Flexible Security for Your Peace of Mind

Besser als Entra ID allein: Vorteile von Third-Party Self-Service Password Resets

Neuer Name, aber sonst bleibt alles beim Alten: Microsoft hat seine Plattform Azure AD für cloudbasiertes Identitäts- und Zugriffsmanagement in Entra ID umbenannt. Es wird damit auch auf den ersten Blick sichtbar zu einem Teil der Entra-Produktfamilie. An den Funktionen ändert sich damit allerdings nichts: Immer noch ist Entra ID zwar ein mächtiges und umfangreiches Werkzeug, hat im Bereich Passwortsicherheit aber deutliche Schwächen.

Da Passwörter immer noch eine solch wichtige Rolle in der Security spielen, könnte man annehmen, dass ihre Verwaltung inzwischen weitgehend optimiert wurde – in Bezug auf Aufwand, aber auch auf Sicherheit. Aber das ist leider noch längst nicht überall der Fall. Noch immer sind in Passwortprozesse zu viele Menschen involviert, und die sind nicht nur ein Kostenfaktor, sondern auch die größte Schwachstelle für beim Schutz wissensbasierter Authentifizierung. Und gleichzeitig werden Mitarbeiter bei der Passwortnutzung noch zu oft allein gelassen.

Die gute Nachricht: Hier lässt sich durch Einbindung von dedizierten Lösungen leicht nachbessern. So können etwa die Schwächen von Entra ID bei den Authentifizierungsmethoden beim Reset durch ein hybrides Setup mit Specops uReset kompensiert werden, welches eine sichere und bequeme Self-Service-Lösung nachrüstet, um Passwörter sicher zurückzusetzen.

Self-Service Password Reset: Passwörter sicher zurücksetzen

Warum überhaupt eine Lösung zum Self-Service Password Reset? Die herkömmliche Alternative besteht darin, Passwörter von Hand durch den IT-Helpdesk zurücksetzen zu lassen. Das macht allerdings Arbeit und ist auch nicht sicher. Eine Self-Service-Lösung hat im Vergleich dazu mehrere substanzielle Vorteile:

  • Personelle Ressourcen im Helpdesk werden entlastet. Für die vorhandenen Mitarbeitenden wird die Arbeit angenehmer, da weniger Anfragen anfallen, die gleichzeitig monoton in der Erledigung sind und mit hohem Zeitdruck vorgetragen werden. Dank Self-Service kann sich das Team um andere Aufgaben kümmern.
  • Die Angriffsfläche für Social Engineering verkleinert sich – denn es sind weniger Menschen beteiligt.
  • Cached Credentials in der Remote-Arbeit können gleichzeitig mit aktualisiert werden.
  • Es müssen – vor allem bei Mitarbeitenden in verschiedenen Zeitzonen oder unkonventionellen Arbeitszeiten – keine Arbeitszeiten des Helpdesk beachtet werden.

Nach wie vor herrscht ein IT-Fachkräftemangel in Deutschland – und es ist keine Entlastung in Sicht. Aus diesen Gründen ist es entscheidend für Unternehmen, ihren IT-Support von wiederkehrenden Aufgaben zu entlasten. Glücklicherweise ist gerade der IT-Support ein Bereich, der solchen Optimierungen gut zugänglich ist, und Self-Service Password Reset kann ein Paradebeispiel für diese Herangehensweise sein. Eine individuelle Bearbeitung von Anfragen zu vergessenen Passwörtern oder bei anderen Anmeldeproblemen beansprucht unnötig Zeit – sowohl die des IT-Personals als auch die des betroffenen Nutzers. Das Zurücksetzen eines Passwortes wird gewissermaßen immer noch als Ausnahmefall behandelt, der einer persönlichen Intervention des IT-Supports bedarf. Dem ist aber nicht so: Vergessene Passwörter sind im Arbeitsalltag keine Ausnahme, sondern die Regel. Das wissen auch die IT-Mitarbeitenden vor Ort.

Weniger Aufwand, mehr Mitarbeiterzufriedenheit

Wenn Passwörter automatisiert zurückgesetzt werden können, wird dieser Pain Point sowohl beim IT-Personal als auch bei den Nutzenden deutlich entschärft. Es werden nicht nur personelle Ressourcen geschont, sondern auch die Nerven der Mitarbeitenden und letzten Endes das Arbeitsklima.

Das ist auch unter einem anderen Aspekt interessant: Das Zurücksetzen von Passwörtern in Eigenregie ermöglicht Mitarbeitenden ein reibungsfreies Weiterarbeiten auch außerhalb der konventionellen Arbeitszeiten des IT-Helpdesk. Mit dem Siegeszug der Remote-Arbeit sind Mitarbeitende oft auch zu ungewöhnlichen Zeiten aktiv und benötigen Zugriff auf ihre Arbeitsmittel: sei es wegen unterschiedlicher Zeitzonen, wegen der Vereinbarkeit von Familie und Beruf oder einfach aus Gründen persönlicher Vorlieben. Dies weiter zu ermöglichen und möglichst reibungslos umzusetzen, steigert die Zufriedenheit und Produktivität der Belegschaft. Self-Service Password Reset ist ein fast unverzichtbarer Baustein dafür.

Automatisierter Password Reset: weniger Angriffsfläche für Social Engineering

Und auch aus einem anderen Grund ist es sinnvoll, die menschliche Komponente im Zurücksetzen von Passwörtern zu minimieren: So wird das Risiko für einen erfolgreichen Social-Engineering-Angriff gesenkt.

Herkömmliche Prozesse für das Zurücksetzen von Passwörtern im IT-Support sind auf zwei Wegen ein Einfallstor für Social Engineering: Einerseits könnten Angreifer die Tatsache ausnutzen, dass Mitarbeitende es gewohnt sind, in Passwortfragen persönlichen Kontakt zum IT-Personal zu haben. Sie können sich als IT-Helpdesk-Mitarbeiter ausgeben und Nutzer dazu verleiten, bestehende Passwörter und andere sensible Informationen preiszugeben.

Andererseits kann auch der IT-Helpdesk selbst zum Angriffsvektor werden: Angreifer können Supportmitarbeiter kontaktieren und Abläufe anstoßen, die es ihnen letztlich ermöglichen, in das Unternehmensnetzwerk einzudringen. Beispiele hierfür sind das Abfangen von E-Mails, die vom IT-Support an Mitarbeitende gesendet werden. Eine wichtige Schwachstelle ist auch die telefonische Übermittlung temporärer Passwörter – denn die telefonische Identifizierung von Mitarbeitenden ist in den meisten Unternehmen unsicher gelöst, meist durch die Abfrage leicht zu beschaffender persönlicher Informationen. Diese Sicherheitslücken können durch die Einführung von Self-Service Password Reset geschlossen werden.

Schwächen von Entra ID Password Reset: so geht es besser

Die bis hierhin beschriebenen Vorteile von Self-Service Password Reset können auch schon mit Microsoft Entra ID realisiert werden. Aber warum hier stehen bleiben: Wenn Sie Entra ID bereits erfolgreich einsetzen, dann sind weitere Vorteile für Sie schon in Reichweite – mit einer hybriden Lösung.

Entra ID hat im Wesentlichen die folgenden Schwächen gegenüber einer idealen Password-Reset-Lösung:

  • Für die Multi-Faktor-Authentifizierung (MFA) stehen nur drei Faktoren zur Auswahl – ein Code per SMS, die Geheimfrage und die Microsoft Authenticator App. Da sowohl der Code per SMS als auch die Geheimfrage in Fachkreisen bereits als unsicher und anfällig gelten, bietet Entra ID somit eigentlich nur eine ernst zu nehmende MFA-Option – und die ist umständlich zu nutzen.
  • Bei der Vergabe eines neuen Passworts in Office 365 erhält der Nutzer kein dynamisches Feedback, beispielsweise über die Stärke des neuen Passworts.
  • Cached Credentials werden bei einem Zurücksetzen des Passworts nicht automatisch mit aktualisiert, sodass es bei remote arbeitenden Kollegen später dann mit hoher Wahrscheinlichkeit doch wieder zu einer Anfrage an den IT-Support kommt.

Um diese Schwächen zu beseitigen, benötigen Sie eine zusätzliche, spezialisierte Lösung – wie etwa Specops uReset. Hierbei handelt es sich um die Self-Service-Lösung von Specops, die eine große Auswahl an Faktoren zur MFA sowie verschiedene Identitätsdienste einbindet. Bei Bedarf können Admins auch den einzelnen Faktoren eine entsprechende Gewichtung zuweisen, um weitere Sicherheit bei der Authentifizierung zu gewährleisten.

Dies allein erhöht die Sicherheit des Systems schon signifikant. Denn MFA spielt in der IT-Landschaft eine immer wichtigere Rolle, während Nutzer aber auch hohe Ansprüche an die Bedienbarkeit von entsprechenden Login-Lösungen stellen. Das Schlimmste, was in Bezug auf MFA – oder auch andere Sicherheitsmaßnahmen – passieren kann, ist, dass Nutzer sie in der Bedienung nicht ausreichend unkomfortabel finden und Wege suchen, sie zu umgehen.

Zudem bietet Specops uReset in Kombination mit Specops Password Policy den Nutzern bei der Vergabe eines neuen Passwortes dynamisches Feedback zu Passwortrichtlinien und -qualität, sodass der Prozess der Passwortvergabe intuitiv und transparent ist und sich beim Nutzer auch ein Lerneffekt einstellt.

Auch die Aktualisierung von Cached Credentials, relevant vor allem in Unternehmen mit einem substanziellen Anteil an Remote-Mitarbeitenden die nicht den Passwortreset im Büro vornehmen können, übernimmt uReset und stellt damit sicher, dass der IT-Helpdesk entlastet ist – und bleibt.

Rundum sicher: Specops uReset und Secure Servicedesk

Specops uReset geht nicht nur über den Leistungsumfang von Entra ID hinaus. Hinzu kommt, dass Specops uReset nahtlos mit Secure Servicedesk zusammenarbeitet – unserer Plattform zur Benutzerauthentifizierung, mit der Sie dem Social Engineering noch besser die Stirn bieten. Secure Servicedesk unterstützt die Identifizierung von Nutzern auf verschiedenen Wegen und arbeitet mit Diensten wie Duo Security, Okta Verify, PingID oder Symantec VIP zusammen. So löst das Werkzeug auch endlich das hartnäckige Problem der zuverlässigen Identifikation per Telefon.

Wenn Sie tiefer in das Thema Self-Service Password Reset einsteigen wollen, dann bieten wir Ihnen zu diesem Thema ein kostenloses Webinar an. In unserem Blog lesen Sie mehr zum Thema Integration von Specops uReset und Microsoft Entra ID (zuvor Azure AD). Und natürlich stehen wir Ihnen jederzeit zur Verfügung, um unverbindlich die Einsatzmöglichkeiten von Specops uReset als benutzerfreundliche und elegante Self-Service-Lösung zu besprechen.

Autorin

Christina Czeschik Dr. Christina Czeschik ist Ärztin und Medizininformatikerin und schreibt seit etwa 10 Jahren als freie Autorin über Datenschutz, Informationssicherheit und Digitalisierung im Gesundheitswesen, unter anderem für die B2B-Content-Marketing-Agentur ucm.

(Zuletzt aktualisiert am 18/12/2023)

Zurück zum Blog