Microsoft: Standardkennwörter sind das Hauptproblem

Microsoft Research hat vor einigen Wochen eine lesenswerte Studie zur Kennwortsicherheit veröffentlicht, die mit einigen (teils liebgewonnenen) Mythen zum Thema aufräumt. Die Forscher haben sich dabei auf Erkenntnisse aus Microsofts Online-Umgebungen konzentriert, vorrangig auf Microsoft-Konten. Die meisten Erkenntnisse lassen sich aber durchaus verallgemeinern.

• Das wichtigste Ergebnis: Das größte Sicherheitsproblem sehen die Forscher in Standardkennwörtern. Recht eindrucksvoll belegen sie, dass schon recht simple Negativlisten von beliebten Kennwörtern das Sicherheitsniveau drastisch erhöhen können.
• Kaum ein gutes Wort lässt die Studie an den typischen Gepflogenheiten, Anwender zu sehr langen Kennwörtern oder solchen mit einer komplexen Vorgabe von Zeichen zu nötigen. Hier argumentieren sie mit den praktischen Auswirkungen, dass Anwender dadurch zu sehr leicht vorhersagbaren Ausweichmustern greifen.
• Wenig überraschend: Die Studie empfiehlt dringend, von einfacher Kennwort-Authentifizierung zu anderen Verfahren zu wechseln, insbesondere zur Multifaktor-Authentifizierung.

Hier die Zusammenfassung der Studie (der Download-Button ist oben links):

[Password Guidance – Microsoft Research]
https://www.microsoft.com/en-us/research/publication/password-guidance/

Meine Anmerkung: Ich werde seit Jahren nicht müde, Administratoren den Einsatz langer Kennwörter zu empfehlen, vorzugsweise Kennwortsätze. Die Empfehlungen der Studie scheinen hier eher das Gegenteil zu empfehlen. Trotzdem sehe ich meine Forderung damit nicht als widerlegt oder widersprochen an: Die Studie bezieht sich auf die Konfiguration und den Einsatz für “massenweise” Benutzerkonten. Administratoren arbeiten allerdings regelmäßig mit wesentlich umfangreicheren Berechtigungen und Privilegien als normale Anwender. Zudem sind Admins in aller Regel gut ausgebildet und besonders IT-affin. Von Leuten, auf diese Kombination zutrifft, werde ich auch weiter fordern, dass sie selbst für ein hohes Sicherheitsniveau ihrer Kennwörter setzen, und das geht sehr effizient mit Kennwortsätzen.

Bemerkenswert finde ich an der Studie besonders den Umstand, dass einfache Negativlisten (Blacklists) unerwünschter Kennwörter als sehr effektiv bezeichnet werden. Leider enthält Windows keinen Mechanismus, solche Listen einzubinden. Jahrelang habe ich hingegen (besonders) von Microsoft-Mitarbeitern den Einwand gehört, solche Negativlisten würden nichts bringen, und daher würde Microsoft so etwas auch nicht implementieren. Dass Microsofts eigene Forscher dem nun widersprechen, dürfte allerdings leider nicht dazu führen, dass die Windows-internen Filterfunktionen überarbeitet werden.