Passwortsicherheit in Active Directory[Gesponsert]

Schluss mit der Verwendung kompromittierter Passwörter

| Autor: Oliver Schonschek

Die Verwendung bereits kompromittierter Passwörter stellt ein hohes Risiko dar und muss verhindert werden.
Die Verwendung bereits kompromittierter Passwörter stellt ein hohes Risiko dar und muss verhindert werden. (Bild: maxkabakov – iStock.com)

Bereitgestellt von

Viele Internetnutzer verwenden ein und dasselbe Passwort für mehrere Accounts. Werden die Passwörter bei einem Online-Dienst gestohlen, sind viele weitere Zugänge des Nutzers bedroht. Davon kann auch das Active Directory (AD) im Unternehmen betroffen sein. Erfahren Sie, wie Sie die gefährliche Nutzung kompromittierter Passwörter im AD verhindern können.

Bequemlichkeit gefährdet die Sicherheit

Wenn es um Passwörter geht, setzen viele Internetnutzer in Deutschland eher auf Bequemlichkeit als auf Sicherheit. Mehr als jeder dritte Online-Nutzer (36 Prozent) verwendet für mehrere Online-Dienste das gleiche Passwort, so das Ergebnis einer repräsentativen Umfrage des Digitalverbands Bitkom. Dabei dürfte die Dunkelziffer der Nutzer, die die Passwortsicherheit gefährden, weitaus höher liegen.

„Ein einziges Passwort für mehrere Online-Dienste ist ein großes Sicherheitsrisiko“, sagt Teresa Ritter, Bitkom-Expertin für IT-Sicherheit. „Wenn ein solches Universalpasswort einmal geknackt ist, können Cyberkriminelle gleich mehrere digitale Identitäten von Nutzern übernehmen.“

Leider passiert genau das: Große Mengen an Passwörtern werden bei Online-Diensten gestohlen, fast täglich wird ein neues Datenleck bekannt, durch das Passwörter Dritten zugänglich werden. So gab es zum Beispiel Ende Februar 2020 bei AnimeGame einen Vorfall, bei dem E-Mail-Adressen und Passwörter erbeutet wurden. Betroffen waren fast 1,5 Millionen Benutzerkonten.

Wenn die betroffenen Nutzer die gestohlenen Passwörter auch für weitere Dienste und sogar im AD verwendet haben, sind auch diese Zugänge in Gefahr. Das gilt für jedes Datenleck, bei dem Passwörter betroffen sind.

Schwache Passwörter vermeiden – so gehts

Aufsichtsbehörden warnen vor kompromittierten Passwörtern

Schon seit vielen Jahren werden immer wieder „gestohlene“ Zugangsdaten für Accounts veröffentlicht oder verkauft. In vielen Fällen wird das durch nicht ausreichend sichere Passwörter erleichtert, warnte zum Beispiel der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri.

„Stellen Sie sich doch mal ganz konkret vor, was es für Sie persönlich bedeuten würde, wenn Ihre Daten wegen unsicherer, leicht zu knackender Passwörter in fremde Hände fallen“, so Petri. „In der Folge können auch sensible Daten betroffen sein, wie beispielsweise Bankverbindungsdaten oder private Chat-Inhalte.“

Die Authentifizierung mittels Nutzername und Passwort sowohl bei Geräten als auch Diensten stellt eine technische und organisatorische Maßnahme nach Artikel 32 Datenschutz-Grundverordnung (DSGVO) dar, erklärt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Eine sichere Authentifizierung der Nutzer ist ein Baustein, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste auf Dauer sicherzustellen. Setzen Verantwortliche unzureichende technische und organisatorische Maßnahmen um, können Bußgelder durch die zuständige Aufsichtsbehörde für den Datenschutz drohen.

Specops Password Policy bietet mit Blacklist Express und Blacklist Complete mächtige Funktionen, um kompromittierte Passwörter aus AD zu verbannen.
Specops Password Policy bietet mit Blacklist Express und Blacklist Complete mächtige Funktionen, um kompromittierte Passwörter aus AD zu verbannen. (Bild: Specops Software)

Gestohlene Passwörter lassen sich erkennen und blockieren

Viele der jüngsten Datenschutzverletzungen sind die Folge kompromittierter Kennwörter. Leider hindern die integrierten Active Directory-Richtlinien Benutzer nicht daran, schlechte Kennwortentscheidungen zu treffen.

Mit der Lösung Specops Password Policy werden dagegen während einer Kennwortänderung in Active Directory alle kompromittierten Kennwörter bei der Kennwortprüfung zurückgewiesen. Das Active Directory Password Blacklisting Tool bietet über die Cloud den Zugang zu einer zentralen Liste kompromittierter Passwörter, die Specops immer auf dem neusten Stand hält und von der auch eine Offline-Variante verfügbar ist.

Mit Blacklist Complete können die Passwörter der Nutzer online gegen eine Liste von 2 Milliarden kompromittierter Passwörter validiert werden. Mithilfe von Blacklist Express ist es zudem möglich, nach dem Herunterladen der Blacklist offline gegen eine Liste von 1 Milliarde kompromittierter Kennwörter zu validieren.

Blacklist Express kann es verhindern, dass ein Nutzer sein Passwort in ein kompromittiertes Passwort ändert. Bei dem nächsten Versuch, sich anzumelden, wird der Nutzer dazu gezwungen, ein anderes, nicht kompromittiertes Passwort zu wählen. Zusätzlich kann Blacklist Complete den Benutzer per E-Mail oder SMS über die notwendige Änderung des Passwortes benachrichtigen. So werden kompromittierte Passwörter aus dem AD verbannt.

Wie die Specops Password Blacklist arbeitet, kann man sich auch als Video ansehen. Specops Password Policy kann kostenlos getestet werden.

Der Specops Password Auditor prüft die Passwortsicherheit in Active Directory und weist auch auf kompromittierte Kennwörter hin, die verwendet werden und ersetzt werden müssen.
Der Specops Password Auditor prüft die Passwortsicherheit in Active Directory und weist auch auf kompromittierte Kennwörter hin, die verwendet werden und ersetzt werden müssen. (Bild: Specops Software)

Wie es um das AD im eigenen Unternehmen steht

Wer die Passwortsicherheit im eigenen AD hinterfragen will, kann dies ebenfalls kostenlos testen. Der Specops Password Auditor erkennt Sicherheitslücken, die speziell mit den Passworteinstellungen zusammenhängen.

Die Evaluierung der Passwörter benötigt dabei keine Internetverbindung, nachdem die Blacklist-Datenbank heruntergeladen wurde.

Durch das Scannen des Active Directory sammelt und zeigt das Tool mehrere interaktive Berichte mit Benutzer- und Kennwortrichtlinieninformationen an. Der Bericht "Passwörter auf der schwarzen Liste" findet Benutzerkonten mit Passwörtern, von denen bekannt ist, dass sie kompromittiert sind. Specops Password Auditor ermöglicht es dadurch, die Wirksamkeit der Richtlinien gegen einen Angriff mit kompromittierten Passwörtern zu messen.

Zum kostenlosen AD-Überwachungstool

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46463605 / Passwort-Management)