Wie kann ich Passwörter in Active Directory „härten“?

Schwache Passwörter sind ein Problem, das nur darauf wartet, zu eskalieren – Verizon schätzt, dass 80 % der Hackerangriffe auf schwache oder gestohlene Passwörter zurückgehen. Passwörter sind die verbreitetste Methode, mit der Benutzer sich für ihre Konten und Anwendungen authentifizieren. Das macht sie zu einem offensichtlichen Angriffsweg für Angreifer. Um die Passwortsicherheit insgesamt zu verbessern, stellt sich für Unternehmen daher die Frage nach der Härtung von Passwörtern („password hardening“).

Die Idee hinter der Härtung von Active Directory-Kennwörtern ist einfach: Letztendlich geht es darum, eine Technik oder Technologie zu verwenden, die das Erraten, Hacken oder Knacken eines Kennworts erschwert. Dies wiederum erhöht die Sicherheit der Geräte, Netzwerke oder Anwendungen, die durch das Kennwort geschützt werden. Wir stellen Ihnen einige Methoden zur Erhöhung der Passwortsicherheit vor, geben ein praktisches Beispiel für eine gehärtete Active Directory-Passwortrichtlinie und zeigen Ihnen einige Tools, mit denen Sie schwache Passwörter in Ihrem Unternehmen endgültig eliminieren können.

Was versteht man unter dem Härten von Kennwörtern?

Das Härten von Kennwörtern verringert die Angriffsmöglichkeiten für das gesamte Unternehmen und verkleinert so die Angriffsfläche für Cyberkriminelle signifikant. Viele Unternehmen verlassen sich auf die Standard-Passworteinstellungen von Active Directory, die nicht unbedingt die aktuellen Empfehlungen zu Passwortrichtlinien erfüllen. Diese bestehen in der Regel aus mehr als acht Zeichen und enthalten eine Zahl, einen Großbuchstaben und ein Sonderzeichen sowie erzwungene Resets von Passwörtern in bestimmten Zeitabständen.

Ein altes Passwort ist jedoch nicht immer ein schlechtes Passwort. Und ein Kennwort mit erzwungener Zeichenvielfalt ist nicht sicher, wenn es zuvor kompromittiert wurde oder einem Muster folgt, das leicht erraten werden kann. Die mühsame Neuvergabe von Passwörtern kann auch zur Frustration der Benutzer führen, die ähnliche Passwörter wiederverwenden oder einfach Zahlen oder Symbole an das Ende der alten Passwörter anhängen.

Hier sind drei Möglichkeiten, wie Sie die Sicherheit Ihrer Passwörter wirklich erhöhen können, ohne unnötige Unannehmlichkeiten für Benutzer zu verursachen.

Drei Tipps zum Härten von Kennwörtern in Active Directory

Stärkere Passwörter erstellen

Dieser Teil der Passworthärtung scheint offensichtlich zu sein, aber erstaunlich viele Leute verwenden immer noch schwache Passwörter. Die üblichen Ratschläge von Unternehmen lauten: Fügen Sie Sonderzeichen und Großbuchstaben zu einfachen Textpasswörtern hinzu. Dank des vorhersehbaren menschlichen Verhaltens macht dies die Passwörter jedoch nicht viel schwerer zu erraten. Viele Menschen schreiben zum Beispiel einfach den ersten Buchstaben groß und fügen am Ende eine übliche Zahlen- und Symbolkombination wie 1! hinzu.

Die meisten Menschen wissen, dass ein längeres Passwort besser ist – aber sie gehen nicht weit genug. Ein längeres Passwort mit mehr als 15 oder sogar 20 oder mehr Zeichen ist schwieriger zu knacken als ein kurzes, aber komplexes Passwort. An dieser Stelle können Passphrasen helfen. Passphrasen, die aus zufälligen Wörtern bestehen, sind zwar länger, aber auch leichter zu merken als durcheinander gewürfelte Symbole und Zahlen und bieten ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit. Ein Angestellter hat zum Beispiel eine weitaus größere Chance, sich „Erneuerbare-Handschuhfach-Ausbrecher“ zu merken als „su!8fhuw#u@FqwQ“.

Richten Sie eine Multi-Faktor-Authentifizierung (MFA) ein.

Die Hinzufügung eines weiteren Faktors im Authentifizierungsprozess macht die Arbeit eines Angreifers zwar nicht unmöglich, aber doch sehr viel schwieriger. Die Anforderung eines biometrischen Faktors oder die Verwendung eines Authentifikators, der mit einem vertrauenswürdigen Gerät verknüpft ist, fügt eine weitere Sicherheitsebene hinzu, ohne dass dies für die Mitarbeiter mit zusätzlichen Schwierigkeiten verbunden ist.

Dieser Kompromiss ist lohnenswert, da er den Schaden, den ein bösartiger Akteur mit einem kompromittierten Kennwort anrichten kann, erheblich verringert und dem Unternehmen Zeit verschafft, zu reagieren und das Kennwort des Mitarbeiters auf ein neues und sicheres Kennwort zurückzusetzen. Hier finden Sie die NIST-Richtlinien für die Einrichtung von MFA.

Blockieren Sie kompromittierte Passwörter

Die beiden oben genannten Taktiken können die Passwortsicherheit in Ihrem Unternehmen erhöhen, obwohl einige Passwörter, die auf den ersten Blick sicher erscheinen, bereits kompromittiert sein können. Cyberkriminelle kaufen riesige Listen mit kompromittierten Passwörtern, da sie wissen, dass die Wahrscheinlichkeit einer Wiederverwendung hoch ist. Daher ist es wichtig, sicherzustellen, dass die Mitarbeiter diese Passwörter nicht verwenden, indem sie sie mit einer aktuellen Liste kompromittierten Passwörter abgleichen.

Woher wissen Sie also, welche Mitarbeiter überhaupt schwache, wiederverwendete oder kompromittierte Passwörter verwenden? In der Vergangenheit war es für Unternehmen schwierig, herauszufinden, ob Mitarbeiter Passwörter verwenden, die in eine Sicherheitsverletzung verwickelt waren – aber mit dem richtigen Tool ist das ganz einfach:

Beispiel für eine gehärtete Kennwortrichtlinie

Wir werden ein kurzes Beispiel für die Härtung von Kennwörtern eines einzelnen Mitarbeiters durchspielen. Beginnen wir mit dem Passwort eines imaginären Mitarbeiters, das den Standard-Passworteinstellungen von Active Directory entspricht. Sie wussten, dass sie nichts allzu Offensichtliches wie ihren Namen, ihren Firmennamen usw. verwenden sollten, und wählten daher „Florenz“, die Stadt, in der sie geheiratet haben. Die Standard-Passwortrichtlinie von Active Directory zwang den Mitarbeiter, einige Sonderzeichen hinzuzufügen, und so entschied er sich für das folgende:

Fl*rence!

Obwohl es den Standardanforderungen von Active Directory entspricht, ist es ein schlechtes Kennwort, das z.B. durch Social Engineering leicht erraten werden kann. Das andere Problem ist, dass der Mitarbeiter dieses Kennwort für alle seine Anmeldungen verwendet – auch für seine persönlichen Anwendungen und Geräte.

Das Unternehmen hat sich entschlossen, die Passwortsicherheit zu erhöhen. Die Mitarbeiter müssen nun Passphrasen mit mehr als 15 Zeichen verwenden, die für jede Anwendung einzigartig sind. Um die Benutzer zur Verwendung längerer Passphrasen zu ermutigen, kann das Unternehmen mit einem Drittanbieter-Tool für Kennwortrichtlinien ein längsbasiertes Ablaufdatum für Kennwörter einstellen. Dies bedeutet, dass ein Benutzer, der ein längeres Passwort wählt, länger damit warten kann, bevor er es ändern muss. Hier ist ein Beispiel für eine lange Passphrase, die sich der Mitarbeiter leicht merken kann:

Maurer-Laminierte-Äpfel

Es ist zwar nicht so einprägsam wie der Ort, an dem sie geheiratet haben, aber als einmaliges Passwort ist es nicht allzu schwer zu merken. Um es noch sicherer zu machen, kann die Organisation, mithilfe von Specops Password Policy, einige Zahlen und Sonderzeichen vorschreiben, die nicht aus dem 1337-Alphabet stammen, da aktuelle Tools zum knacken von Kennwörtern auch diese Varianten miteinbeziehen.

Ma%urer-Laminierte-8pfel

Beseitigen Sie unsichere Passwörter in Ihrem Active Directory

Passwortsicherheit ist zu wichtig, um sie dem Schicksal zu überlassen. Es ist auch nicht fair, diese Verantwortung vollständig auf die Mitarbeiter abzuwälzen. Mit den richtigen Tools können Sie schwache Passwörter vollständig aus Ihrem Unternehmen entfernen und die Benutzerfreundlichkeit verbessern. Mit den richtigen Tools können Sie schwache Passwörter vollständig aus Ihrem Unternehmen entfernen und die Benutzerfreundlichkeit verbessern und weniger Zeit für Helpdesk-Tickets und manuelle Rücksetzungen aufwenden.

Specops Password Policy kann schnell und einfach eine starke und transparente Kennwortrichtlinie für Ihr gesamtes Unternehmen umsetzen, die den aktuellen Empfehlungen von BSI, DSGVO, NIST und vielen weiteren Vorgaben entspricht. Es lässt sich nahtlos in Ihr Active Directory integrieren und gibt Ihrem IT-Team volle Kontrolle über die Kennwortrichtlinien auf Gruppenebene. Darüber hinaus prüft die Breached-Password-Protection alle Passwörter mit einer ständig aktualisierten Datenbank auf kompromittierte Passwörter.

Interessiert? Fordern Sie Ihre kostenlose Specops Password Policy Testversion an.