Create your customized security approach.
Contact UsMit Specops Breached Password Protection werden Ihre Active Directory-Passwörter mit einer kontinuierlich aktualisierten Liste von kompromittierten Passwörtern abgeglichen. Diese Liste umfasst über 4 Milliarden Passwörter aus wichtigen Sicherheitsvorfällen sowie Passwörter aus derzeit tatsächlich stattfindenden Passwortangriffen. Wird in Active Directory ein Passwort geändert, so blockiert der Service das Passwort und informiert die Benutzer, wenn sich das von ihnen gewählte Passwort auf der Liste verbotener Passwörter befindet.
Wie funktioniert das?
Der Breached Password Protection Service bietet zwei Versionen an, Complete und Express. Beide sind enthalten, wenn Sie Breached Password Protection in Specops Password Policy aktivieren.
- Breached Password Protection Complete verfügt über mehr als 4 Milliarden Passwörter und verbindet sich über einen API-Schlüssel mit Ihrem Netzwerk. Wird der Service aktiviert, so prüft er die Passwörter Ihrer Benutzer bei der Änderung oder dem Zurücksetzen eines Passwortes und benachrichtigt Ihre User per E-Mail oder SMS, wenn dieses Passwort als kompromittiert bekannt ist. In einem solchen Fall kann er von ihnen verlangen, es bei der nächsten Anmeldung zu ändern.
- Breached Password Protection Express ist eine Teilmenge der längeren, kompletten Liste. Wird der Service aktiviert, so prüft er die Passwörter Ihrer Benutzer bei der Änderung oder dem Rücksetzen eines Passwortes und blockiert sie unmittelbar. Administratoren können den Service so konfigurieren, dass ein nächtlicher Abgleich mit der Express-Liste durchgeführt wird. Die Express-Liste wird auch bei einem Password Auditor-Scan verwendet.
Sie können je nach Ihren Sicherheitspräferenzen die eine oder die andere Version verwenden. Wir empfehlen Ihnen jedoch, wenn möglich, beide zu aktivieren.
Genauere Informationen zu den technischen Anforderungen von Specops Breached Password Protection finden Sie in unserem Referenzmaterial.
Funktionen
| Features | Active Directory | Azure AD Password Protection | Specops Breached Password Protection |
|---|---|---|---|
| Blockierte Liste enthält kompromittierte Passwörter Dritter (wie von Organisationen wie NIST und NCSC empfohlen) | nicht verfügbar | Nein (gemäß Microsoft keine Liste Dritter) | Ja |
| Schutz vor der Verwendung von über 3 Millionen bekannter kompromittierter Passwörter | nicht verfügbar | Nein (Fuzzy-Matches über 1 Million) | Ja |
| Blockt in tatsächlich derzeit stattfindenden Passwort-Spray-Angriffen verwendete Passwörter | nicht verfügbar | Teilweise (verwendet nur Basisbegriffe auf einer globalen Liste) | Ja |
| Aktualisierungen der geblockten Liste bieten unmittelbaren Schutz | nicht verfügbar | Ja | Ja |
| Bietet Schutz auf Domänen-Controllern, die nicht mit einem externen Internet verbunden sind | nicht verfügbar | Nein | Ja (mit Express) |
| Bildschirmerklärung, warum das Passwort abgelehnt wird | nicht verfügbar | Nein (nicht on-prem) | Ja |
| Off-Screen-Benachrichtigungen über kompromittiertes Passwort | nicht verfügbar | Nein | Ja (Textnachricht und E-Mail) |
Konfigurieren Sie, wenn Benutzer Ihre Passwörter ändern müssen, sowie den Inhalt Ihrer E-Mail- und Textnachrichten. Wählen Sie, ob Sie Ihren eigenen E-Mail-Server oder den Specops-Service für den Versand Ihrer E-Mail-Benachrichtigungen verwenden möchten.
Konfigurieren Sie, wenn Benutzer Ihre Passwörter ändern müssen, sowie den Text Ihrer E-Mail-Benachrichtigung.
Häufig gestellte Fragen
Unser Team arbeitet kontinuierlich an der Aktualisierung der in Specops Breached Password Protection verwendeten Liste. Breached Password Protection Complete, unsere Liste mit API-Verbindung, wird sofort aktualisiert, wenn unser Team neue Fälle findet (mindestens einmal täglich). Breached Password Protection Express, die komprimierte, herunterladbare Liste, wird alle paar Monate aktualisiert.
Wo finden Sie die neuen Passwörter auf der Liste?
Die Angriffserkennungssysteme unseres Forschungsteams halten den Service täglich auf dem neuesten Stand und stellen sicher, dass Netzwerke vor tatsächlich derzeit stattfindenden Passwortangriffen geschützt sind.
Aus Sicherheitsgründen veröffentlichen wir nicht den kompletten Inhalt von Specops Breached Password Protection. Wir können jedoch sagen, dass die Liste mit über 4 Milliarden Passwörtern die HaveIBeenPwned-Liste enthält, die jüngsten Collection-Listen sowie unzählige andere Listen mit geleakten Passwörtern, wie von Aufsichtsbehörden wie unter anderem NIST, CMMC, NCSC empfohlen.
Neben bekannten Verstößen prüft unser Forschungsteam zudem aktiv auf Passwörter, die aktuell bei laufenden Passwort-Spray-Angriffen verwendet werden. Die Angriffserkennungssysteme unseres Forschungsteams halten den Service täglich auf dem neuesten Stand und stellen sicher, dass die Benutzer der Organisation diese Passwörter sofort bei der Änderung/dem Zurücksetzen eines Passworts nicht wählen können.
Nein. Der Sentinel Passwort Filter generiert einen bycrpt-Hash des neuen Passwortes des Benutzers. Weder das Passwort noch der bycrpt-Hash werden preisgegeben. Die ersten Bytes des bycrypt-Hashes werden dazu verwendet, eine Reihe an übereinstimmenden Hashes abzufragen. Dieser Abgleich findet auf dem Domänen-Controller, im Netzwerk der Organisation, statt.
Sie haben eine Frage, die hier nicht beantwortet wurde? Wir beantworten Sie gerne. Wenden Sie sich an Ihren Ansprechpartner bei Specops oder kontaktieren Sie uns.
Finden Sie heraus, wie viele Passwörter Ihrer Benutzer anfällig sind
Specops Password Auditor ist ein kostenloses Tool, dass Passwörter von Benutzerkonten des Active Directory mit unserer Liste an kompromittierten Passwörtern abgleicht. Der Auditor gibt zudem eine komplette Übersicht über die Administratorenkonten in der Domäne einer Organisation, einschließlich veralteter/inaktiver Administratorenkonten. In einer einzigen Übersicht können Sie Schwachstellen sehen, die Ihnen bei Ihrem Sicherheitsplan helfen können.
Ein einziges geleaktes Passwort reicht aus, um ein Risiko und eine potenzielle Gefährdung zu schaffen. Laden Sie Ihr kostenloses Exemplar von Specops Password Auditor herunter.
Holen Sie sich eine Demo von Specops Breached Password Protection
Möchten Sie sehen, wie Specops Breached Password Protection in Ihrer Umgebung funktioniert? Specops Breached Password Protection ist Teil der Specops Password Policy, ein Active Directory-Tool, das die Funktionen von Group Policy ausweitet und die Verwaltung von fein abgestimmten Passwortrichtlinien vereinfacht.
Fordern Sie noch heute eine Demo oder Testversion von Specops Password Policy und Breached Password Protection an.
