Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Verwalten von Kennwörtern 49
beliebig aus allen Feldern Ihrer Tastatur auswählen dürfen (inklusive Leertaste). Und Sie
wissen aus dem letzten Abschnitt auch, dass ein Kennwort umso stärker ist, je länger es ist.
Eine Passphrase zu verwenden, ist die perfekte Methode, Ihr Kennwort länger zu machen.
Passphrasen sind lang und daher sicher. Sie sind einfacher einzutippen und auswendig zu
lernen als seltsame, weil sichere Kennwörter, zum Beispiel »hG%'3m.^«. Einfach ausgedrückt:
Passphrasen passen zur Denkweise von Menschen. Menschen fassen ihre Gedanken
in Wörter. Ich habe siebenjährige Kinder erlebt, die kein Problem mit Passphrasen hatten.
Außerdem ist ein Satz wie der mit dem Milchkaffee viel, viel länger und um Größenordnungen
sicherer als das seltsame, starke Kennwort. Wenn wir pessimistisch davon ausgehen,
dass der Angreifer weiß, dass wir Passphrasen verwenden, dass diese Passphrase sieben
Wörter lang ist und dass er sogar ein Wörterbuch hat, aus dem alle Wörter ausgewählt wurden,
dauert es wahrscheinlich trotzdem Millionen von Jahren, die Passphrase zu erraten.
Und das gilt sogar für den Fall, dass der Angreifer ein Angriffstool verwendet, das komplette
Wörter durchwechselt statt einzelner Zeichen. Der Satz von Möglichkeiten ist viele Male
größer als der Satz der Zeichen auf einer Tastatur. Falls Sie die Stärke noch ein wenig
verbessern wollen, können Sie irgendwo eine der üblichen Ersetzungen verwenden. Tauschen
Sie zum Beispiel ein »a« gegen ein »@« aus, ein »l« (Kleinbuchstabe L) durch eine
»1« (Zahl 1), ein »e« durch eine »3« oder ein »o« durch eine »0«. In unserem 8 Zeichen
langen Kennwort können wir von Glück reden, wenn wir eine dieser Ersetzungsmöglichkeiten
haben und die Zahl der Möglichkeiten gerade einmal verdoppeln können. Im Fall der
Passphrase erhalten wir schon 11 mögliche Ersetzungen, selbst wenn wir uns auf die 4 genannten
Beispiele beschränken. Der Suchraum vergrößert sich dadurch um den Faktor
2.048! Passphrasen sind als Authentifizierer enorm wirksam.
Festlegen von Kennwortrichtlinien
Schließlich sollten Sie natürlich Kennwortrichtlinien haben. Sie brauchen sowohl schriftlich
festgehaltene Unternehmensrichtlinien als auch technisch erzwungene Richtlinien. Eine
ausführliche Behandlung der schriftlichen Richtlinien würde den Umfang dieses Buchs
sprengen. Die Richtlinien sollten aber realistisch sein, anders ausgedrückt: Verbieten Sie es
nicht, Kennwörter aufzuschreiben. Sie sollten auch einen Leitfaden zur Verfügung stellen,
in dem die Benutzer erklärt bekommen, wie sie Kennwörter auswählen sollten.
Technische Richtlinien sollten domänenweit erzwungen werden, aber auch auf Mitgliedscomputern,
falls Sie lokale Konten auf Mitgliedscomputern verwenden. Sie sollten komplexe
und lange Kennwörter (mindestens 10 Zeichen sind sehr empfehlenswert, wenn Sie
bedenken, dass es eine Weile dauern dürfte, bis alle Benutzer gute Kennwörter wählen) erzwingen,
die regelmäßig geändert werden müssen. Entwickeln Sie aber eine sinnvolle Kombination
dieser Richtlinien. Falls Sie 10 Zeichen lange Kennwörter fordern, gibt es nichts
dagegen einzuwenden, sie 6 Monate oder 1 Jahr lang zu behalten. 8 Zeichen lange Kennwörter
sollten Sie alle 3 bis 6 Monate wechseln. Wenn die Kennwörter kürzer als 8 Zeichen
sind, ist es wahrscheinlich sinnvoll, sie monatlich zu ändern.
Richtlinien können mit Gruppenrichtlinien verwaltet werden. Abbildung 2.14 zeigt die entsprechenden
Einstellungen im Gruppenrichtlinienverwaltungs-Editor.
Kennwortrichtlinien, die auf eine Domäne angewendet werden, gelten für Domänenkonten.
Kennwortrichtlinien, die auf eine Organisationseinheit angewendet werden, gelten für lokale
Konten auf allen Mitgliedscomputern in dieser Organisationseinheit.