Flexible Security for Your Peace of Mind

Passwortfilter für Active Directory? So geht’s!

Die Kriterien für ein sicheres Passwort sollten allen Mitarbeitenden eines Unternehmens bekannt sein. Aber Wunsch und Wirklichkeit klaffen oft weit auseinander. Ein oft vernachlässigtes Risiko sind Passwörter, die aufgrund ihrer Komplexität zwar den Passwort-Richtlinien entsprechen, aber trotzdem unsicher sind, weil sie beispielsweise den Unternehmensnamen oder Standard-Passwörter enthalten. Hier hilft ein Passwortfilter.

Passwortfilter verhindern Passwörter, die von sich aus unsicher sind

Passwörter sind immer noch ein zentrales Element der Sicherheit von Unternehmens-IT. Es gab und gibt viele Ansätze, sie durch andere Faktoren zu ersetzen, aber diese haben sich bisher nicht in großem Maßstab durchgesetzt – allenfalls werden Passwörter bei der Multi-Faktor-Authentifizierung durch andere Faktoren ergänzt.

Daher ist auch die Sicherheit von Passwörtern ein ewig aktuelles Thema und ein steter Wettlauf zwischen Angreifern und Verteidigern. Die Verteidiger sind dabei in einer anfänglich schwächeren Position, denn auf ihrer Seite ist der unberechenbare Faktor Mensch: Mitarbeitende vergessen Passwörter, geben sie weiter oder wählen schwache Passwörter, weil sie sich diese leicht merken können.

Wir stehen Unternehmen schon seit langem dabei zur Seite, diese Schwachstellen zu schließen: mit Specops Password Policy. Mit dieser Lösung wird der Domänen-Controller in Ihrem Active Directory in die Lage versetzt, von Ihnen individuell definierte Passwort-Richtlinien durchzusetzen. Doch es genügt nicht, moderne Kennwortrichtlinien wie Länge und Komplexität eines Passwortes festzulegen. Auch Passwörter die den gängigen Anforderungen entsprechen können für Angreifer leicht zu erraten sein – wenn sie etwa schon einmal Teil eines Breaches (also bereits kompromittiert sind) waren oder einen inhaltlichen Bezug zu Ihrem Unternehmen haben. Beides lässt sich mit Passwortfiltern lösen. Auch diese sind ein Teil von Specops Passwort Policy und lassen sich mit überschaubarem Aufwand in Microsofts Active Directory einbinden.

Nvidia-Leak von 2022: Unternehmensname beliebt als Passwort

Ein Zwischenfall im Jahr 2022 brachte das Problem ins Bewusstsein der Öffentlichkeit: Der kalifornische Chiphersteller Nvidia wurde Opfer einer Ransomware-Attacke. Im Zuge dieses Angriffs erbeutete die kriminelle Vereinigung Lapsus$ nach eigenen Angaben etwa 1 Terabyte an vertraulichen Informationen; darunter Zugangsdaten der etwa 71.000 Mitarbeitenden von Nvidia sowie Passwort-Hashes aus deren Windows-Konten. Diese wurden gecrackt und in verschiedenen Foren im Darknet veröffentlicht.

Hier zeigte sich, wie wir zuvor berichteten: In vier der zehn am häufigsten verwendeten Passwörter fand sich der Unternehmensname Nvidia in der einen oder anderen Form wieder. In einem der zehn der Name eines Nvidia-Produkts. Nvidia setzte also keinen oder zumindest keinen vernünftigen Passwortfilter in seinem Active Directory ein (hat aber in der Zwischenzeit hoffentlich nachgebessert).

Dieser Mangel an Passwortfiltern war zwar nicht der Grund, warum der Angriff auf Nvidia passierte und Erfolg haben konnte – doch man kann sicher sein, dass durch seine Publikation diese potenzielle Schwachstelle noch stärker ins Bewusstsein der Angreifer gerückt ist. Wenn sie also vor dem Nvidia-Leak vielleicht nicht häufig Ziel von Angreifern war, dann spätestens seitdem. Innerhalb von Active Directory können ohne zusätzliche Software zwar in Gruppenrichtlinien Einstellungen bezüglich der Merkmale erlaubter Passwörter getroffen werden, aber dies nur begrenzt – und individuell riskante Begriffe wie Unternehmensnamen oder auch neu geleakte Passwörter werden hierbei nicht abgedeckt.

Nach diesen Kriterien sollten Passwörter gefiltert werden

Ein Passwortfilter muss sich folgenden zwei Herausforderungen stellen, die nicht automatisch mit einer herkömmlichen Passwort-Policy in Active Directory abgedeckt sind:

Zum einen muss er in der Lage sein, individuelle, unternehmensspezifische Gegebenheiten zu berücksichtigen. Das heißt: Nicht nur Passwörter, die den Namen des Unternehmens enthalten, sondern auch andere Begriffe, die in Bezug zum Unternehmen stehen, sollten gesperrt werden. Hierzu zählen zum Beispiel Produktnamen, Namen von Abteilungen und Teams und ähnliche Wörter.

Zum anderen muss er zeitnah berücksichtigen, wenn bestimmte Passwörter oder Teile von Passwörtern plötzlich unsicher geworden sind, etwa durch ein bekannt gewordenes Datenleck.

Beides wird von Specops Password Policy abgedeckt: Mit Hilfe eines benutzerdefinierten Wörterbuchs können Sie Ihre unternehmensspezifischen Begriffe und Passwörter entsprechend festlegen und diese werden dann herausgefiltert, wenn diese in einem Passwort gefunden werden – selbst wenn Zeichen durch Sonderzeichen oder Leetspeak ersetzt wurden. Mit Hilfe der Breached Password Protection werden zudem kompromittierte Passwörter aus dem Darknet erkannt und gesperrt. Diese Datenbank von Specops enthält bereits über 4 Milliarden kompromittierte Passwörter; Kennwörter aus neu bekannt gewordenen Breaches und Angriffe auf unsere Honeypot-Systeme werden tagesaktuell hinzugefügt. Ebenfalls wichtig: Sie können diese Wörterbücher mit entsprechenden RegEx konfigurieren, um diese noch wirkungsvoller zu gestalten.

Komponenten der Specops Password Policy

Um keine unnötigen Anrufe beim Helpdesk zu verursachen, zeigt Specops Password Policy konfigurierbare Endnutzermeldungen und dynamisches Feedback bei der Passwortvergabe an, wenn ein durch den Passwortfilter nicht erlaubtes Passwort gewählt wird. Dank des kontinuierlichen Scannens nach kompromittierten Kennwörtern wird auch geprüft, ob im Bestand bereits kompromittierte Passwörter enthalten sind, damit diese noch im Nachhinein geändert werden können.

Die Einführung von Specops Password Policy ist dabei unkompliziert: Er wird auf jedem Domänen-Controller einer Active-Directory-Domäne zusätzlich installiert und arbeitet mit bereits vorhandenen Passwortrichtlinien zusammen. Mit dem Administrator-Tool werden die Anforderungen an Passwörter konfiguriert. Den eigentlichen Passwortfilter enthält das Sentinel-Modul: Dieses prüft die Übereinstimmung mit den Richtlinien. Das darauffolgende Modul, der Arbiter, checkt das Passwort gegen die Datenbank der Breached Password Protection. Optional gibt es schließlich noch ein Client-Modul, das beispielsweise die Kriterien der Passwortrichtlinie anzeigt und den Benutzer benachrichtigt, bevor das Passwort abläuft.

Dynamisches Feedback bei der Passwortvergabe für den Endnutzer sorgen für klare Kommunikation der Kennwortrichtlinien in über 25 Sprachen.

Specops Password Policy: Passwortfilter leicht gemacht

Auch auf Azure Active Directory können übrigens mit Hilfe von Specops Password Policy die notwendigen Passwortfilter eingesetzt werden – denn Azure AD selbst bietet mit der Azure AD Password Protection nur ein Werkzeug, das kaum umfangreicher als die Bordmittel der generischen Active Directory Password Policy ist. Die Installation von Specops Password Policy erfolgt auf Azure AD mit Hilfe einer hybriden Active-Directory-Konfiguration.

Hierzu beraten wir Sie gerne. Wir bieten zudem einen kostenlosen Check Ihrer vorhandenen Passwörter mit dem Specops Password Auditor an – hier prüfen Sie selbst, inwiefern die Passwörter in Ihrem Unternehmen Ihren Anforderungen genügen, auch wenn diese bisher nicht explizit in Richtlinien festgeschrieben sind. Wir beraten Sie gerne, wie Sie für mehr Passwortsicherheit in Ihrer Organisation sorgen können.

Autorin

Christina Czeschik Dr. Christina Czeschik ist Ärztin und Medizininformatikerin und schreibt seit etwa 10 Jahren als freie Autorin über Datenschutz, Informationssicherheit und Digitalisierung im Gesundheitswesen, unter anderem für die B2B-Content-Marketing-Agentur ucm.

(Zuletzt aktualisiert am 24/10/2023)

Zurück zum Blog