Jump to content

Passwörter im Backoffice regelmäßig ändern?


Empfohlene Beiträge

Hallo zusammen,

 

aktueller Anlass: Ein Kunde schrieb mir, dass nun jedes halbe Jahr die Passwörter für Windows Admin-User für den Zugang zum Betriebssystem der SAP-Systeme geändert werden müssen. Dabei handelt es sich um von SAP vorgegebene Benutzernamen. Die User werden ausschließlich zur Administration des jeweiligen SAP-Systems auf dem jeweiligen Server genutzt. Meine bisherige Erfahrung zeigt, dass solche Passwortänderungen in der Praxis oft zu Problemen führen, da die Änderungen nicht kommuniziert werden, die Passwörter nicht sauber dokumentiert werden, usw. Ich gebe zu: Ich bin in dem Fall kein Fan von regelmäßigen Passwortänderungen.

 

Trotzdem kann ich den Kunden verstehen. Die wurden vor Kurzem durch eine Ransomware verschlüsselt und haben gelitten. Mein Eindruck ist aber, dass nun alles was unter der Flagge "Sicherheit" stattfindet umgesetzt wird und das ohne Rücksicht auf Verluste.

 

An der Stelle frage ich mich jedoch:

 

1. Wie steht ihr zu regelmäßigen PW-Änderungen im Backoffice Umfeld? Sinnvoll? Nicht sinnvoll? Ich spreche explizit nicht von Passwörtern für den normalen Windows User, sondern von Passwörtern für Admin-User wie oben beschrieben. Ich las neulich bei Heise (https://www.heise.de/news/BSI-Beirat-warnt-vor-ueberkomplexen-Passwoertern-und-staendiger-Erneuerung-7221073.html) "BSI-Beirat warnt vor überkomplexen Passwörtern und ständiger Erneuerung" und wollte dem Kunden das augenzwinkernd zuschicken. Aber dann fiel mir auf, dass sich diese Empfehlung mMn eher an normale User richtet. Wäre ich ein Admin, der diesen Artikel bekommt, würde ich antworten: "Und? Ich ändere regelmäßig die Passwörter der Back-Office Accounts und nutze einen PW-Generator. Und davon wird nun abgeraten?"

 

2. Ist es eine Illusion, dass man sich vor Ransomware-Befall schützen kann wenn man seine Passwörter regelmäßig ändert?

 

3. Kann man abschätzen, ob der Ransomware-Befall auch mit hochkomplexen Passwörtern "erfolgreich" hätte stattfinden können?

 

Viele Grüße und Danke schon mal für den Austausch!


Grüße

Samoth

Link zu diesem Kommentar
vor 12 Minuten schrieb Samoth:

Ich spreche explizit nicht von Passwörtern für den normalen Windows User, sondern von Passwörtern für Admin-User

 

Warum sollte man die unterschiedlich behandeln? So lange die Passwörter sicher sind und kein Verdacht besteht, dass ein Passwort kompromittiert wurde, braucht man es doch nicht ändern!?  

Link zu diesem Kommentar
vor 13 Minuten schrieb NorbertFe:

Was hat denn der ransomware Fall mit den adminkennworten zu tun?

 

Das weiß ich leider (noch) nicht. Habe mich mit der Thematik noch nicht befasst. Bei denen (wie bei anderen Kunden auch) wurden ebenso die SAP-Server verschlüsselt. Vermutlich ist die Denke nun, dass das durch andere Handhabung der Passwörter (wie auch immer die aussieht) das Ganze sicherer machen kann. Ich stellte der einen Security-Firma, die nach der Verschlüsselung halfen, mal die Frage, ob sicherere Passwörter (ich spreche weiterhin nur von Back-Office Passwörtern) nützlich gewesen wären. Die Antwort war "Nein."

 

Ich gehe auch davon aus, dass derartige Logins nach wenigen Anmeldefehlversuchen gesperrt werden... Thema erfolgreiches Brute Force.

 

Ach und ergänzend: Ich erkundige mich hier bei euch nach eurer Ansicht, weil mich das Thema nervt. Wir kommen von einer Gängelung in die andere. Ich gehe bei solchen Themen eigentlich gerne mit, aber ich wüsste schon gerne warum ich mich so verhalten soll :-)

bearbeitet von Samoth
Link zu diesem Kommentar

Moin,

 

der Witz an Ransomware ist, dass diese einen Großteil ihres Schadens anrichten kann, ohne dafür Adminrechte zu brauchen. Das, wo User mit ihren Rechten hinkommen, sind ja normalerweise genau die Daten, die für das Geschäft eines Unternehmens wichtig sind und die daher zur Erpressung taugen.

 

Damit Ransomware ihr Schadens- und damit Erpressungspotenzial erhöhen kann, kommt sie meist im Verbund mit anderer Schadsoftware daher, die ihrerseits durchaus Systeme auf der administrativen Ebene angreift. Dagegen können gute Adminkennwörter helfen, sie sind aber kein umfassendes Mittel. Und ein gutes Adminkennwort zeichnet sich nicht dadurch aus, dass es regelmäßig geändert wird, sondern dadurch, dass es - simpel gesprochen - lang ist.

 

Aus gutem Grund sind regelmäßige Kennwortwechsel "out". Um modernen Angriffen mit Aussicht auf Erfolg vorzubeugen, muss man allerdings eine ganze Menge anderer Dinge tun, die von vielen ebenfalls als "Gängelung" empfunden werden. Da das so ist, muss man sie dann wenigstens ordentlich umsetzen, halbherzig bringt nix.

 

Gruß, Nils

 

bearbeitet von NilsK
Grammatik ist böse
Link zu diesem Kommentar

Danke an die "üblichen Verdächtigen" :-)

 

vor 14 Minuten schrieb NilsK:

Aus gutem Grund sind regelmäßige Kennwortwechsel "out".

 

Ja, das lese ich auch bei Heise und MS. Aber wie schaut es denn im Backoffice aus? Hast du dazu was Schriftliches? Das soll keine Kritik an dir sein. Auflösung steht hier im letzten Satz ;-)

 

Es wird u. a. beschrieben, dass häufiges PW-Ändern bei den Usern dazu führt, dass diese zu einfache Passwörter nutzen bzw. Zahlen im Passwort hochzählen, usw. Da macht es für mich auch Sinn. Aber wenn der sorgsame Admin mit einem PW-Generator arbeitet und damit jedes halbe Jahr ein langes undkomplexes PW neu erzeugt, sollte doch nichts dagegen sprechen die Backoffice-Passwörter regelmäßig zu ändern? Ja, ich stelle mich gerade auf die andere Seite, weil ich diese Diskussion sicher noch öfter führen muss ;-)

Link zu diesem Kommentar

Moin,

 

es spricht überhaupt nichts dagegen, ein Kennwort zu ändern, solange man ein gutes Kennwort durch ein neues gutes ersetzt. Wenn es allerdings schon ein gutes Kennwort ist - wozu es dann ändern? Dafür gibt es aus meiner Sicht nur einen Grund: Man vermutet, dass es kompromittiert wurde. Dann nutzt ein Turnus aber nichts, sondern dann muss man es sofort machen. 

 

Ein gutes Kennwort ist dann gut, wenn es einen Brute-Force-Angriff aussichtslos macht. Die Begründung für regelmäßige Wechsel war früher mal: Man ändert das Kennwort so häufig, dass man die zeitliche Wahrscheinlichkeit, dass es geknackt wurde, unterläuft. Diese Argumentation ist aber nur valide, wenn die Kennwörter zu schlecht sind, etwa weil ein System die Kennwortlänge begrenzt.

 

Wer sein Kennwort also ändern will, kann das gerne tun, auch als Admin. Es ist aber eben unsinnig, dafür einen Turnus vorzugeben.

 

Gruß, Nils

PS. und nein, ich sehe mich da überhaupt nicht in der Pflicht, das zu belegen. Da dies keine exotische Einschätzung ist, wird man "offizielle" Belege dafür finden, wenn man welche braucht.

Link zu diesem Kommentar
vor einer Stunde schrieb Samoth:

Aber wenn der sorgsame Admin mit einem PW-Generator arbeitet und damit jedes halbe Jahr ein langes undkomplexes PW neu erzeugt, sollte doch nichts dagegen sprechen die Backoffice-Passwörter regelmäßig zu ändern?

Es spricht nichts dagegen, aber auch nichts dafür. Wenn du den Verdacht hast, dass das Passwort kompromittiert wurde, dann ist es erstens zu spät und zweitens wäre dann der Zeitpunkt es zu ändern und nicht erst wenn der Turnus rum ist. ;)

Also, wenn der Kunde es wünscht, dann mach es einfach und stelle ihm die Änderung in Rechnung. Thema erledigt.

Link zu diesem Kommentar

Der einzige Grund, der aus meiner Sicht für regelmässige Kennwortwechsel von solchen Konten spricht, ist die Routine. Ich habe schon Umgebungen gesehen, in denen man nicht gewagt hat, das Admin-Passwort zu ändern, weil dann "sicher etwas nicht mehr läuft". Bei Verdacht auf Kompromittierung muss man die Passwörter wechseln können, ohne befürchten zu müssen, dass es zu Problemen kommt. In grossen Umgebungen ist das wohl kein Thema, aber in Betrieben, in welchen nur wenige Personen zuständig sind, ist die Verlockung gross, in der Not "provisorisch" mal den Admin als Dienstkonto einzutragen und dann "später" die Berechtigungen abzuklären.

Link zu diesem Kommentar
  • 1 Jahr später...
Am 6.9.2022 um 15:29 schrieb cj_berlin:

Moin,

solange in der Umgebung NTLM und/oder RC4 in Kerberos aktiv sind, ist ein Kennwortwechsel nach wie vor das einzige wirksame Mittel gegen Pass-The-Hash (nicht zur Vorbeugung, wohlgemerkt, sondern nur zur Eingrenzung).

Das bedeutet ja, dass ich das Kennwort wöchentlich ändern sollte.
Denn mit PtH wird ja nicht das Kennwort "geklaut", sondern nur der Hash, das Kennwort ist dadurch nicht bekannt. Allerdings kann der Angreifer, sobald sein Hash nicht mehr funktioniert, einfach den neuen Hash des neuen Kennworts auf dem schon erfolgreichen Weg erneut klauen.
Dann wäre eine sehr sehr häufige Änderung die einzige wirksame Gegenmaßnahe.

Oder übersehe ich da etwas?

Link zu diesem Kommentar

Ja, das Thema ist noch aktuell und es ist grundsätzlich kein Problem, wenn eine Diskussion über mehrere Jahre laufen würde - wenn sie kontinuierlich läuft und die Beiträge nicht mit einem Abstand von 18 Monaten hereintropfen. Genau darum wurde ja dieser Banner installiert, der auch dir gezeigt wurde.

 

Ich werde diese Diskussion hier ausmahmsweise offen lassen. Bei nächster Gelegenheit bitte ein neues Thema eröffnen. Danke.

 

VG

Damian

Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...