Im ersten Teil dieses Kennwort-Ratgebers steht die Frage im Vordergrund, was IT-Administratoren und andere Fachleute über Passwörter und deren Mindestanforderungen für eine bestmögliche Sicherheit wissen sollten. Der zweite Beitrag zeigt, warum es auf möglichst sichere Kennwörter ankommt und was Unternehmen dafür tun können. Im heutigen dritten Teil dieser Passwort-Trilogie stehen diverse Tools im Vordergrund, mit denen sich netzwerkbasierte Kennwörter verwalten lassen, speziell in Active Directory-Umgebungen.
Kompromittierte Kennwörter sind ein ernstzunehmendes Problem
Im Grunde läuft das Hase-und-Igel-Spiel seit Jahren wie folgt ab: Anwender:innen vergeben ein Kennwort, das im „worst case“ nicht den Mindestanforderungen entspricht. Da sich dieses Passwort in „schlechter Gesellschaft“ befindet, spricht es tausend- oder millionenfach von anderen Usern genutzt wird, stellt es ein echtes Risiko dar. Hinzu kommen kompromittierte Kennwörter, die sich in öffentlich zugänglichen Datenbanken befinden, auf die Hacker Zugriff haben. Auch das ist eine echte Gefahr hinsichtlich der Integrität einer IT-Infrastruktur.
Daraus ergibt sich eine ernstzunehmende Handlungsempfehlung: Die in Unternehmen genutzten Kennwörter sollten (a) möglichst zentral verwaltet werden und (b) regelmäßig auf mögliche Schwachstellen hin untersucht werden. Hierfür gibt es die passenden Tools und Strategien, von denen in diesem Beitrag die Rede sein soll.
Der Kreislauf der regelmäßigen Kennwortüberprüfung
Für ein Höchstmaß an Kennwortsicherheit sind regelmäßige Überprüfungen der Kennwörter erforderlich, die sich in einem Unternehmen befinden, wie die Grafik anschaulich zeigt. Hierfür ist vor allem eine zentral verwaltete Datenbank essentiell, in denen sich sämtliche Kennwörter (verschlüsselt, versteht sich) befinden. Diese wird regelmäßig auf bekannte kompromittierte Passwörter hin untersucht, woraus sich erforderliche Aktionen wie das Zurücksetzen und Erneuern der identifizierten Kennwörter ergeben. Nur so lässt sich ein Höchstmaß an Sicherheit erreichen. Dies gelingt mit den folgenden Specops-Softwarewerkzeugen.
Specops Password Policy
Mit dem Specops-Tool „Password Policy“ lässt sich die Kennwortsicherheit in einem ersten Schritt innerhalb einer Active Directory-Umgebung deutlich verbessern. Die Idee dahinter: Es werden starke Kennwörter „erzwungen“ und gleichzeitig im Hintergrund darauf geachtet, dass keine kompromittierten Passwörter verwendet werden. Zudem kommen Gruppenrichtlinien zum Einsatz, was individuelle Kennwort-Policies ermöglicht.
Specops uReset
Das Specops-Werkzeug uReset kommt immer dann zum Einsatz, wenn Anwender:innen ihr Active Directory-Kennwort zurücksetzen wollen – oder gar müssen, weil ihr aktuelles als kompromittiert eingestuft wurde. Damit erreicht man zum einen die Vergabe eines neuen, sicheren Passworts, zum anderen wird das zuständige Helpdesk entlastet. Obendrein sorgt man damit für weitere, integrierte Sicherheitsfeatures wie eine gewichtete Multifaktor-Authentifizierung und ein sicheres Netzwerk- und Geo-Blocking.
Specops Secure Service Desk
Social Engineering ist die „Königsdisziplin“ von Cyberakteuren, womit auch Mitarbeiter:innen von Helpdesks ausgetrickst werden können. Da ruft ein vermeintlicher Anwender der Firma mit der Bitte an, sein Kennwort zurücksetzen zu dürfen. Aber ist er hierzu überhaupt berechtigt? Und wie lässt sich das telefonisch überprüfen?
An dieser Stelle kommt das Specops-Tool Secure Service Desk ins Spiel. Damit lässt sich die wahre Identität eines Anwenders mithilfe geeigneter Maßnahmen relativ einfach überprüfen. So kann z. B. computergesteuert ein Sicherheitscode an die hinterlegte Handynummer des Users versandt werden, mit dessen Hilfe er oder sie sich dann verifiziert. In einem zweiten Schritt kann Specops uReset für die Vergabe eines neuen, sicheren Kennworts genutzt werden.
Specops Passwort-Auditor
Ein weiteres Tool in diesem Kontext nennt sich Specops Password Auditor. Damit lassen sich ungeschützte Anwenderkonten sowie bekannte kompromittierte Kennwörter identifizieren. Aber auch doppelte Passwörter können auf diesem Weg erkannt
werden. Zudem können mit dem Werkzeug Benutzerkonten aufgespürt werden, die den Kennwortrichtlinien nicht entsprechen und somit ein hohes Sicherheitsrisiko darstellen.
Mit den richtigen Tools die Kennwortsicherheit im AD erhöhen
Mit diesen und weiteren Tools wie einen Kennwort-Manager lassen sich AD-Passwörter relativ einfach verwalten und gegen mögliche Risiken absichern. Dazu gehören das Erkennen von kompromittierten Kennwörtern genauso wie das einfache Zurücksetzen und die Neuvergabe von Passwörtern. Und das Schönste daran: Bekannte Tools wie Okta Verify, Symantec VIP und Duo Security lassen sich mit den Specops-Werkzeugen in geeigneter Art und Weise kombinieren.
Disclaimer: Dieser Blogpost ist im Auftrag des Sicherheitsanbieters Outpost24 entstanden. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.