Entfernung schwacher Passwörter für Cyber Essentials

Schwache Passwörter verhinderten, dass der Greater Manchester West Mental Health NHS Foundation Trust die Cyber Essentials Plus-Zertifizierung erreichte. Um ihr Engagement für Cybersicherheit zu demonstrieren, musste der Trust schwache Passwörter konsequent verbieten. Mit Specops Password Policy konnte der Trust dieses Ziel erreichen und schwache Passwörter effektiv blockieren – zusätzlich profitierte man von mehreren Richtlinienoptionen und einer klaren Rückmeldung für die Endnutzer. 

Andre de Araujo, Leiter der ICT beim Greater Manchester West Mental Health NHS Foundation Trust, erhielt die Aufgabe, die Probleme des Trusts mit schwachen Passwörtern anzugehen. Zwar nutzten sie eine fein granulare Passwort-Richtlinie im Active Directory, doch da es nicht möglich war, Passwortwörterbücher einzusetzen, führten Hunderte sehr schwacher Passwörter dazu, dass das Risiko bestehen blieb. 

„Wir haben ein Skript laufen lassen, um Hashes zu finden, die geknackt werden konnten“, erklärt Andre. „Hunderte Nutzer hatten Passwörter, die den Wochentag, den Monat oder sogar das Wort ‚password‘ enthielten – oft mit einer Zahl am Ende oder einem Ausrufezeichen. Es war interessant zu sehen, wie viele Nutzer denselben Mustern folgen, was zu leicht zu erratenden Passwörtern führt.“ 

Der Trust beschäftigt rund 6.000 Mitarbeitende, darunter Büroangestellte, Betreuungskräfte für häusliche Pflege, Reinigungspersonal und viele weitere. Alle müssen alle sich an einem Computer anmelden, sei es für Schulungen oder den Zugriff auf E-Mails. Das Verständnis für Technologie und Cybersicherheit variiert jedoch stark zwischen den verschiedenen Nutzergruppen. 

Um Specops Password Policy und die Funktion Breached Password Protection zu evaluieren, richtete der Trust einen vollständigen Proof of Concept ein. Der Hauptantrieb für den Test war, den Dienst zu nutzen, um bekannte schwache Passwörter zu blockieren und individuelle Wörterbücher für passworttypische Begriffe innerhalb des Trusts anzulegen. Während der Evaluation erkannte der Trust, dass sich weitere Funktionen nutzen lassen, um einen granuläreren Ansatz bei den Passwort-Richtlinien zu verfolgen. Die Möglichkeit, unterschiedliche Richtlinien für verschiedene Nutzergruppen zu definieren, war ein zusätzlicher Vorteil – ebenso wie das Feedback für Endnutzer, das transparent macht, warum ein Passwort die Anforderungen nicht erfüllt. 

„Specops Password Policy lässt sich einfach implementieren und funktioniert wie versprochen“, sagt Andre. „Wir wurden während des gesamten Proof of Concept unterstützt, und ich würde die Lösung jedem empfehlen, der seine Passwortsicherheit verbessern möchte.“ 

Die Passwortanforderungen für Cyber Essentials beinhalten, die Passwortverantwortung von den Nutzern auf technische Systeme zu verlagern. Dazu gehören unter anderem das Blockieren schwacher und geleakter Passwörter, das Sperren von Konten nach wiederholten fehlgeschlagenen Anmeldeversuchen sowie das Abschaffen regelmäßiger Passwortablaufzeiten. Ebenso wichtig ist es, die Anzahl der Nutzer mit privilegiertem Zugriff zu begrenzen und sicherzustellen, dass diese Konten nur für die jeweils notwendigen Aufgaben verwendet werden. 

Das neueste Update der Specops Password Policy unterstützt die Erfüllung der Cyber Essentials-Anforderungen durch eine passwortlängenbasierte Passwortablaufregelung. IT-Administratoren können die Länge eines Passworts mit der Gültigkeitsdauer koppeln – je länger das Passwort, desto länger der Zeitraum bis zum Ablauf.