Zurücksetzen von Passwörtern Damit der Passwort-Reset nicht zur Hintertür ins Netzwerk wird

|

Wenn Nutzer eines ihrer Passwörter vergessen haben, melden sie sich bei der IT-Administration, oder sie können es selbst zurücksetzen. Wenn aber das Verfahren für den Passwort-Reset nicht richtig umgesetzt wird, öffnen sich Angriffsmöglichkeiten für Cyberkriminelle. Die Aufsichtsbehörden für den Datenschutz geben Tipps, worauf man achten soll.

Gesponsert von

(Bild: istock @ stuartmiles99)

Passwort-Probleme, auch gerade im Home-Office

Wer kennt es nicht? Das Passwort für einen selten genutzten Dienst will einem nicht einfallen. Nach einigen erfolglosen Versuchen, sich dort anzumelden, wird klar, man muss das Passwort zurücksetzen.

Das Vergessen von Passwörtern ist ein Problem, mit dem sich IT-Nutzer und IT-Administratoren seit Anbeginn der IT-Sicherheit befassen müssen, denn wir Menschen sind vergesslich, gerade dann, wenn man wie meist gefordert für jeden Dienst ein eigenes Passwort wählen soll und die Passwörter komplex sein sollen.

Das Notieren von Passwörtern und das Speichern in einer ungeschützten Passwortliste sind keine Lösung gegen das Vergessen, im Gegenteil, sie bedeuten ein hohes Risiko für die Passwortsicherheit.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt: „Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben.“

Deshalb sind Verfahren wichtig, was Nutzer tun sollen, wenn sie wieder einmal ein Passwort vergessen haben, also ein Verfahren für das Zurücksetzen und die Neuvergabe eines Passwortes.

Leider kommt es sehr oft dazu, dass Passwörter zurückgesetzt werden müssen, so dass die IT-Administration oder der Help-Desk im Unternehmen damit einen Großteil der Arbeitszeit verbringt. Um den IT-Support zu entlasten, nutzen viele Unternehmen inzwischen einen Self-Service für das Zurücksetzen.

Gerade in Zeiten von Home-Office und Remote Work sind solche Verfahren gleich mehrfach ein Vorteil, wenn sie denn richtig umgesetzt werden. So werden die Mitarbeiterinnen und Mitarbeiter im Help-Desk entlastet und die Beschäftigten im Home-Office müssen nicht darauf warten, bis ihnen geholfen werden kann, was die Produktivität senken würde.

Es gibt also gute Gründe, sich mit den Verfahren für Passwort-Resets zu befassen.

Zurücksetzen als mögliche Angriffsmethode

Leider werden bei den Self-Service-Verfahren für das Zurücksetzen von Kennwörtern viele Fehler gemacht. So sind die Sicherheitsfragen, die zur Prüfung der Nutzeridentität bei dem Passwort-Reset genutzt werden, oftmals zu einfach und können in Zeiten von Social Media auch von Dritten leicht beantwortet werden.

Ohne sichere Kontrolle der Nutzeridentität jedoch können Hacker die Verfahren zum Zurücksetzen der Passwörter missbrauchen und sich selbst ein Passwort vergeben, um dann in die Systeme einzudringen.

Datenschützer wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg empfehlen deshalb sogar: „Viele Dienste fragen Sie für Sicherheitsfragen nach persönlichen Informationen, wie dem Name Ihres ersten Haustieres, dem Geburtsdatum der Mutter oder ähnlichem. Die korrekten Antworten auf solche Fragen sind für Angreifer aus Ihrem Umfeld oder insbesondere bei Personen des öffentlichen Lebens oftmals leicht herauszufinden. Zwingt Sie ein Dienst, solche Sicherheitsfragen zu verwenden: Lügen Sie! Es bietet sich an, wie bei Passwörtern zufällige Angaben zu machen und diese im Passwort-Safe zu speichern.“

Datenschützer fordern bessere Verfahren für Passwort-Resets

Das Zurücksetzen von Passwörtern kann zu einem Sicherheitsleck werden und Datenpannen nach sich ziehen, wenn das Verfahren nicht richtig umgesetzt wird. Deshalb haben die Aufsichtsbehörden für den Datenschutz Empfehlungen erstellt, wie der Reset von Passwörtern umgesetzt werden sollte:

  • Es sind Passwort-Reset-Verfahren anzubieten, die gegen unbefugte Zugriffsversuche und Social Engineering resistent sind. Verfahren, die ein neues Passwort per E-Mail versenden, sind ungeeignet. Stand der Technik sind Passwort-Reset-Links, bei denen der Link nur ein einziges Mal funktioniert und nur eine kurze Gültigkeitsdauer (max. 1 Stunde) besitzt. Insbesondere für ein Recovery von E-Mail-Konten muss ein zweiter Kanal verwendet werden.
  • Zusätzliche Sicherheitsfragen beim Anstoßen eines Passwort-Reset-Verfahrens bieten eine größere Sicherheit als ein Versand eines Passwort-Reset-Links ohne weitere Authentisierung, können aber einen zweiten sicheren Kanal nicht ersetzten. Wenn Sicherheitsfragen zum Einsatz kommen, sollten mehrere Fragen eingesetzt werden und neben vorgegebene Fragen auch nutzergenerierte Fragen möglich sein. Fehleingaben bei Sicherheitsfragen müssen wie Fehleingaben von Passwörtern zumindest zu temporären Sperrungen führen.

Die Lösung Specops uReset

Die Lösung Specops uReset von Specops Software ermöglicht es Remote-Benutzern, ihre Passwörter zurückzusetzen, ohne den Helpdesk anrufen zu müssen. uReset aktualisiert nicht nur das Passwort in Active Directory, sondern auch in den lokal zwischengespeicherten Anmeldeinformationen (cached credentials) des Computers und verhindert damit das Sperren des Kontos. Das Zurücksetzen des Kennworts erfolgt direkt vom Windows-Anmeldebildschirm aus.

Benutzer können ihr Passwort auch via Browser, Handy oder direkt vom Windows-Login Screen aus zurücksetzen, auch ohne mit dem Unternehmensnetzwerk verbunden zu sein. Specops uReset gewährleistet durch Sicherheitsfeatures wie Multifaktor–Authentifizierung und Geo–Blocking einen hohen Sicherheitslevel für die Prüfung der Nutzeridentität. So lässt sich zum Beispiel das Zurücksetzen von Passwörtern verhindern, wenn dies von an einem Ort aus geschehen soll, an dem sich der Nutzer nicht aufhalten würde.

Bei der Prüfung der Nutzeridentität verlässt sich Specops uReset nicht auf einfache Sicherheitsfragen. Specops uReset ermöglicht es Benutzern, ihre Identität mithilfe einer Vielzahl von Identitätsanbietern einschließlich Duo Security, Okta Verify, MS Authenticator oder einer biometrischen Option, zu verifizieren. Die Verwendung von mehreren Identitätsdiensten ermöglicht, dass Benutzer die Aufgabe der Passwort-Rücksetzung abschließen können, selbst wenn ein Identitätsdienst nicht verfügbar ist.

Wenn ein Benutzer beispielsweise sein mobiles Gerät nicht zur Hand hat und damit die Authentifizierung über biometrische Merkmale nicht möglich ist, kann er seinen Vorgesetzten bitten, sich über Manager Identifikation verifizieren zu lassen.

Statistiken und Audit-Berichte stehen der IT-Administration zur Verfügung, um die Nutzung und Systemmeldungen nachzuverfolgen. Zudem ist die Nutzerschnittstelle in verschiedenen Sprachen verfügbar wie Deutsch, Französisch und Spanisch, der Nutzerdialog kann angepasst werden, sodass Unternehmen auch ihr Corporate Design verwenden können. Nicht zuletzt unterstützt Specops uReset Google re-CAPTCHA, um das Abgreifen von Nutzernamen zu verhindern.

Sorgen Sie für mehr Sicherheit bei dem Zurücksetzen von Passwörtern. Kontaktieren Sie Specops Software für weitere Informationen zu uReset zum sicheren Zurücksetzen von Passwörtern und fordern Sie eine kostenlose Testversion an.

Anfragen zum Zurücksetzen des Passwortes stellen den Helpdesk vor eine große Herausforderung, nicht nur wegen der hohen Aufwände, sondern auch im Bereich Sicherheit. Es gilt legitime Anfragen von denen von Cyberkriminellen zu unterscheiden. Social Engineering Angriffe auf den Helpdesk stellen eine große Gefahr dar.

Specops Secure Service Desk ermöglicht es Organisationen, eine sichere Benutzerverifizierung durch den Service Desk Mitarbeiter zu gewährleisten. Dies wird in dem nächsten Teil dieser Serie näher betrachtet. Wer jetzt schon schauen möchte, findet die Lösung hier:

Specops Secure Service Desk

(ID:47413417)