Techniken zur Bedrohungsminderung
Es gibt eine Reihe von Techniken zur Bedrohungsminderung, die Sie verwenden können, um Kennwörter besser zu schützen. Diese Techniken werden mithilfe einer oder mehrere der folgenden vier primären Technologien implementiert.
| Technologie | BESCHREIBUNG |
|---|---|
| Cryptoapi | CryptoAPI bietet eine Reihe von Funktionen, mit denen Sie kryptografische Routinen auf Zielentitäten anwenden können. CryptoAPI kann Hashes, Digests, Verschlüsselung und Entschlüsselung bereitstellen, um seine primäre Funktionalität zu erwähnen. CryptoAPI verfügt auch über weitere Features. Weitere Informationen zur Kryptografie und cryptoapi finden Sie unter Cryptography Essentials. |
| Zugriffssteuerungslisten | Eine Zugriffssteuerungsliste (Access Control List, ACL) ist eine Liste von Sicherheitsschutz, die für ein Objekt gilt. Ein Objekt kann eine Datei, ein Prozess, ein Ereignis oder ein anderes Objekt sein, das über einen Sicherheitsdeskriptor verfügt. Weitere Informationen zu ACLs finden Sie unter Access Control Listen (ACLs). |
| Datenschutz-API | Die Datenschutz-API (DPAPI) bietet die folgenden vier Funktionen, die Sie zum Verschlüsseln und Entschlüsseln vertraulicher Daten verwenden: CryptProtectData, CryptUnprotectData, CryptProtectMemoryund CryptUnprotectMemory. |
| Gespeicherte Benutzernamen und Kennwörter | Storage Funktionalität, die die Behandlung von Kennwörtern und anderen Anmeldeinformationen von Benutzern, z. B. private Schlüssel, vereinfacht, konsistenter und sicherer macht. Weitere Informationen zu dieser Funktionalität finden Sie unter CredUIPromptForCredentials. |
Diese Technologien sind nicht auf allen Betriebssystemen verfügbar. Daher hängt das Ausmaß, in dem die Sicherheit verbessert werden kann, davon ab, welche Betriebssysteme beteiligt sind. Hier sind die Technologien, die in den einzelnen Betriebssystemen verfügbar sind.
| Betriebssystem | Technologie |
|---|---|
| Windows Server 2003 und Windows XP |
|
| Windows 2000 |
|
Die folgenden Techniken zur Bedrohungsminderung verwenden eine oder mehrere der vier Technologien. Techniken, die die Verwendung von Technologien erfordern, die nicht im Betriebssystem enthalten sind, können nicht verwendet werden.
Abrufen von Kennwörtern vom Benutzer
Wenn Sie dem Benutzer die Einrichtung eines Kennworts erlauben, erzwingen Sie die Verwendung von sicheren Kennwörtern. Fordern Sie beispielsweise an, dass Kennwörter mindestens acht Zeichen lang sein müssen. Kennwörter sollten auch Groß- und Kleinbuchstaben, Zahlen und andere Tastaturzeichen enthalten, z. B. das Dollarzeichen ($), das Ausrufezeichen (!) oder größer als (>).
Nachdem Sie ein Kennwort erhalten haben, verwenden Sie es schnell (mit möglichst wenig Code), und löschen Sie dann alle Reste des Kennworts. Dadurch wird die Zeit minimiert, die einem Eindringling zum "Abfangen" des Kennworts zur Verfügung steht. Der Abkniff bei dieser Technik ist die Häufigkeit, mit der das Kennwort vom Benutzer abgerufen werden muss. das Prinzip sollte jedoch nach Möglichkeit verwendet werden. Informationen zum ordnungsgemäßen Erhalten von Kennwörtern finden Sie unter Fragen des Benutzers nach Anmeldeinformationen.
Vermeiden Sie die Angabe von Benutzeroberflächenoptionen zum Speichern meines Kennworts. Benutzer fordern häufig, diese Option zu verwenden. Wenn Sie es angeben müssen, stellen Sie mindestens sicher, dass das Kennwort auf sichere Weise gespeichert wird. Weitere Informationen finden Sie im Abschnitt Speichern von Kennwörtern weiter unten in diesem Thema.
Beschränken von Kennworteingabe-Versuchen. Sperren Sie den Benutzer nach einer bestimmten Anzahl von Versuchen ohne Erfolg für einen bestimmten Zeitraum. Optional können Sie die Antwortzeit für jeden Versuch um ein Maximum hinaus längen. Diese Technik zielt darauf ab, einen erratenen Angriff zu verdringen.
Speichern von Kennwörtern
Speichern Sie Kennwörter niemals im Klartext (unverschlüsselt). Die Verschlüsselung von Kennwörtern erhöht die Sicherheit erheblich. Informationen zum Speichern verschlüsselter Kennwörter finden Sie unter CryptProtectData. Informationen zum Verschlüsseln von Kennwörtern im Arbeitsspeicher finden Sie unter CryptProtectMemory. Store Kennwörter an so wenigen Stellen wie möglich. Je mehr Stellen ein Kennwort gespeichert wird, desto größer ist die Wahrscheinlichkeit, dass ein Eindringling es findet. Speichern Sie Kennwörter niemals auf einer Webseite oder in einer webbasierten Datei. Durch das Speichern von Kennwörtern auf einer Webseite oder in einer webbasierten Datei können sie leicht kompromittiert werden.
Nachdem Sie ein Kennwort verschlüsselt und gespeichert haben, verwenden Sie sichere ACLs, um den Zugriff auf die Datei zu beschränken. Alternativ können Sie Kennwörter und Verschlüsselungsschlüssel auf Wechselmedien speichern. Das Speichern von Kennwörtern und Verschlüsselungsschlüsseln auf einem Wechselmedium, z. B. einer Smartcard, trägt dazu bei, ein sichereres System zu schaffen. Nachdem ein Kennwort für eine bestimmte Sitzung abgerufen wurde, kann die Karte entfernt werden, wodurch die Möglichkeit beseitigt wird, dass ein Eindringling Darauf zugreifen kann.