Bedrohungsminderungstechniken

Es gibt eine Reihe von Bedrohungsminderungstechniken, die Sie verwenden können, um Kennwörter besser zu schützen. Diese Techniken werden mithilfe einer oder mehrerer der folgenden vier primären Technologien implementiert.

Technologie BESCHREIBUNG
Cryptoapi CryptoAPI bietet eine Reihe von Funktionen, die Ihnen helfen, kryptografische Routinen auf Zielentitäten anzuwenden. CryptoAPI kann Hashes, Digests, Verschlüsselung und Entschlüsselung bereitstellen, um seine primäre Funktionalität zu erwähnen. CryptoAPI verfügt auch über andere Features. Informationen zu Kryptografie und KryptoAPI finden Sie unter Kryptografie Essentials.
Zugriffssteuerungslisten Eine Zugriffssteuerungsliste (ACL ) ist eine Liste der Sicherheitsschutze, die für ein Objekt gelten. Ein Objekt kann eine Datei, ein Prozess, ein Ereignis oder etwas anderes sein, das über einen Sicherheitsdeskriptor verfügt. Weitere Informationen zu ACLs finden Sie unter Access Control Listen (ACLs).
Datenschutz-API Die Datenschutz-API (DPAPI) stellt die folgenden vier Funktionen bereit, die Sie zum Verschlüsseln und Entschlüsseln vertraulicher Daten verwenden: CryptProtectData, CryptUnprotectData, CryptProtectMemory und CryptUnprotectMemory.
Gespeicherte Benutzernamen und Kennwörter Storage Funktionalität, die die Behandlung von Kennwörtern und anderen Anmeldeinformationen ermöglicht, z. B. private Schlüssel, einfacher, konsistenter und sicherer. Weitere Informationen zu dieser Funktionalität finden Sie unter CredUIPromptForCredentials.

 

Diese Technologien sind auf allen Betriebssystemen nicht verfügbar. Daher hängt das Ausmaß, in dem die Sicherheit verbessert werden kann, davon ab, welche Betriebssysteme beteiligt sind. Hier sind die Technologien, die in jedem Betriebssystem verfügbar sind.

Betriebssystem Technologie
Windows Server 2003 und Windows XP
  • Cryptoapi
  • Zugriffssteuerungslisten
  • Datenschutz-API
  • Gespeicherte Benutzernamen und Kennwörter
Windows 2000

 

Die folgenden Bedrohungsminderungstechniken verwenden eine oder mehrere der vier Technologien. Techniken, die die Verwendung von Technologien erfordern, die nicht im Betriebssystem enthalten sind, können nicht verwendet werden.

Abrufen von Kennwörtern vom Benutzer

Wenn Sie dem Benutzer erlauben, ein Kennwort einzurichten, erzwingen Sie die Verwendung von starken Kennwörtern. Erfordern Sie beispielsweise, dass Kennwörter mindestens eine Mindestlänge wie acht Zeichen oder mehr aufweisen. Kennwörter sollten auch erforderlich sein, um Groß- und Kleinbuchstaben, Zahlen und andere Tastaturzeichen wie das Dollarzeichen ($), ausrufezeichen (!), oder größer als (>).

Nachdem Sie ein Kennwort erhalten haben, verwenden Sie es schnell (mit so wenig Code wie möglich), und löschen Sie dann alle Reste des Kennworts. Dadurch wird die Zeit minimiert, die für einen Eindringling verfügbar ist, um das Kennwort zu "fallen". Der Handel mit dieser Technik ist die Häufigkeit, mit der das Kennwort vom Benutzer abgerufen werden muss; Das Prinzip sollte jedoch überall möglich eingesetzt werden. Informationen zum ordnungsgemäßen Abrufen von Kennwörtern finden Sie unter Fragen des Benutzers für Anmeldeinformationen.

Vermeiden Sie die Bereitstellung von Optionen für die Benutzeroberfläche "Mein Kennwort merken". Häufig müssen Benutzer diese Option haben. Wenn Sie es angeben müssen, stellen Sie mindestens sicher sicher, dass das Kennwort gespeichert wird. Weitere Informationen finden Sie im Abschnitt "Kennwörter speichern" weiter unten in diesem Thema.

Einschränken des Kennworteintrags versucht. Nach einer bestimmten Anzahl von Versuchen ohne Erfolg sperren Sie den Benutzer für eine bestimmte Dauer. Optional verlängern Sie die Antwortzeit für jeden Versuch maximal. Diese Technik zielt darauf ab, einen Rateangriff zu besiegen.

Speichern von Kennwörtern

Speichern Sie keine Kennwörter im Nurtext (nicht verschlüsselt). Das Verschlüsseln von Kennwörtern erhöht die Sicherheit erheblich. Informationen zum Speichern verschlüsselter Kennwörter finden Sie unter "CryptProtectData". Informationen zum Verschlüsseln von Kennwörtern im Arbeitsspeicher finden Sie unter "CryptProtectMemory". Store Kennwörter an so wenigen Stellen wie möglich. Je mehr Orte ein Kennwort gespeichert werden, desto größer ist die Chance, dass ein Eindringling es finden kann. Speichern Sie keine Kennwörter auf einer Webseite oder in einer webbasierten Datei. Das Speichern von Kennwörtern auf einer Webseite oder in einer webbasierten Datei ermöglicht es ihnen, leicht kompromittiert zu werden.

Nachdem Sie ein Kennwort verschlüsselt und gespeichert haben, verwenden Sie sichere ACLs, um den Zugriff auf die Datei zu beschränken. Alternativ können Sie Kennwörter und Verschlüsselungsschlüssel auf Wechselgeräten speichern. Das Speichern von Kennwörtern und Verschlüsselungsschlüsseln auf einem Wechselmedium, z. B. einer Smartcard, hilft beim Erstellen eines sichereren Systems. Nachdem ein Kennwort für eine bestimmte Sitzung abgerufen wurde, kann die Karte entfernt werden, wodurch die Möglichkeit entfernt werden kann, dass ein Eindringling Zugriff darauf erhalten kann.