Self-Service Password-Reset: Mehr Sicherheit, Effizienz und Benutzerfreundlichkeit

Warum Self-Service Password-Resets heute Standard sein sollten.

Die Corona-Pandemie ist überwunden – zumindest in Deutschland. Zahlreiche von ihr erzwungene Veränderungen aber werden bleiben, darunter die ungemein gestiegene Popularität von Homeoffice und Remote Collaboration, die IT-Verantwortliche vor nicht geringe Herausforderungen stellt.

Die neue Mobilität von Mitarbeitenden bringt auch neue Anforderungen an die IT-Helpdesk, -Infrastruktur und -Sicherheit mit sich. Remote-Zugriffe auf Firmenressourcen müssen abgesichert und die Mitarbeiter entsprechend unterstützt werden. Das bedeutet auch eine noch größere Arbeitsbelastung für den support, der infolge von Fachkräftemangel und pandemiebedingter Kündigungswellen ohnehin oft schwach besetzt ist.

Ein Dauerthema dabei: das Zurücksetzen von Passwörtern. Ein erheblicher Teil der Supportanfragen beim Helpdesk betrifft abgelaufene, vergessene oder mehrfach falsch eingegebene Passwörter – Experten schätzen den Anteil von Resets auf ca. ein Drittel, eine etwas ältere Studie von Gartner auf 20 bis 50 Prozent. Wir erklären, wie IT-Verantwortliche ihren Helpdesk-Mitarbeitern das Leben leichter machen können.

Password-Reset ohne Self-Service: unwirtschaftlich und unsicher

Wie war noch mal das Passwort? Diese Frage hat sich sicher jeder schon mal gestellt, sei es, weil das bekannte Kennwort abgelaufen ist, er die gerade aktuellen Kennwörter für verschiedene Ressourcen verwechselt hat, der Passwortmanager streikt oder der bei Security-Verantwortlichen gefürchtete Passwort-Zettel am heimischen Bildschirm klebt, man aber in der Flughafen-Lobby sitzt. In vielen Unternehmen bleibt den Betroffenen derzeit nichts anderes übrig, als den IT-Support um Hilfe zu bitten. Und der muss schnell reagieren, weil sonst die Geschäftstätigkeit beeinträchtigt wird.

Ob im Unternehmensnetzwerk oder von außerhalb ‒ das Zurücksetzen von Passwörtern gehört zu den ungeliebten Aufgaben von Helpdesk-Mitarbeitern. Denn es kostet Zeit, und die ist im Supportalltag knapp. Zusätzlich ist es eine mögliche Schwachstelle, wenn das Passwort nicht nach dem Reset sofort erneut geändert wird.

Dennoch ist innerhalb des Unternehmensnetzwerks das Zurücksetzen von Logon Passwörtern für Rechner, die Mitglied einer Domäne sind, vergleichsweise einfach und kann entsprechend  automatisiert werden. Anders sieht das für Rechner aus, die von außerhalb des Firmennetzes zugreifen, oder sich (aufgrund des vergessenen Passwortes) noch nicht mit dem Firmennetzwerk verbinden konnten.

Cached Credentials: Segen und Fluch

Ein Problem sind die sogenannten Cached Credentials: Bei erfolgreichen Domain-Anmeldungen speichert Windows die so bestätigten Login-Informationen verschlüsselt in der Registry, um die Anmeldung auch in Situationen zu ermöglichen, wo keine Kommunikation mit dem Anmeldeserver (Domänencontroller), möglich ist. Dann kann der betroffene Nutzer zwar keine Ressourcen nutzen, für die eine Domänenprüfung nötig ist, aber immer noch andere Ressourcen im Netzwerk.

Wird, aus welchen Gründen auch immer, ein Logon-Passwort zurückgesetzt, während der Remote-Nutzer nicht im Unternehmensnetzwerk angemeldet ist, hat dieser ein Problem. Denn weil kein Domänencontroller verfügbar ist, wird sein Windows versuchen, das veraltete Passwort zur Authentisierung zu nutzen. Über kurz oder lang wird dies je nach Konfiguration (Lockout Policy) zur Kontensperrung führen – also zu jeder Menge Ärger für den Nutzer, der sich nicht selten auf den Weg in die Firma machen muss, um dieses Problem zu lösen, und zu noch mehr Arbeit für den Support.

Erschwerend kommt hinzu, dass vielen Mitarbeitenden der Cached-Credentials-Mechanismus nicht bekannt ist. Es ist daher für den Support oft schwer bis unmöglich, ihnen das richtige Vorgehen zu erklären, um ihr neu vergebenes Passwort über VPN zu ändern (was aus Sicherheitsgründen umgehend erfolgen sollte) und dann lokal den Cache zu aktualisieren.

Angriffsvektor Password-Reset

Und das ist leider noch längst nicht alles. Fordert ein Mitarbeiter beim Helpdesk ein neues Passwort an, muss dieser verifizieren, dass der Antragsteller auch die Berechtigung dafür hat, also tatsächlich die Person ist, der er vorgibt zu sein. Das ist über Internet oder Telefon gar nicht so einfach – nicht zufällig besitzen ca. drei Viertel der Unternehmen in Europa und Amerika noch keine aus ihrer Sicht ausreichenden Richtlinien zur Benutzerverifizierung für Passwort-Reset-Anfragen.

Das IT-Grundschutz-Kompendium des BSI (Baustein ORP.4.A11) fordert lediglich ein „angemessenes sicheres Verfahren“ für das Zurücksetzen von Passwörtern. In den Umsetzungshinweisen dazu werden verschiedene Methoden der Remote-Identifizierung erörtert, die aber mehr oder weniger unsicher oder aber aufwendig umzusetzen sind. Das Standardvorgehen in vielen Unternehmen sind daher immer noch wissensbasierte Fragen zu hinterlegten Informationen, zum Beispiel Mitarbeiter-ID oder Geburtsdatum. Das öffnet Social-Engineering-Angriffen Tür und Tor, denn mit etwas Aufwand können Cyberkriminelle solche Informationen leicht beschaffen und sich als berechtigter Mitarbeiter ausgeben.

Abhilfe schaffen

Es gibt eine Reihe von Optionen, das Problem zu mildern und die Zahl der Passwort-Reset-Anfragen zu reduzieren. Eine Möglichkeit besteht darin, Passwörter nicht automatisch ablaufen zu lassen. Das erfordert aber starke Passwörter, also die strikte Durchsetzung einer entsprechenden Password Policy. Zudem ist das Problem damit noch nicht vollständig gelöst, denn vergessene oder kompromittierte Passwörter müssen natürlich weiterhin zurückgesetzt werden.

Eine elegante Möglichkeit, Schwierigkeiten mit den Cached Credentials zu verhindern, wäre es, die Mitarbeitenden vor Ablauf der Gültigkeit ihrer Passwörter oder bei erkannter Kompromittierung dazu zu bewegen, selbst ein neues Passwort zu setzen. Die größte Aussicht auf Erfolg hat das mit einem durchdachten Reset-Verfahren als Self-Service. Richtig umgesetzt, löst dieses alle beschriebenen Probleme: Es entlastet den IT-Helpdesk, ist benutzerfreundlich auch für Mitarbeitende mit wenig IT-Wissen und erhöht die Sicherheit.

Self-Service Password-Reset – die benutzerfreundliche Lösung?

Ein Self-Service für den Passwort-Reset soll es Nutzern ermöglichen, ihre Active-Directory-Passwörter sicher zurückzusetzen, ohne den Support um Hilfe bitten zu müssen – und zwar innerhalb des Firmennetzes ebenso wie remote. Die Lösung Specops uReset gewährleistet das, weil sie nicht nur das Passwort im Active Directory aktualisieren kann, sondern auch die Cached Credentials) auf den Geräten der Nutzer (was der Azure AD Self-Service nicht bietet). Benutzer müssen dafür nicht mit dem Unternehmensnetzwerk verbunden sein – die Änderung kann direkt vom Windows-Anmeldebildschirm erfolgen. Das vermeidet Kontensperrungen, bei denen der Helpdesk dann doch aktiv werden müsste.

Die Lösung benachrichtigt die Nutzer, wenn eine Passwort-Änderung erforderlich ist, und gibt gut verständliche Hinweise zu den geltenden Passwort-Richtlinien. Gleichzeitig bietet Specops uReset leistungsfähige Sicherheitsfeatures wie Multifaktor-Authentifizierung, Geo-Blocking und die Blockade kompromittierter Passwörter. Für die sichere Identifizierung integriert die Lösung mehr als 20 Identitätsanbieter, zum Beispiel Duo Security, Okta Verify und MS Authenticator, aber natürlich auch biometrische Optionen oder Manager Identification. Alle diese Möglichkeiten stehen auch dem Support mit dem Produkt Specops Secure Servicedesk zur Verfügung.

Fazit:

Angesichts immer mobilerer Arbeitsweisen und steigender Anforderungen an die Passwortsicherheit ist eine Self-Service-Password-Reset-Lösung heute das zeitgemäße Verfahren für das Passwort-Reset. Sie schafft Entlastung für den Support, holt die Mitarbeitenden ins Boot und erlaubt es, das Unternehmensnetzwerk wirksam und flexibler abzusichern.