Kontosperrungsschwelle auf 50 definieren - Warum?

Autor: Mark Heitbrink - vom 14.08.2014 - Kategorie(n): Hintergrundwissen

Kontosperrungsschwelle auf 50 definieren, weniger verringert die Sicherheit!

Das ist jetzt etwas provokant, ich lasse mich auch auf 20 oder 30 Versuche ein, aber 3 oder 5 sind einfach falsch und zuwenig.

Seit Jahr und Tag findet man diverse Vorgaben für die Kontosperrung.
Die maximale Anzahl fehlerhaft eingegebener Kennworte beträgt bei den meisten Firmen 3 oder 5 Versuche. Im BSI Grundschutzkatalog "M 4.48 Passwortschutz unter Windows-Systemen" werden 3 vorgegeben.

Ich halte diese geringe Anzahl für total falsch. Sie schafft keinerlei Sicherheit, im Gegenteil, sie veringert die Sicherheit.

Der Microsoft Security Compliants Manager definiert in der Baseline "Win7SP1 Domain Security Compliance 1.0" als Kontosperrungsschwelle 50. Dummerweise wird dies in der "Win8 Domain Security Compliance 1.0" wieder auf 5 reduziert. Das liegt aber nicht am geänderten Sicherheitsanspruch oder an einer geänderten Technik, sondern daran, daß der Mitarbeiter, der für die Win8 Baseline zuständig war bei der Diskussion um die Win7 Baseline gefehlt/gepennt hat. Er hat den Wert einfach auf den altbekannten überall dokumentierten Wert gesetzt. (privater Kommentar)
Warum eigentlich 50 statt 5? Eine "0" anhängen ist einfacher als der Streit ob 15, 20 oder 30 besser sind.

Was will man denn überhaupt erreichen, durch eine Kontosperrungsschwelle?

Es soll ein Passwort Hack verhindert werden. Benutzer, die durch ausprobieren Kennworte herausfinden wollen oder Angriffe über ein Werkzeug, z.B.: eine Brute Force oder Dictionary Attacks sollen verhindert werden. Die Sperrung des Kontos ist ein legitimes Mittel die Anzahl der Versuche durch eine Sperrung in Kombination mit einer Zeitdauer ins Unrealistische zu treiben.

Natürlich habe ich bei 50 Versuchen mehr Chancen das Kennwort zu erraten, aber mal ehrlich, wie sicher ist ein Kennwort, das "erraten" werden kann? Das kann ich auch mit einer Kontosperrung von 2 nicht abfangen. Das Problem und die Lösung für das Problem ist nicht die Zahl der Kontosperrungsschwelle, sondern ein sicheres Kennwort.

Warum sind 5 zu wenig?

  1. Awareness
    In der Praxis interessiert es keine Sau, wenn das Konto gesperrt wird. Man ruft im Helpdesk an und die schalten das Konto wieder frei. Keine Nachfrage, keine Alarmglocken, kein Stress. Warum interessiert es keinen? Weil es zu häufig vorkommt! Urlaubsamnesie, mehrfach Anmeldungen mit verschiedensten Kennworten an Computern mit und ohne RDP Zugriffen etc. 5 Fehlversuche sind schnell passiert. Numlock oder Capslock aktiviert usw.

    Bei einer niedrigen Kontosperrungsschwelle, geht die Kontosperrung im Alltag unter. Ein echter Angriff wird nicht bemerkt. Er verliert sich in der Masse der "normalen" Kontosperrungen.

  2. Telefon
    Alle Welt hängt mittlerweile sein Smartphone an den Exchange Server. Am PC müsst ihr alle x Tage das Kennwort ändern, das wird vom System erzwungen. Das Kennwort im System wird geändert, aber am Smartphone/Telefon findet das erst viel später statt. Das Telefon sperrt den Account, weil es weiterhin mit dem alten Kennwort arbeitet.

  3. Mobbing
    Ich muss das Kennwort gar nicht "hacken" wollen, ich kann ja auch prima meinen Kollegen ärgern. Den Benutzernamen kenne ich, das Passwort ist egal. Sobald er den Platz verlässt gebe ich das Kennwort einfach 5mal falsch ein. Paff ...
    "Laut Statistik haben 7 von 8 Personen kein Problem mit Mobbing ..."

  4. DoS Attacke
    Analog zum Mobbing. Diesmal verwende ich nicht das Konto eines Benutzers, sondern benutze einen Dienstaccount (SQL, Backup etc.) oder noch schlimmer: ich verwende ALLE im AD vorhandenen Benutzeraccounts ... siehe unten.


Fazit:

  1. Awareness für den Alarmfall schaffen
    Wenn bei einer Schwelle von 50 Versuchen das Konto gesperrt wird, dann sollten jetzt alle Alarmglocken schellen. Werde ich mit einem Tool angegriffen, finden binnen Millisekunden hunderte(?) Versuche statt und nicht 5 in 15 Minuten ... Ausversehen, vertippt sich keiner 50mal. Mit der 50 schaffe ich einen Filter für die "normalen" Fehlversuche.
    Das Zauberwort lautet SIEM - Security information and event management, es muss gehandelt, wenn etwas passiert, es darf nicht sein, daß ich Sicherheit erreichen möchte, aber bei nur 3 Fehlversuchen nicht handele, weil es zu oft vorkommt. In dem Moment verringert die geringe Kontosperrungsschwelle die Sicherheit.

  2. Telefon
    Das Telefon ist immer noch ein Problem, aber bei 50 Versuchen, sollte jedem nach einem halben Tag auffallen, daß keine Emails mehr am Telefon ankommen und der Zusammenhang sollte erkannt werden ...

  3. Mobbing
    Naja, die Idioten werden andere Wege finden, aber den einen habe ich geschickt verhindert. Zum Tippen ist es zuviel, jetzt müssen sie schon scripten und dann fallen sie durch mein SIEM auf und es kann reagiert werden. Abmahnung, raus.

  4. DoS Attacke
    Dagegen hilft nur Kontosperrungsschwelle ganz abschalten. Das Administratorkonto mit der RID -500, das immer das erste PasswortHack Ziel ist, wird soweiso niemals gesperrt. Wozu also der ganze Aufwand?

 

Aprospos Scripten
... einfach mal als Benutzer das AD lahmlegen, so gehts:

DOS-Angriff für jedermann: AD-Konten sperren
http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/