Flexible Security for Your Peace of Mind

Wie Sie Ihre Daten vor Wörterbuchangriffen schützen

Die einfachste und gängigste Methode, ein Passwort herauszufinden, ist der Wörterbuchangriff. Hierbei unterscheiden wir zwischen Angriffen basierend auf dem Allgemeinwortschatz, der im Deutschen ungefähr ~ 500.000 Wörter umfasst. Besteht ein Passwort direkt oder mit leichten Abwandlungen bzw. Erweiterungen aus solch einem Wort, so ist die Zahl der zu probierenden Passwörter vergleichsweise gering. Darüber hinaus können Wörterbuchangriff auch direkt auf Listen basieren, die durch Sicherheitsvorfälle bekannt gewordenen Kennwörter enthalten. Solche Listen von kompromittierten Passwörtern können mehrere Millionen Passwörter enthalten.

Cyberkriminelle haben Zugriff auf zahlreiche Sammlungen kompromittierter Passwörter, die aus unzähligen Datenleaks, wie zum Beispiel den Collections #1-5 bestehen. Durch Collection #1 allein wurden mehr als 2,7 Mrd. E-Mail/Passwort Kombinationen exponiert. Wenn ein kompromittiertes Kennwort von Ihren Anwendern oder im schlimmsten Fall von Ihren IT-Administratoren in Ihrer Organisation verwendet wird, erhöht das die Wahrscheinlichkeit eines erfolgreichen Angriffes auf Ihr Unternehmensnetzwerk und damit den unautorisierten Zugriff auf Ihre Daten.

Organisationen sind den Cyberkriminellen aber nicht schutzlos ausgeliefert und können Angreifer mit ihren eigenen Waffen schlagen. Unternehmen können die gleiche Datenbasis (Passwortlisten, Wörterbücher) verwenden, um schwache Passwörter in ihrer Organisation zu blockieren. In der Praxis bedeutet dies, eine Kennwortsperrliste und Wörterbücher für Active Directory durchzusetzen. Wenn Benutzer ihre Kennwörter ändern, werden diese mit denselben kompromittierten Kennwörtern oder leicht erratbaren Begriffen abgeglichen, die auch Cyberkriminellen zur Verfügung stehen. Dadurch wird verhindert, dass Benutzer Kennwörter erstellen, die anfällig für Angriffe sind.

Was Sie über Passwort-Angriffe wissen müssen

Organisationen setzen eine Vielzahl von Schutzmechanismen ein, um die Angriffsfläche kennwortrelevanter Bedrohungen zu verkleinern. Leider bleibt Active Directory auch mit erweiterten Passwort-Richtlinieneinstellungen anfällig.

Cyberkriminelle haben es schon immer auf Endbenutzer abgesehen. Sie gelten als das schwächste Glied in der Kette. Sie nutzen die Tatsache aus, dass Benutzer gegen die Standard-Sicherheitspraktiken verstoßen. Zum Beispiel wird dasselbe Passwort für private und geschäftliche Benutzerkonten verwendet.

Im einfachsten Fall werden Kennwörter durch geschickt erstellte Phishing – E-Mails abgegriffen. Sowohl bei Password Spray als auch bei klassischen Brut-Force Angriffen auf einen bereits vorhandenen Hash verwenden Cyber-Kriminelle auch Listen mit schwachen und kompromittierten Passwörtern, die von vielen Nutzern mit hoher Wahrscheinlichkeit verwendet werden. Die Passwörter können mit beliebten Zusammensetzungsmustern generiert werden, wie z. B. Zeichenersetzungen (P@$$$w0rd) oder aus bekannten Passwörtern bestehen (qwerty123). Wenn der Angriff auf eine bestimmte Organisation abzielt, wird eine Passwortliste erstellt, die für die Organisation relevante Wörter enthält, einschließlich des Namens, des Ortes, der Dienste, relevanter Akronyme oder lokaler Sportmannschaften. Speziell Password Spray Attacken mit ihrer begrenzten Anzahl von Anmeldeversuchen finden häufig unter dem Radar der SIEM-Systeme statt und können Benutzerkonten kompromittieren, ohne eine Sperre auszulösen.

Weitere Informationen über diese Hacking-Methode finden Sie unter „What is a password dictionary attack?”

Specops Password Auditor

NIST- Anforderungen an Passwort-Sperrlisten

Wenn es um die Sicherheit von Passwörtern geht, verfallen viele Benutzer scheinbar immer wieder in vorhersehbare Muster. Das National Institute of Standards and Technology (NIST) geht in seinen “Digital Identity Guidelines” darauf ein. Anstelle es dem Benutzer zu überlassen, keine kompromittierten Kennwörter zu verwenden, sollte dies durch leistungsfähige Authentifizierungssysteme verhindert werden. Für die meisten Organisationen bedeutet dies, entsprechende Passwortrichtlinien in Active Directory durchzusetzen.

Da kompromittierte Passwörter ein Einfallstor in das Unternehmensnetzwerk darstellen, verlangt das NIST, dass potenzielle Passwörter anhand einer Sperrliste mit bereits kompromittierten Passwörtern überprüft werden. Wenn eine Übereinstimmung gefunden wird, darf das Passwort nicht zugelassen werden. Diese Vorgehensweise empfiehlt unter anderem auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zusätzlich zur Blockierung von Passwörtern empfiehlt das NIST die Abschaffung anderer gängiger Praktiken, die die Benutzerfreundlichkeit beeinträchtigen. Zum Beispiel sollten Benutzer nicht gezwungen werden, ihr Passwort zu ändern. Es sei denn, es gibt Beweise für eine Kompromittierung.

Weitere Informationen zu den Empfehlungen finden Sie in unserer Zusammenfassung der “NIST-Password – Guidelines”.

NIST Special Publication 800-63B
Section 5.1.1.2: When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised.

Warum eine Sperrliste wichtig ist

Noch bis vor Kurzem wurden gestohlene Passwörter und Benutzername/Passwort Kombinationen im Dark Web für Tausende von Dollar verkauft. Heutzutage sind diese kostenlos, liegen im Klartext vor und sind milliardenfach erhältlich. Das bedeutet, dass kein Spezialwissen benötigt wird, um Konten zu kompromittieren. Sie müssen nur einen kompromittierten Benutzernamen inklusive Passwort manuell bei verschiedenen Online-Plattformen testen. Alternativ könnten Sie eine Liste gängiger Passwörter verwenden und gegen zufällige Benutzernamen testen, in der Hoffnung, dass jemand in der Organisation ein schwaches Passwort benutzt. Als Reaktion darauf müssen Unternehmen dieselben Passwörter für ihre Benutzer auf eine Sperrliste setzen – oder sie riskieren, dass Daten gestohlen werden.

Sie können Ihre Passwort-Einstellungen verbessern, indem Sie nicht nur kompromittierte Passwörter blockieren, sondern indem sie auch leicht erratbare Passwörter, die innerhalb Ihrer Organisation höchstwahrscheinlich verwendet werden, blockieren. Mit Active Directory Breached Password Protection  können Sie Richtlinienanforderungen wie Zeichenkomplexität und Ablauffristen lockern und gleichzeitig das gewünschte Sicherheitsniveau beibehalten.

Ein einziges kompromittiertes Kennwort kann eine potenzielle Gefährdung der Integrität, Verfügbarkeit oder Vertraulichkeit Ihrer Daten darstellen. Während eine kurze Passwort-Sperrliste von 1000 Passwörtern einen gewissen Schutz bietet, berücksichtigt eine größere Liste Milliarden von kompromittierten Passwörtern, die aus globalen Sicherheitsvorfällen stammen.

Um vor neuen Bedrohungen geschützt zu bleiben, müssen Organisationen ihre Liste ständig erweitern und aktualisieren. Dies kann ein aufwendiger Prozess für Ihre Organisation sein. Ein “Breached Password Protection Managed Service” vereinfacht den Prozess der Verwaltung der Liste der kompromittierten Passwörter erheblich. Während ein Managed Service durch die ständige Aktualisierung der Breached Password List Ihre Organisation vor kompromittierten Passwörtern schützt, können Sie sich ganz auf die Erstellung eines benutzerdefinierten Wörterbuchs konzentrieren, um gezieltere Angriffe abzuwehren. Das benutzerdefinierte Wörterbuch sollte für Ihre Organisation relevante Passwörter enthalten, zum Beispiel alle Begriffe, die Firmennamen, Standorte, Dienstleistungen, Branchenbegriffe und alle relevanten Akronyme enthalten. Wenn die richtige Lösung vorhanden ist, können Sie zusätzliche Einstellungen vornehmen, um sicherzustellen, dass Benutzer das Wörterbuch nicht mit vorhersehbaren Mustern umgehen können, wie z. B. Zeichenersetzung, umgekehrtes Passwort oder das Hinzufügen einer Zahl oder eines Ausrufezeichens am Ende des Passworts. Weitere Informationen finden Sie in unseren Best Practices für die Konfiguration eines benutzerdefinierten Wörterbuchs.

Password credential attack
Auch wenn schon etwas älter, aber immer noch aktuell: Der Hack von Dropbox im Jahr 2012 war das Resultat eines mehrfach verwendeten Passwortes. So hatte ein Dropbox Mitarbeiter dasselbe Passwort sowohl für sein Firmenkonto als auch für sein LinkedIn-Konto verwendet. Dieses wurde in einem vorhergehenden Angriff auf LinkedIn bereits kompromittiert.

Zusammenfassung

Specops Password Policy ist ein 3rd Party Passwortfilter, der in Kombination mit dem Breached Password Protection Managed Service verhindert, dass Active Directory Benutzer kompromittierte Kennwörter verwenden. Die Datenbank enthält 2,3 Milliarden kompromittierte Passwörter aus Sicherheitsverletzungen rund um den Globus, darunter die Collections #1-5. Auch die vom Sicherheitsexperten Troy Hunt zusammengestellte Have I Been Pwned-Liste ist Teil der Liste der kompromittierten Kennwörter. Bei einer Passwortänderung im Active Directory weist Breached Password Protection die Änderung ab und benachrichtigt den Benutzer, wenn das von ihm gewählte Passwort in einer Liste von kompromittierten Passwörtern gefunden wurde. Specops Password Policy macht es einfach, schwache Passwörter zu verhindern und die aktuellen Anforderungen an Passwortsicherheit einzuhalten.

× Schließen

Sie wollen mehr über
Specops Password Policy
erfahren?

Specops Password Policy kostenlos testen. Nein, danke.