Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Active Directory auf Pwned Passwörter prüfen
Wenn Sie versuchen, regulatorische Anforderungen wie die des NIST einzuhalten, könnte es sein, dass Sie sich damit konfrontiert sehen, Ihre Active Directory Umgebung so einzurichten, dass diese gegen eine externe Passwort-Sperrliste auf kompromittierte Passwörtern hin überprüft wird. Für viele ist die Have I Been Pwned (HIBP) Liste die erste Wahl, um zu überprüfen ob ihre Passwörter kompromittiert sind.
Die HIBP Liste ist eine der größten kostenlos verfügbaren Sammlungen von kompromittierten Passwörtern und Konten. Mit ihrer Hilfe können Sie feststellen, ob Ihr Passwort oder Ihre E-Mail-Adresse kompromittiert wurden.
Einige Leaks, die die HIBP Liste beinhaltet:
772,904,991 Collection #1 Konten
763,117,241 Verifications.io Konten
711,477,622 Onliner Spambot Konten
622,161,052 Data Enrichment Exposure From PDL Customer Konten
593,427,119 Exploit.In Konten
457,962,538 Anti Public Combo List Konten
393,430,309 River City Media Spam List Konten
359,420,698 MySpace Konten
234,842,089 NetEase Konten
164,611,595 LinkedIn Konten
Troy Hunt, der Mann hinter dieser Sammlung, listet aktuell 555.278.657 Millionen kompromittierte Passwörter auf. (Unsere eigene Specops Breached Password Protection Liste ist mit aktuell mehr als 2,4 Milliarden kompromittierten Passwörtern mehr als viermal so groß.)
Ob eine einzelne E-Mail-Adresse verletzt wurde, ist recht einfach zu überprüfen:
Genauso einfach ist es, ein einzelnes Passwort zu überprüfen:
Komplizierter wird es jedoch, wenn Sie die Anmeldeinformationen für Ihre Active Directory-Benutzer mit dieser Liste vergleichen möchten.
Zunächst einmal würde es ewig dauern, dies manuell zu tun. Es ist dabei unerheblich, dass Sie, wenn Sie sich an bewährte Sicherheitspraktiken halten, keine persönlichen Kenntnisse über die Passwörter Ihrer Benutzer haben sollten, um diese dann einzeln zu durchsuchen.
Wenn Ihr Anliegen die Überprüfung Ihres AD gegen die HIBP-Liste ist, haben Sie zwei Möglichkeiten: die API und das Herunterladen der Listen.
Überprüfung von Passwörtern in Active Directory mit der HIBP API
Nach einigen Einstellungen können Sie mithilfe der HIBP API Ihre Active Directory Konten gegen die HIBP Liste abgleichen.
Mit der kürzlich erfolgten Aktualisierung der HIBP Liste, hat Troy die K-Anonymität eingeführt, d. h. dass Sie nicht länger den gesamten Hash Wert via API senden müssen. Sie können nun die Datenbank nach Bereichen absuchen, beginnend mit einem SHA1 Hash, um dann anhand der Antwort der API zu überprüfen, ob der Rest des Hash-Wertes in der Datenbank existiert.
JacksonVD schrieb hierzu eine detaillierte Anleitung, wie man dies in Active Directory aufsetzt.
Die Anleitung hat dabei die Zustimmung von Troy Hunt höchstpersönlich erhalten.
Aber für einen kontinuierlichen Schutz hilft das weiter nicht; Sie müssten den Abgleich bei jeder Aktualisierung der HIBP erneut ausführen sowie regelmäßig alle geänderten Active Directory Passwörter mit der bestehenden Liste abgleichen.
Darüber hinaus könnten Sie es aus Gründen der Sicherheit vorziehen, die Liste, gegen die Sie Ihre AD-Anmeldeinformationen abgleichen, On Premise zu haben, anstatt Ihre Domänencontroller zu öffnen und eine (auch nur geringfügige) Kompromittierung und eine spätere Infektion zu riskieren.
Überprüfen von Active Directory-Kennwörtern gegen einen On-Prem-HIBP-Download
Für alle diejenigen, die es vorziehen, die API nicht zu verwenden, ganz gleich ob aus Sicherheitsgründen oder wegen Bedenken bezüglich der Verfügbarkeit, bietet HIBP die Möglichkeit an die Listen herunterzuladen.
“Der gesamte Satz von Passwörtern kann kostenlos heruntergeladen werden, wobei jedes Passwort entweder als SHA-1- oder als NTLM-Hash dargestellt wird, um den ursprünglichen Wert zu schützen (einige Passwörter enthalten persönlich identifizierbare Informationen), gefolgt von der Zahl, wie oft dieses Passwort in kompromittierten Quelldaten auftaucht.“
JacksonVD hat einen weiteren Leitfaden verfasst, der die Schritte zum Vergleich Ihrer AD mit einer lokal installiert der HIBP-Liste beschreibt. Hier geht es zum Leitfaden.
Obwohl die Anweisungen von JacksonVD Sie an Ihr Ziel bringen können, möchten diesen Weg Weg vielleicht immer noch nicht einschlagen, weil es firmenintern keine Genehmigung für diese Vorgehensweise gibt oder weil der Wille fehlt es technisch umzusetzen. Möglicherweise brauchen Sie eine einfachere Lösung.
Verwenden Sie unseren kostenlosen Specops Password Auditor, um herauszufinden, wie viele Ihrer Benutzerkonten in Active Directory kompromittiert sind.
Specops Password Auditor scannt und überprüft Kennwörter von Benutzerkonten gegen unsere Breached Password Protection Express Liste auf Kompromittierung. Diese Liste enthält auch Passwörter aus den aktuellsten Leaks, der HIBP-Passwortliste, Live-Angriffsdaten und vielen mehr.
Der Auditor gibt auch eine volle Übersicht über Benutzer- und Kennwortrichtlinien sowie Administratorkonten in der Domain der Organisation inklusive inaktiver Administratorkonten. Auf einen Blick können Sie Schwachstellen identifizieren, die Ihnen bei der Planung Ihrer IT Sicherheitsmaßnahmen nützlich sein können.
Specops Password Auditor kann nur Informationen auslesen und steht als kostenloser Download zur Verfügung. Jetzt herunterladen unter https://specopssoft.com/de/produkte/specops-password-auditor/#tryfree
Eine sicherere und umfassendere Überprüfung auf kompromittierte Passwörter mit Specops Password Policy
Mit Specops Password Policy´s Breached Password Protection, bekommen Sie nicht nur eine umfassendere Liste an kompromittierten Passwörtern (über 2,4 Milliarden), Sie bekommen auch eine sicherere Möglichkeit, Kennwörter Ihrer Benutzer in AD gegen eine NIST-konforme Liste mit kompromittierten Passwörtern abzugleichen.
Specops´s Password Policy Breached Password Protection ist in zwei Versionen erhältlich: Express und Complete. Beide Versionen überprüfen die Passwörter der Nutzer gegen eine kompromittierte Liste mit Passwörtern, während das Passwort gewechselt wird und verhindern so, dass Benutzer gefährdete Passwörter vergeben.
Mit der Express Liste werden Ihre Active Directory Benutzerkennwörter während des Passwortwechsels gegen eine vereinfachte Version unserer “Complete” Liste überprüft. Diese Liste kann On Premise genutzt werden und informiert den Benutzer sofort, wenn das ausgewählte Passwort kompromittiert ist.
Mit der Complete Liste werden Ihre Active Directory Benutzerkennwörter gegen eine Liste mit mehr als 2,4 Milliarden kompromittierten Kennwörtern während des Passwortwechsel geprüft. Die Liste steht in der Cloud zur Verfügung und benachrichtigt den Nutzer, wenn das gewählte Passwort bereits kompromittiert ist.
Mit beiden Listen, der Express und der Complete Liste bekommen Ihre Nutzer Zugriff sowohl auf einen schnellen Passwortcheck während des Passwortwechsels als auch auf einen umfassenden Sicherheitscheck mit der Complete Liste.
Sind Sie auf der Suche nach einer Kennwortsperrliste, die Ihnen hilft, die Empfehlungen und Richtlinien von Organisationen wie dem NIST oder BSI einzuhalten, die aber einfacher zu handhaben und wesentlich umfangreicher als die HIBP ist? Dann kontaktieren Sie uns auf unserer Kontaktseite, um zu erfahren, ob Specops Password Policy und Breached Password Protection passende Lösungen für Ihre Sicherheitsbedürfnisse sind.
(Zuletzt aktualisiert am 11/11/2022)