwert sehr leicht zu entschlüsseln. Erstens kann auch ein Kennwort, das länger als acht Zeichen ist, in zwei getrennten Teilen angegriffen werden. Zweitens können alle Kleinbuchstaben ignoriert werden. Das bedeutet, dass die meisten Programme zum Entschlüsseln von Kennwörtern zuerst die LM-Hashwerte entschlüsseln, und anschliessend einfach die alphabetischen Zeichen im entschlüsselten Kennwort ändern, um Kennwörter mit Beachtung der Gross- und Kleinschreibung zu erzeugen. Beachten Sie, dass für das Anmelden an einem Computer unter Windows 2000, ob remote oder lokal, ein Kennwort mit Einhaltung der Gross- und Kleinschreibung erforderlich ist.
Der NTLM-Hash
Der NTLM-Hash wird auch als Unicode-Hash bezeichnet, da er den vollständigen Unicode-Zeichensatz unterstützt. Der NTLM-Hash wird berechnet, indem aus dem Klartextkennwort ein MD4-Nachrichtenhash (MD4 - Message Digest 4) erzeugt wird. Der MD4-Hash ist der tatsächliche Wert, der entweder in der Active Directory-Datenbank oder in der lokalen Sicherheitskontenverwaltung (SAM - Security Accounts Manager) gespeichert wird. Der NTLM-Hash ist deutlich sicherer gegen Brute-Force-Angriffe als der LM-Hash. Ein Brute-Force-Angriff auf den NTLM-Hash dauert um ein Vielfaches länger als ein Brute-Force-Angriff auf den LM-Hash desselben Kennworts.
Entropie
Entropie ist ein Mass der Unordnung in einem System. Der Grad der Entropie in einem Kennwort wird dadurch bestimmt, wie zufällig es in Bezug auf den Wertebereich und die Reihenfolge der Zeichen zusammengesetzt ist. Bei der Wahl eines Kennworts, das gegen Entschlüsseln geschützt ist, sollte die Entropie innerhalb des Kennworts genau bedacht werden. Die meisten Programme für Brute-Force-Angriffe suchen zuerst alphanumerische Zeichen und Symbole, die auf üblichen Tastaturen zu finden sind, wie zum Beispiel ` ~ ! @ # $ % ^ & * ( ) _ - + = . Mit diesem Wissen können Sie Ihr Kennwort sicherer gestalten, indem Sie andere Symbole verwenden: [ ] { } < > . Sie können die Sicherheit noch weitere verbessern, indem Sie ALT-Tastenkombinationen verwenden. Beachten Sie, dass, entsprechend der Errechnung des LM-Hashwertes, ein Symbol, das als einzige Entropie an achter Stelle in einem acht Zeichen langen Kennwort gesetzt wird, nur wenig Auswirkung auf die Kennwortkomplexität hat. Für maximale Entropie und Komplexität sollten nicht alphanumerische Zeichen über das gesamte Kennwort verteilt sein.
Die Verwendung von Unicode-Zeichen in ALT-Tastenkombinationen
Für die meisten Benutzer sollte es kein Problem darstellen, Kennsätze zu finden, die einfach zu merken sind. Für besonders wichtige Konten, wie Konten mit Domänenadministratorrechten, wird dringend empfohlen, Unicode-Zeichen mithilfe von ALT-Tastenkombinationen innerhalb der Kennwörter zu verwenden. Diese Zeichen sind nicht auf handelsüblichen Tastaturen verzeichnet. Sie geben Sie ein, indem Sie ALT gedrückt halten (beziehungsweise Fn und ALT auf den meisten Laptop-Computern) und eine drei- oder vierstellige Nummer auf der Zehnertastatur eingeben (Erweiterte Tastenbelegung auf Laptoptastaturen).
Die Verwendung solcher Zeichen schützt Kennwörter effektiv auf zweierlei Weise: Erstens sind die meisten Programme zum Entschlüsseln von Kennwörtern nicht in der Lage, den Grossteil dieser Art von Zeichen zu testen. Zweitens erhöht die Verwendung dieser Zeichen die mögliche Anzahl von Zeichen in Ihrem Kennwort um ein Vielfaches, was der potenziellen Komplexität eines Kennworts in hohem Masse zuträglich ist. Wenn Sie ALT-Tastenkombinationen verwenden, ist es wichtig, an die vorangehende Null zu denken, soweit vorhanden, da das Weglassen der Null ein anderes Zeichen ergibt. Zum Beispiel ergibt ALT+128 ein "Ç", während ALT+0128 das "€" ergibt. Im letzten Teil dieses Abschnitts werden die vierstelligen Codes aufgeführt, mit denen Sie den gesamten Unicode-Zeichensatz abrufen können. Dabei werden die dreistelligen Codes ignoriert, die nur den erweiterten ASCII-Zeichensatz beinhalten.
Die folgende Tabelle führt die numerischen Werte auf, die als ALT-Tastenkombination verwendet werden können. Die empfohlenen Werte liegen zwischen 0128 und 1024. Jedes Feld der folgenden Tabelle gibt entweder einen einzelnen Wert oder einen Wertebereich an. So zeigt zum Beispiel das erste Feld den Bereich "0128-0159". Das bedeutet, dass Sie jeden Wert zwischen 0128 und 0159 verwenden können, wie zum Beispiel ALT+0135, was dem Unicode-Zeichen "‡" entspricht.
Empfohlener ALT-Code für ALT-Tastenkombinationen
0128-0159 | 0306-0307 | 0312 | 0319-0320 |
0329-0331 | 0383 | 0385-0406 | 0408-0409 |
0411-0414 | 0418-0424 | 0426 | 0428-0429 |
0433-0437 | 0439-0447 | 0449-0450 | 0452-0460 |
0477 | 0480-0483 | 0494-0495 | 0497-0608 |
0610-0631 | 0633-0696 | 0699 | 0701-0707 |
0709 | 0711 | 0716 | 0718-0729 |
0731 | 0733-0767 | 0773-0775 | 0777 |
0779-0781 | 0783-0806 | 0808-0816 | 0819-0893 |
0895-0912 | 0914 | 0918-0919 | 0921-0927 |
0929-0930 | 0933 | 0935-0936 | 0938-0944 |
0947 | 0950-0955 | 0957-0959 | 0961-0962 |
0965 | 0967-1024 |
|
|
Nicht alle Unicode-Zeichen erhöhen die Kennwortkomplexität, da einige automatisch in ASCII-Zeichen konvertiert werden. Die Folge ist ein weniger sicheres Kennwort. Die folgende Tabelle führt Zeichencodes auf, die nicht in einem Kennwort verwendet werden sollten, und die ASCII-Zeichen, in die sie konvertiert werden.
ALT-Codes, der nicht für ALT-Tastenkombinationen verwendet werden sollte
| ALT-Code | Unicode-Zeichen | Ergibt das Zeichen |
0175 | ¯ | _ |
0190 | 3/4 | _ |
0222 | Þ | _ |
0254 | þ | _ |
0101 | e | E |
0200 | È | E |
0202 | Ê | E |
0203 | Ë | E |
0232 | è | E |
0234 | ê | E |
0235 | Ë | E |
0100 | d | D |
0208 | Ð | D |
0240 | ð | D |
0117 | u | U |
0217 | Ù | U |
0218 | Ú | U |
0219 | Û | U |
0249 | ù | U |
0250 | ú | U |
0251 | û | U |
0192 | À | A |
0193 | Á | A |
0194 | Â | A |
0195 | Ã | A |
0224 | à | A |
0225 | á | A |
0226 | â | A |
0227 | ã | A |
0065 | A | A |
0114 | r | R |
0174 | ® | R |
0121 | y | Y |
0221 | Ý | Y |
0253 | ý | Y |
0255 | ÿ | Y |
0120 | x | X |
0215 | × | X |
0111 | o | O |
0210 | Ò | O |
0211 | Ó | O |
0212 | Ô | O |
0213 | Õ | O |
0216 | Ø | O |
0242 | ò | O |
0243 | ó | O |
0244 | ô | O |
0245 | õ | O |
0248 | ø | O |
0105 | i | I |
0204 | Ì | I |
0205 | Í | I |
0206 | Î | I |
0207 | Ï | I |
0236 | ì | I |
0237 | í | I |
0238 | î | I |
0239 | ï | I |
0169 | © | C |
0099 | c | C |
Kennwortalter und erneute Verwendung
Die Benutzer sollten ihre Kennwörter regelmässig ändern. Auch wenn lange und sichere Kennwörter sich wesentlich schwerer entschlüsseln lassen, ist es dennoch nicht unmöglich. Ein Angreifer kann letztendlich jedes Kennwort entschlüsseln, wenn er ausreichend Zeit und einen leistungsstarken Computer hat. Im Allgemeinen sollten Kennwörter innerhalb von 42 Tagen geändert und alte Kennwörter nicht weiter verwendet werden.
Entwickeln einer Kennwortrichtlinie für die Organisation
In diesem Abschnitt finden Sie eine ausführliche Anleitung zur Erhöhung der Sicherheit durch die Erstellung und Veröffentlichung von Kennwortrichtlinien.
| • | Feststellen der im Netzwerk Ihrer Organisation verwendeten Computerbetriebssysteme |
| • | Verstehen des möglichen Sicherheitsumfangs bezüglich dieser Betriebssysteme |
| • | Festlegen der technischen Anforderungen für Kennwörter im Netzwerk Ihrer Organisation |
| • | Festlegen der erforderlichen Formalitäten in Bezug auf Dokumentation und Vermittlung einer Kennwortrichtlinie für Ihre Organisation |
| • | Dokumentation der Kennwortrichtlinie |
| • | Veröffentlichen der Kennwortrichtlinie vor der Implementierung auf den Systemen |
| • | Implementieren der Kennwortrichtlinie auf den Computersystemen Ihrer Organisation |
| • | Regelmässiges Erinnern der Benutzer an die Notwendigkeit der Einhaltung der Kennwortrichtlinie und anderer Sicherheitsrichtlinien |
Feststellen der vorhandenen Betriebssysteme
Um Kennwortrichtlinien festlegen zu können, die bei der Anmeldung von Benutzern an Computern Ihrer Organisation keine Probleme verursachen, müssen Sie die verwendeten Betriebssysteme kennen. Möglicherweise kennen Sie bereits alle in Ihrem Netzwerk verwendeten Betriebssysteme. Andernfalls müssen Sie diese Informationen in Erfahrung bringen. Die Anzahl der installierten Betriebssysteme ist nicht von entscheidender Bedeutung, und Sie benötigen keine genaue Aufstellung aller Systeme Ihres Netzwerks. Zum Erstellen einer geeigneten Kennwortrichtlinie müssen Sie lediglich wissen, ob ältere Systeme vorhanden sind. Windows 95, Windows 98 oder Windows Millennium Edition sind ältere Betriebssysteme, auf die Sie am Wahrscheinlichsten in Ihrem Netzwerk stossen.
| • | So stellen Sie fest, welche Computerbetriebssysteme im Netzwerk Ihrer Organisation vorhanden sind
|
Verstehen des möglichen Einschränkungen bezüglich dieser Betriebssysteme
Wie bereits erwähnt, unterstützen Computer unter Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003 lange und sichere Kennwörter. Bei Computern unter Windows 95, Windows 98 und Windows Millennium Edition ist dies nicht der Fall. Wenn eine dieser Windows-Versionen auf Computern Ihres Netzwerks installiert ist, müssen diese in der Kennwortrichtlinie berücksichtigt werden.
Bei Organisationen mit Computern, auf denen Windows 95, Windows 98 oder Windows Millennium Edition installiert ist, können die Benutzerkennwörter nicht länger als 14 Zeichen sein und keine Zeichen enthalten, die mit ALT-Tastenkombinationen erstellt werden.
Wenn auf allen Computern Ihrer Organisation Windows NT 4.0, Windows 2000, Windows XP oder Windows Server 2003 installiert ist, können Benutzerkennwörter bis zu 128 Zeichen lang sein und Zeichen enthalten, die mit ALT-Tastenkombinationen erstellt werden.
Festlegen der technischen Anforderungen für Kennwörter
Für Computer, auf denen Windows 2000, Windows XP und Windows Server 2003 installiert ist, können Sie bis zu fünf Einstellungen in Bezug auf Kennwortcharakteristika festlegen.
Bei diesem Schritt werden die Definitionen der Einstellungen erläutert, einschliesslich einiger Empfehlungen. Sie erhalten dadurch die Möglichkeit, zu entscheiden, welche Werte für Ihre Organisation erforderlich sind.
Technische Anforderungen an Kennwörter
| Einstellung | Beschreibung | Empfehlung | ||||||
Kennwortchronik erzwingen | Legt die Anzahl neuer Kennwörter fest, die ein Benutzer verwenden muss, bevor ein altes Kennwort erneut verwendet werden darf. Der Wert kann zwischen 0 und 24 liegen. Wenn er auf 0 gesetzt wird, ist Kennwortchronik erzwingen deaktiviert. | Dieser Wert sollte normalerweise auf 24 gespeicherte Kennwörter eingestellt sein. | ||||||
Maximales Kennwortalter | Bestimmt, wie viele Tage ein Kennwort verwendet werden kann, bevor der Benutzer aufgefordert wird, es zu ändern. Der Wert kann zwischen 0 und 999 liegen. Wenn er auf 0 gesetzt wird, läuft das Kennwort nie ab. Wird der Wert zu niedrig eingestellt, kann das für Unmut bei den Benutzern sorgen, wird er zu hoch gesetzt oder deaktiviert, haben mögliche Angreifer mehr Zeit für die Entschlüsselung der Benutzerkennwörter. | In den meisten Unternehmen ist dieser Wert auf 42 Tage gesetzt. | ||||||
Minimales Kennwortalter | Bestimmt, wie viele Tage Benutzer ihr neues Kennwort beibehalten müssen, bevor sie es ändern können. Diese Einstellung funktioniert in Verbindung mit der Einstellung Kennwortchronik erzwingen, so dass Benutzer nicht 24-mal hintereinander ihr Kennwort ändern, um dann ihr altes Kennwort wiederverwenden zu können. Der Wert kann zwischen 0 and 999 liegen. Wenn er auf 0 gesetzt wird, können Benutzer ihr Kennwort unmittelbar nach einer Änderung erneut ändern. | In den meisten Unternehmen ist dieser Wert auf 2 Tage gesetzt. | ||||||
Minimale Kennwortlänge | Bestimmt, wie kurz ein Kennwort sein darf. Obwohl Computer, auf denen Windows 2000, Windows XP oder Windows Server 2003 installiert ist, Kennwörter mit bis zu 128 Zeichen unterstützen, kann dieser Wert nur zwischen 0 und 14 Zeichen liegen. Wenn er auf 0 gesetzt wird, dürfen Benutzer leere Kennwörter verwenden. Dieser Wert sollte nie verwendet werden. | Setzen Sie ihn auf acht Zeichen. | ||||||
Kennwörter müssen bestimmten Komplexitätsanforderungen entsprechen | Legt fest, ob komplexe Kennwörter erzwungen werden.
| Aktivieren Sie diese Einstellung. |
Dokumentieren der Kennwortrichtlinie für Ihr Unternehmen
Im nächsten Schritt sollten Sie entscheiden, wie formal Sie die Dokumentation der Kennwortrichtlinie für Ihr Unternehmen gestalten möchten.
Dokumentieren Sie zumindest, welche Einstellungen auf den Computern im Netzwerk Ihrer Organisation vorgenommen werden.
Einige Organisationen bevorzugen es, die Richtlinie in einer formalen Erklärung festzuhalten. Wenn Ihnen dieses Mass an Formalität für Ihr Unternehmen angemessen erscheint, dann sollten Sie auch die Links mit Beispielen für Richtlinien beachten, die Sie in diesem Dokument unter "Verwandte Informationen" finden.
Einige Unternehmen haben möglicherweise festgelegte Vorgaben für Unternehmensrichtlinien dieser Art. Wenn Sie glauben, dass Ihr Unternehmen solche festgelegten Vorgaben hat, sollten Sie die Richtlinien mit der Rechtsabteilung Ihres Unternehmens besprechen, bevor Sie sie implementieren und für die Benutzer veröffentlichen.
Veröffentlichen der Kennwortrichtlinie für die Benutzer
Jede wichtige Änderung von Richtlinien sollte den Mitarbeitern Ihres Unternehmens ausführlich vermittelt werden. Beim Ändern oder Implementieren von Kennwortrichtlinien ist es besonders wichtig, den Benutzern die Verfahren und deren Begründung genau zu erläutern.
Beispiel für eine Kennwortrichtlinie
Der folgende Text ist zur Vervielfältigung und Verbreitung unter Ihren Mitarbeitern gedacht. Obwohl er in dieser Form verwendet werden kann, möchten Sie vielleicht einzelne Abschnitte ändern, um Sie Ihren eigenen Bedürfnissen oder speziellen Anforderungen anzupassen.
Dieser Beispieltext erläutert nicht die Verwendung von ALT-Tastenkombinationen, da dies für viele Benutzer eine zu hohe Anforderung darstellen könnte. ALT-Tastenkombinationen eignen sich für technisch fortgeschrittene Benutzer, die über wichtige Konten verfügen, wie zum Beispiel Administratoren.
An die Mitglieder des Unternehmens:
Unsichere oder leere Kennwörter sind für Angreifer der einfachste Weg, in Ihren Computer oder das Netzwerk unseres Unternehmens zu gelangen. Kennwörter, die über Jahre hinweg verwendet oder häufig wiederverwendet werden, sind für Angreifer ebenfalls leicht zu entschlüsseln.
Um den Schutz Ihres Kontos im Netzwerk zu erhöhen, wird die Verwendung sicherer Kennwörter für den Zugriff auf Computersysteme dieses Unternehmens dringend empfohlen. Sie werden aufgefordert, Ihr Kennwort regelmässig zu ändern. Dabei darf das neue Kennwort nicht mit einem der vorherigen übereinstimmen.
Ein sicheres Kennwort besteht aus mindestens acht Zeichen, und enthält Zeichen aus drei der fünf folgenden Gruppen:
1. | Kleinbuchstaben |
2. | Grossbuchstaben |
3. | Zahlen (zum Beispiel 1, 2, 3) |
4. | Symbole (zum Beispiel @, =, - usw.) |
5. | Unicode-Zeichen |
Ausserdem darf Ihr Kennwort nicht mehr als zwei aufeinander folgende Buchstaben Ihres Kontonamens beinhalten. Sie werden alle 42 Tage dazu aufgefordert, Ihr Kennwort zu ändern. Eine erneute Verwendung alter Kennwörter ist nicht möglich.
Bei der Änderung Ihres Kennworts wird Ihr neues Kennwort automatisch auf seine Komplexität überprüft und mit Ihren vorherigen Kennwörtern verglichen. Dies klingt zunächst vielleicht etwas frustrierend, und Sie könnten versucht sein, eine Notiz mit Ihrem Kennwort an einer leicht zugänglichen Stelle an Ihrem Arbeitsplatz zu verwahren. Dadurch setzen Sie jedoch Ihren Computer und unser gesamtes Unternehmen einem gewaltigen Risiko aus, da jede beliebige Person sich mithilfe Ihrer Anmeldedaten Zugriff auf das Netzwerk verschaffen kann. Schreiben Sie daher niemals Ihre Kennwörter auf. Erstellen Sie stattdessen Kennwörter, die leicht zu merken sind.
Im Folgenden finden Sie ausführliche Informationen über Kennwortsicherheit, sowie Ratschläge zur Auswahl sicherer Kennwörter, die leicht zu merken sind.
Verwenden Sie "Kennsätze"
Der Begriff "Kennsatz" erleichtert eventuell den Umgang mit Kennwörtern. Wenn auf Ihrem Computer Windows NT 4.0 oder eine frühere Version, Windows 2000, Windows XP oder Windows Server 2003 installiert ist, werden Kennwörter mit bis zu 15 oder mehr Zeichen einschliesslich Leerzeichen unterstützt. Daher ist "Daran kannst du knacken bis dir die Zähne ausfallen!" ein perfekter und gültiger Kennsatz, der für einen Angreifer äusserst schwer zu entschlüsseln ist, selbst wenn er über das beste Entschlüsselungsprogramm verfügt. Wenn Ihr Computer über eines der oben genannten Betriebssysteme verfügt, verwenden Sie am besten einen sehr langen Kennsatz aus Gross- und Kleinbuchstaben, Zahlen und Symbolen.
Achten Sie darauf, dass Sie in keinem Fall Beispielkennwörter aus diesem Text verwenden. Obwohl das Kennwort "Daran kannst du knacken bis dir die Zähne ausfallen!" sehr lang ist, könnten Angreifer dieses und andere Beispielkennwörter aus diesem Text ihren Angriffstools hinzufügen. Es handelt sich nur um Beispiele. Sie sollten immer Ihr eigenes, einzigartiges Kennwort erzeugen.
Weitere Tipps zu Kennwörtern
Im folgenden Abschnitt finden Sie Tipps und Tricks für die Wahl leicht zu merkender Kennwörter und Kennsätze.
1. | Verwenden Sie mehr als ein Wort. |
2. | Verwenden Sie Symbole anstelle von Buchstaben. |
3. | Wählen Sie Ereignisse oder Personen, die Ihnen im Gedächtnis sind. |
4. | Verwenden Sie gleich klingende Zahlen und Buchstaben in den Wörtern |
5. | Scheuen Sie sich nicht, ein langes Kennwort zu wählen. |
6. | Verwenden Sie die Anfangsbuchstaben eines Satzes |
Was Sie tun sollten:
| • | Kombinieren Sie Buchstaben, Symbole und Zahlen, die für Sie leicht zu merken und für andere schwer zu erraten sind. |
| • | Wählen Sie gut klingende Kennwörter (selbst wenn es keine richtigen Wörter sind), die leicht zu behalten sind, damit die Versuchung gering bleibt, es sich schriftlich zu notieren. |
| • | Versuchen Sie, die Anfangsbuchstaben eines eingängigen Satzes zu verwenden und Zahlen oder Sonderzeichen einzufügen. |
| • | Nehmen Sie zwei vertraute Dinge, und setzen Sie eine Zahl oder ein Sonderzeichen dazwischen. Sie können auch die Buchstabierung ändern, um Sonderzeichen einzufügen. Auf diese Art erhalten Sie ein ungewöhnliches Gebilde. Dies macht ein gutes Kennwort aus, denn es ist leicht für Sie, und nur Sie, zu merken und für andere schwer zu entschlüsseln. Hier einige weitere Beispiele: |
"Gute Nacht" = "GuteN8" oder "Gut€N8"
"Katze + * + Maus" = "Katze*Maus" oder "Katze*Mau$"
"Angriff + 3 + Buch" = "Angriff3bucH" or "@ngriff3bucH"
Was Sie nicht tun sollten:
| • | Verwenden Sie keine persönlichen Informationen, wie zum Beispiel Ableitungen Ihres Benutzernamens, Namen von Familienmitgliedern, Mädchennamen, Autos, Lizenznummern, Telefonnummern, Haustiere, Geburtstage, Adressen oder Hobbys. |
| • | Verwenden Sie kein Wort irgendeiner Sprache, das vorwärts und rückwärts gleich buchstabiert wird. |
| • | Beziehen Sie Kennwörter nicht auf den Monat. Verwenden Sie zum Beispiel "Maibaum" nicht im Mai. |
| • | Wählen Sie kein neues Kennwort, das einem vorherigen ähnlich ist. |
Implementieren der Kennwortrichtlinie in Ihrem Unternehmen
Sobald Sie die neue Kennwortrichtlinie festgelegt und den Benutzern erläutert haben, können Sie mit der Implementierung im Netzwerk fortfahren. Informationen zur Festlegung der Kennwortregelungen finden Sie im "Microsoft Windows Server 2003 Sicherheitshandbuch" unter http://go.microsoft.com/fwlink/?LinkId=14845
Verwandte Informationen
Weitere Informationen zum Erstellen von Kennwortrichtlinien finden Sie hier:
| • | "Password Policy" (englischer Artikel) auf der SANS-Website (SysAdmin, Audit, Network, Security) unter http://go.microsoft.com/fwlink/?LinkId=22205 (englischsprachig). SANS gibt Ratschläge zur Erstellung formaler Kennwortrichtlinien für Unternehmen und führt Beispiele auf. |
| • | "Sample Generic Policy and High Level Procedures for Passwords and Access Forms" (englische Dokumentation) auf der Website des National Institute of Standards (NIST) unter http://go.microsoft.com/fwlink/?LinkId=22206 (englischsprachig). NIST stellt ein Beispiel für eine Kennwortrichtlinie bereit, die vielfach als Grundlage für die Entwicklung eigener Standards verwendet wurde. |
Weitere Informationen zu Kennwortrichtlinien finden Sie unter:
| • | Account Passwords and Policies auf der Microsoft TechNet-Website (englischsprachig). |