Wie Sie bereits wissen, hat Microsoft den Leitfaden für Kennwortablaufrichtlinien geändert. Im Mai 2019 veröffentlichten sie
einen Blogbeitrag , in dem die Entscheidung erläutert wurde.
Cybersicherheitsexperten wissen, dass die durchschnittliche Person ein Passwort hat, das bequem einzugeben und daher einfach an einem Computer abzurufen ist. Gleichzeitig ändert die Notwendigkeit, sie alle paar Monate zu ändern, nichts an der Tatsache, dass solche Passwörter leicht zu finden sind. Dank der Leistungsfähigkeit moderner Computer können Sie innerhalb weniger Stunden ein Passwort mit 8 alphanumerischen Zeichen erzwingen. Das Ändern von einem oder zwei der acht Zeichen erschwert die Aufgabe nicht.
Seit der Veröffentlichung der Microsoft-Empfehlungen ist viel Zeit vergangen, und es ist an der Zeit, Schlussfolgerungen zu ziehen. Lohnt es sich, das Ablaufdatum des Kennworts vollständig zu beseitigen? In der Tat nicht so einfach.
Die Kennwortablaufrichtlinie ist nur einer der Bausteine in der Cybersicherheitswand. Erhalten Sie keinen der Mauersteine, wenn Sie nicht über andere Schutzmethoden verfügen, um diese Aktion zu kompensieren. Daher ist es besser, sich auf die größten Risikofaktoren in der Organisation zu konzentrieren und eine Cybersicherheitsstrategie zu erarbeiten, um diese zu reduzieren.
Warum sollten Sie die Richtlinien zum Ablauf des Kennworts entfernen?
Microsoft argumentiert in diesem Zusammenhang, dass Richtlinien zum Ablauf von Kennwörtern in Bezug auf die Informationssicherheit von geringem Wert sind. Infolgedessen empfehlen sie ihre Verwendung nicht mehr und schließen dieses Element aus der Struktur der grundlegenden Ebene der Cybersicherheit von Microsoft aus.
Microsoft fordert Sie jedoch nicht auf, alle Kennwortrichtlinien sofort zu deaktivieren. Sie informieren Sie lediglich darüber, dass Ihre Sicherheitsstrategie mehr als nur das Ablaufen von Kennwörtern erfordert.
Sollte ich die Passwortrichtlinie löschen?
Die meisten Organisationen sollten die Kennwortablaufrichtlinie unverändert lassen. Denken Sie an die folgende einfache Frage: Was passiert, wenn einem Benutzer ein Passwort gestohlen wird?
Kennwortrichtlinien verringern den Druck des Angreifers, indem sie dessen wichtigen Zugriffskanal im Netzwerk blockieren. Je kürzer das Kennwort ist, desto weniger Zeit verbleibt, um das System zu gefährden und Daten auszugeben (es sei denn, der Angreifer hat einen anderen Einstiegspunkt verwendet). Microsoft ist der Ansicht, dass dieselben Richtlinien, die ursprünglich darauf abzielten, gefährdete Kennwörter aus der Rotation zu entfernen, nur zu schlechten Praktiken führen - beispielsweise zur Wiederverwendung und schwachen Iteration (vesna2019, leto2019, zima2019) von Kennwörtern, Spickzettel auf Monitoren usw.
Mit einem Wort, Microsoft ist der Ansicht, dass das Risiko falscher Kennwortpraktiken tatsächlich höher ist als der Nutzen der Implementierung von Ablaufrichtlinien. Wir bei Varonis stimmen dem teilweise zu, aber tatsächlich gibt es ein starkes Missverständnis darüber, was das Unternehmen tun muss, um solche Richtlinien abzulehnen.
Diese Änderung verbessert die Benutzerfreundlichkeit der Benutzer erheblich und ist einfach zu implementieren. Letztendlich besteht jedoch die Möglichkeit, das Gesamtrisiko nur dann zu erhöhen, wenn Sie andere Best Practices in der Branche nicht befolgen, z.
- Geheime Phrasen : Das Erzwingen langer (16 oder mehr Zeichen) und komplexer Passwörter erhöht die Schwierigkeit, sie zu knacken. Der alte Standard von mindestens 8 Zeichen wird auf modernen PCs in wenigen Stunden geknackt.
- Modell des minimal notwendigen Zugriffs : In einer Welt, in der die Konstanz niemals verletzt wird, ist es wichtig zu wissen, dass der Benutzer nur auf die minimal notwendige Datenmenge zugreifen kann.
- Verhaltensverfolgung : Sie müssen in der Lage sein, Kontokompromisse zu erkennen, die auf Abweichungen von der normalen Anmeldung und der nicht standardmäßigen Datennutzung beruhen. In diesem Fall hilft es nicht, nur Statistiken zu analysieren.
- Multifaktor-Authentifizierung : Selbst wenn der Angreifer den Benutzernamen und das Kennwort kennt, ist die Multifaktor-Authentifizierung ein ernstes Hindernis für den durchschnittlichen Angreifer.
Sterben die Passwörter endgültig aus?
Das ist die Hauptfrage, nicht wahr?
Es gibt verschiedene Technologien, die versuchen, Kennwörter als De-facto-Authentifizierungsprotokoll zu ersetzen. FIDO2 speichert Anmeldeinformationen auf einem physischen Gerät. Biometrie ist trotz der Zweifel an „Einzigartigkeit, aber mangelnder Privatsphäre“ ebenfalls eine mögliche Option.
Das neue Paradigma besteht darin, nach Authentifizierungsmethoden zu suchen, die nicht
versehentlich übertragen oder leicht gestohlen werden können . Bisher haben sich solche Technologien jedoch nicht von Unternehmen entfernt
Sektoren im Mainstream. Bis dahin empfiehlt Varonis, die Richtlinien für das Ablaufen des Kennworts unverändert zu lassen und die Unannehmlichkeiten der Benutzer im Namen des Gemeinwohls als gering einzustufen.
Wie Varonis zum Schutz vor Identitätsdiebstahl beiträgt
Varonis bietet zusätzlichen Schutz, um Ihre Kennwortrichtlinien zu verbessern. Wir verfolgen Dateiaktivitäten, Ereignisse in
Active Directory ,
Umfangstelemetrie und andere Ressourcen, um ein grundlegendes Modell des Benutzerverhaltens zu erstellen. Anschließend vergleichen wir es mit dem aktuellen Verhalten basierend auf den integrierten
Bedrohungsmodellen, um festzustellen, ob das Konto kompromittiert ist.
Das Active Directory-Dashboard zeigt Konten an, bei denen das Risiko einer Gefährdung besteht, z. B. Dienstkonten mit Administratorrechten, ein Kennwort ohne Ablaufdatum oder die Nichteinhaltung der in den Richtlinien angegebenen Anforderungen. Bedrohungsmodelle decken auch verschiedene Varianten von Anmeldeanomalien auf, z. B. das Eingeben zu einer nicht standardmäßigen Tageszeit, das Eingeben über ein neues Gerät, eine potenzielle Brute-Force-Attacke oder ein Ticket Harvesting-Angriff.
Bis dahin ist es besser, die Kennwortablaufrichtlinien beizubehalten.
Und wenn Sie Varonis in Aktion sehen möchten, melden Sie sich für unsere
Live-Demonstration von Cyberangriffen an . Wir zeigen Ihnen, wie Sie einen Angriff durchführen und wie Sie solche Vorfälle anhand unserer Plattform erkennen und untersuchen.