Flexible Security for Your Peace of Mind

Specops Software präsentiert “First Day Password” – Für ein geheimes Initialpasswort

Specops Software stellt heute eine neue Lösung zur Verbesserung der Sicherheit von Initialpasswörtern vor, um das Onboarding von Mitarbeitern sicherer zu gestalten. Mit First Day Password können sich Unternehmen von unsicheren Methoden zur Weitergabe von Initialpasswörtern verabschieden, indem Sie den Benutzern die Möglichkeit geben, zu verifizieren, wer sie sind, bevor sie ihr erstes Passwort selbst festlegen.

Kunden verlangen schon seit einiger Zeit nach einer Lösung für die Problematik der unsicheren Weitergabe von Initialpasswörtern vor dem ersten Arbeitstag von neuen Mitarbeitern“, sagt Darren James, Senior Product Manager bei Specops Software. “Ich freue mich, dass wir nun in der Lage sind, diese Lücke für alle Unternehmen zu schließen, die ihre Initialpasswörter schützen wollen.

Was ist ein Initialpasswort?

Initialpasswörter sind vorläufige Kennwörter, die in diesem Fall bei der Erstellung eines neuen Active-Directory Benutzers vergeben werden. So kann der neuen Benutzer dieses Kennwort nutzen, um sofort auf sein Konto zuzugreifen bis er sein eigenes, (hoffentlich) sicheres Passwort festlegt. Initialpasswörter werden oft automatisch generiert und sollten direkt nach dem ersten Login geändert werden, um die Sicherheit des Kontos zu gewährleisten.

Beim Onboarding eines Benutzers in Active Directory waren IT-Abteilungen gezwungen, zwischen zwei Methoden zu entscheiden: (1) Passwörter auf unsichere Weise weiterzugeben oder (2) sich am ersten Arbeitstag der betreffenden Person Zeit zu nehmen, um das erste für sie festgelegte Passwort mündlich weiterzugeben (oder über den jeweiligen Vorgesetzten).

Initialpasswörter in Klartext?

IT-Teams haben nicht viele Möglichkeiten, wenn es darum geht, einem neuen Mitarbeiter vor seinem Arbeitsbeginn sein erstes Passwort mitzuteilen. IT-Teams haben in der Regel nur zwei Informationen von der Personalabteilung, die sie vor dem ersten Arbeitstag verwenden können (1) die persönliche E-Mail-Adresse oder (2) die persönliche Handynummer.
Bei beiden Methoden wird das Passwort im Klartext mitgeteilt (im Text der E-Mail oder SMS). Die Weitergabe von Passwörtern im Klartext ermöglicht es Angreifern, sich Zugang zu diesem Passwort zu verschaffen, das dann mit anderen Methoden, wie z. B. Privilege Escalation, für weitere Zwecke genutzt werden kann.
Unternehmen, die die Weitergabe von Passwörtern im Klartext vermeiden wollen, können stattdessen beschließen, Initialpasswörter nur mündlich weiterzugeben.

Die mündliche Weitergabe von Passwörtern bei Arbeitsbeginn ist lästig

Wenn Unternehmen die Mitteilung von Passwörtern an neue Mitarbeiter sicherer machen möchten, können sie das IT-Personal bitten, einen Termin zu vereinbaren, an dem das Passwort mit dem Benutzer am Tag des Arbeitsantritts geteilt wird.
Unabhängig davon, ob dies persönlich oder remote geschieht, muss das IT-Personal am Tag des Arbeitsbeginns des Mitarbeiters zur Verfügung stehen und zu dem Zeitpunkt verfügbar sein, an dem der Mitarbeiter aufgefordert wird, sich für seinen ersten Tag anzumelden.
In einigen Unternehmen kann das IT-Personal dies vermeiden, indem das Passwort an den Vorgesetzten des Mitarbeiters weitergegeben wird, was einen weiteren Risikopunkt darstellt.

Schluss mit der Weitergabe von Initalpasswörtern durch Dritte mit Specops First Day Password

Mit Specops First Day Password müssen Unternehmen das Initialpasswort, das im Rahmen der Einrichtung eines neuen AD-Benutzers festgelegt wird, nicht mehr weitergeben. Mit First Day Password können Nutzer das Initialpasswort beim Onboarding zurücksetzen, ohne es selbst zu kennen.

So einfach ist es für den User

First Day Password ermöglicht es neuen Mitarbeitern, ihr erstes Passwort selbst zu vergeben, und zwar über einen Link, den sie per SMS oder per E-Mail erhalten oder über den Link “Passwort zurücksetzen” auf ihrem Gerät, das mit der Domain verbunden ist.

Diese Nachricht wird neuen Mitarbeitern angezeigt, nachdem sie auf den First Day Password-Link geklickt haben

Sobald sie auf “Weiter” klicken, wird der Nutzer aufgefordert, sich auf eine von zwei Arten zu verifizieren (persönliche E-Mail oder SMS).

Der Endbenutzer des First Day Password muss sich verifizieren, bevor er sein Passwort zum ersten Mal vergeben kann.

Sobald diese Verifizierung abgeschlossen ist, wird der Nutzer aufgefordert sein neues Passwort zu vergeben. Die zutreffende Kennwortrichtlinie wird dabei als dynamisches Feedback dargestellt und beugt so Rückfragen vor.

Zutreffende Kennwortrichtlinien werden dem Nutzer bei der Vergabe seines ersten Passwortes transparent dargestellt.

First Day Password-Kunden, die auch Specops Password Policy und Breached Password Protection nutzen, können so das Initialpasswort gegen 4 Milliarden kompromittierte Kennwörter abgleichen, sowie benutzerfreundliche Kennwortrichtlinien umsetzen (wie z.B. längenbasierte Ablaufdaten für Kennwörter und separate Komplexitätsanforderungen für Passphrasen).

Im Bezug auf Passwörter ist es unseren Kunden wichtig, jede Sicherheitslücke zu schließen“, sagt James. “Mit First Day Password unterstützen wir unsere Kunden dabei, ihre Sicherheitsstrukturen in On-Prem- und Hybrid-Umgebungen zu stärken.

Specops First Day Password in Ihrer Infrastrukur?

Wollen Sie wissen, wie Specops First Day Password in Ihrer Organisation eingesetzt werden kann? Wir beraten Sie gerne!

Schlummern kompromittierte Kennwörter bereits in Ihrer Organisation?

(Zuletzt aktualisiert am 23/04/2024)

Zurück zum Blog