Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Kontinuierliche Scans nach kompromittierten Passwörter mit Specops Password Policy
Schützen Sie sich dauerhaft vor der Gefahr durch die mehrfache Verwendung von Passwörtern über mehrere Acounts hinweg, indem Sie einen regelmäßigen Abgleich mit unserer täglich aktualisierten Breached Password Protection Datenbank durchführen.
Heute stellen wir eine neue Funktion für Specops Password Policy vor: kontinuierliche Scans nach kompromittierten Kennwörter mit den Specops Breached Password Protection Service. Diese Funktion findet kompromittierte Passwörter täglich, anstatt nur bei Passwortänderung oder -rücksetzung.
Die Breached Password Protection Datenbank wird mit Passwörtern aktualisiert, die von unserem Honeypot-Netzwerksystem gesammelt wurden, sowie mit neu entdeckten Passwort-Leaks. Zusammen mit den täglichen Updates der Breached Password Protection Datenbank bietet Specops Password Policy nun eine der umfassendsten Lösungen zur Überwachung kompromittierter Passwörter auf dem Markt.
Nicht nur Cyberkriminelle stellen ein Risiko für Passwörter dar
Passwörter sind nach wie vor eine der anfälligsten Komponenten im Netzwerk eines Unternehmens. Microsoft fand heraus, dass im Jahr 2022 jede Sekunde 1.287 passwortbasierte Cyberangriffe stattfinden (mehr als 111 Millionen pro Tag). Die Verwendung eines bereits kompromittierten Passworts in einem Angriff (ein “password breach replay”-Angriff, wie Microsoft ihn nennt) stieg auf 5,8 Milliarden pro Monat im Jahr 2022.
Die anhaltende Bedrohung durch passwortbasierte Angriffe ist ein großes Risiko für Unternehmen. Das Element, das dieses Risiko erhöht, sind jedoch auch die Nutzer eines Unternehmens. Die ständige Wiederverwendung und Vermengung von Passwörtern durch Benutzer in ihrem Arbeits- und Privatleben ist der Grund dafür, dass Angreifer weiterhin so viel Erfolg haben, denn diese verwenden gerne bereits kompromittierte Kennwörter, um so in ein Netzwerk einzudringen.
Wir wissen dies, weil das Thema immer wieder in Angriffsanalysen und Verhaltensdaten auftaucht:
- 86 % der Erstzugriffe von Angreifern erfolgten über gestohlene Anmeldedaten (Verizon, 2023)
- Bei 44 Millionen Microsoft-Nutzern wurde in einer Analyse über einen Zeitraum von 3 Monaten die Wiederverwendung von Passwörtern festgestellt (Microsoft, 2019)
- Mehr als 60 % der Angestellten verwenden das gleiche Passwort oder eine Variation (LastPass, 2022)
Man kann aber dem Endnutzer keinen Vorwurf machen! Vielmehr hat die Explosion von Webdiensten und Software-as-a-Service dazu geführt, dass das Problem der individuellen Passwortverwaltung außer Kontrolle geraten ist.
Die Anzahl der von einer Person verwalteten Accounts für die Arbeit ist nur ein Teil der Belastung, die zur Wiederverwendung von Passwörtern führt. Der Aufwand für die Verwaltung der privaten Accounts hat ebenfalls zugenommen. Im Jahr 2023 stellte Bitwarden fest, dass 68 % der Internetnutzer Passwörter für 10 oder mehr Websites verwalten und 84 % zugeben, dass sie Passwörter wiederverwenden. Für 34 % liegt diese Belastung bei mehr als 25 Websites oder Anwendungen. (Quelle)
Bei so vielen Accounts und Zugangsdaten, die verwaltet werden müssen, werden die Endbenutzer immer wieder auf schlechtes Passwortverhalten wie die Wiederverwendung von Passwörtern zurückgreifen.
Was bedeutet das für Ihr Netzwerk?
Die zunehmende Belastung der Endbenutzer durch Logins im beruflichen und privaten Umfeld bedeutet ein erhöhtes Risiko für Ihr Netzwerk.
Während viele Branchenumfragen (wie die oben erwähnte Bitwarden-Umfrage) die durchschnittliche Anzahl der Passwörter, die eine Person verwalten muss, mit 20-30 angeben, hat LastPass herausgefunden, dass diese Zahl viel höher ist, wenn man sich nicht auf Selbstauskünfte verlässt.
Im Jahr 2021 hat LastPass herausgefunden, dass die durchschnittliche Anzahl der Passwörter, die ein Mitarbeiter verwalten muss, 191 beträgt. Das ist ein 7-facher Anstieg gegenüber den selbst gemeldeten Zahlen, den LastPass darauf zurückführt, dass die Menschen nicht wissen, wie viele Konten sie eigentlich verwalten müssen.
Wenn wir uns nur die Belastung durch die Accounts am Arbeitsplatz ansehen, können wir schnell erkennen, welche Auswirkungen dies auf das Risiko durch Wiederverwendung von Passwörtern in einem Unternehmen hat.
Ein selbst angegebener Durchschnitt von 10 Logins pro Mitarbeiter bedeutet für ein Unternehmen mit 500 Benutzern 5.000 potenzielle Möglichkeiten zur Kompromittierung von Passwörtern. Für eine Organisation mit 1.000 Benutzern sind das 500.000 potenzielle Angriffspunkte.
LastPass fand heraus, dass die geschätzte Gesamtzahl der Passwörter in einem durchschnittlichen Unternehmen mit 250 Mitarbeitern in Wirklichkeit mehr als 47.000 beträgt.
Dieses erhöhte Risiko durch das Benutzerverhalten, gepaart mit den zunehmenden Angriffen auf Passwörter durch Cyberkriminelle, bedeutet, dass Unternehmen einen erhöhten Schutz aufbringen müssen.
Für Unternehmen, die “never expire” verwenden, ist das Risiko der Passwortwiederverwendung sogar noch höher
Für Unternehmen, die für Active Directory-Kennwörter einen “Never Expire”-Ansatz gewählt haben, ist das Risiko sogar noch höher. Die meisten auf dem Markt erhältlichen Kontrollen auf kompromittierte Passwörter, einschließlich Azure AD (Entra ID) Password Protection, basieren auf dem Passwort Change oder Reset Event. Ohne dieses Ereignis bleibt das Risiko der Wiederverwendung von Passwörtern unkontrolliert.
Wie können Unternehmen das Problem der Wiederverwendung von Passwörtern lösen?
Das Risiko, das die Wiederverwendung von Passwörtern für Ihr Unternehmen darstellt, ist klar. Aber wie können Unternehmen dieses Problem angehen? Es gibt eine ganze Reihe von Möglichkeiten, aber die meisten, die heute angewandt werden, weisen Lücken auf.
Schulung der Benutzer für ein besseres Passwort-Verhalten
Cybersicherheitsschulungen zur Korrektur des Benutzerverhaltens sind eine Möglichkeit, mit der Unternehmen versuchen, den schlechten Umgang mit Passwörtern zu beeinflussen. Wenn die Benutzer das Problem verursachen, sollte man die Benutzer schulen, nicht wahr?
Leider löst dies nur selten das Problem, wie die LastPass-Studie aus dem Jahr 2022 zeigt:
- 65 % der Befragten gaben an, in irgendeiner Form über Cybersicherheit geschult worden zu sein, und die Mehrheit (79 %) empfand ihre Schulung als effektiv, unabhängig davon, ob sie formell oder informell war. Aber von denjenigen, die über Cybersicherheit aufgeklärt wurden, haben nur 31 % die Wiederverwendung von Passwörtern eingestellt. (LastPass, 2022)
Passwortlose Alternativen
Das Risiko durch unsachgemäßen Umgang mit Passwörtern liegt auf der Hand und macht die Idee, sie ganz abzuschaffen, sehr verlockend. Allerdings ist die vollständige Vermeidung von Passwörtern für die meisten Unternehmen keine realistische Option.
Bitwarden fand heraus, dass der Hauptgrund dafür, dass Unternehmen nicht passwortlos arbeiten, darin besteht, dass die verwendeten Anwendungen nicht für den passwortlosen Login ausgelegt sind (fast die Hälfte der befragten IT-Entscheidungsträger gab diesen Grund an).
MFA ergänzen
Während die meisten Unternehmen Passwörter nicht vollständig abschaffen können, ist es möglich, MFA in mehr Anwendungsfällen einzuführen. Zweite Faktoren sind jedoch nicht unverwundbar. Eine solche Methode zur Kompromittierung eines zweiten Faktors, MFA Prompt Bombing (auch bekannt als MFA Fatigue Attack), machte Schlagzeilen, als Uber im Jahr 2022 diesem Angriff zum Opfer fiel.
Microsoft fand in einer kürzlich durchgeführten 15-monatigen Studie heraus, dass MFA fatigue-Angriffe im Durchschnitt über 31.000 Mal pro Monat stattfanden. Außerdem wurde festgestellt, dass die Zahl der Angriffe bei dieser Angriffsmethode von Jahr zu Jahr zunimmt, wobei im August 2022 ein Anstieg von 26 % gegenüber August 2021 zu verzeichnen war. Die meisten MFA fatigue-Angriffe setzen voraus, dass der Angreifer zunächst Zugriff auf den ersten Authentifizierungsfaktor, das Passwort, hat. Der Schutz des Passworts vor einer Kompromittierung eliminiert die Möglichkeit von MFA Prompt Bombing.
Kein einzelner Authentifizierungsfaktor ist immun gegen Angriffe. Das Hinzufügen von MFA macht den Schutz des Passworts nicht überflüssig, und der Schutz des Passworts macht MFA nicht überflüssig. Der Schutz des Passworts und aller sekundären Faktoren in einem mehrschichtigen Ansatz ist der pragmatischere und sicherere Ansatz.
Einfach beim Ändern oder Zurücksetzen auf Kompromittierung prüfen
Die meisten Lösungen auf dem Markt, einschließlich Azure AD (Entra ID) Password Protection, prüfen nur bei einer Änderung oder einem Reset ob das vergebene Passwort kompromittiert wurde.
Da IT-Abteilungen die Ablaufdaten für Passwörter erhöhen und die Häufigkeit von erzwungenen Passwort-Resets verringern wollen (oder die Ablaufdaten ganz abschaffen wollen), bedeutet diese, zunehmend sporadischere Kontrolle, ein wachsendes Sicherheitsrisiko.
IBM berichtet, dass Unternehmen im Jahr 2023 durchschnittlich 204 Tage benötigen, um eine Sicherheitslücke zu entdecken (Quelle), und 73 Tage, um diese zu beseitigen.
Angesichts dieser Zeitspanne reicht es nicht aus, die Passwörter nur alle paar Monate zu überprüfen.
Was kann man stattdessen tun?
Die Antwort auf die permanente Bedrohung durch die Wiederverwendung von Passwörtern ist der kontinuierliche Abgleich von Active Directory-Passwörtern mit einer ständig aktualisierten Datenbank mit kompromittierten Passwörtern.
So funktioniert das kontinuierliche Scannen mit Specops Breached Password Protection
Die Continuous Scan-Funktion prüft alle Active Directory-Passwörter einmal täglich mit der Breached Password Protection API auf Kompromittierung. Die API wird täglich mit neu entdeckten kompromittierten Passwörtern aus unserem Passwort-Honeypot-System sowie aktuellen Passwort-Leaks aktualisiert, sobald unsere Experten diese finden.
Administratoren können die Ergebnisse des letzten Continuous Scans in den Domain Administration Tools einsehen.
Tägliche Scans in Verbindung mit intelligenteren und umfangreicheren Daten über kompromittierte Passwörter
Specops Password Policy mit Breached Password Protection bietet jetzt noch mehr Schutz für Ihr Unternehmen gegen die permanente Bedrohung durch passwortbasierte Angriffe.
Der Breached Password Protection Service:
- Schützt vor der Verwendung von mehr als 4 Milliarden bekannten kompromittierten Passwörtern
- Enthält sowohl Passwortinformationen von bekannten Leaks als auch unseres eigenen Honeypot-Systems, das täglich neue Passwörter sammelt, die in echten Passwort-Spray-Angriffen verwendet werden
- Wird täglich mit neu entdeckten Passwörtern aktualisiert
Die tägliche Aktualisierung der Breached Password Protection API, zusammen mit ständigen Scans nach der Verwendung dieser Passwörter in Ihrem Netzwerk, ergibt eine viel umfassendere Absicherung gegen die Bedrohung durch Passwortangriffe und das Risiko das durch die Wiederverwendung von Passwörtern entsteht. Fordern Sie noch heute einen kostenlosen Testzugang an!
Haben Sie Fragen dazu, wie Sie dies für Ihre Anforderungen anpassen können? Kontaktieren Sie uns.
(Zuletzt aktualisiert am 19/10/2023)