gesponsertNicht auf „Passwordless“ warten So verhindern Sie kompromittierte Kennwörter in Ihrem Active Directory

Gesponsert von

Specops Software GmbH

Ohne sichere Passwörter gibt es keine sicheren Netzwerke, und die passwortlose Anmeldung am Netzwerk ist noch nicht für alle Organisationen machbar oder umsetzbar. Leider steht es um die Passwortsicherheit nicht gut, wie erfolgreiche Attacken auf Active Directory (AD) zeigen. Erfahren Sie, wie Sie für sichere Kennwörter im AD sorgen und so die Netzwerksicherheit verbessern.

Passwortsicherheit muss im Fokus bleiben

Bei aller Diskussion über Nutzerprobleme mit Passwörtern und dem oft genannten Wunsch nach passwortlosen Verfahren zeigt die Praxis in den Unternehmen, dass die Verwendung sicherer Passwörter kein Thema von gestern ist.

Passwörter werden weiterhin von 88 Prozent der Unternehmen als primäre Methode zur Authentifizierung verwendet, wie der „2024 Specops Breached Password Report“ von Specops Software zeigt. Auch die Angreifergruppen halten an Passwörtern fest. Laut Verizon 2023 Data Breach Investigations Report starten 49 Prozent der Cyberattacken mit dem Missbrauch gestohlener Zugangsdaten.

Netzwerksicherheit kann man also auch weiterhin nur dann erreichen, wenn die Passwortsicherheit stimmt. Ein Warten auf „Passwordless“ kann sich in der aktuellen Lage steigender Cyberbedrohungen kein Unternehmen leisten, es wäre viel zu riskant.

Die Bordmittel im AD reichen nicht

Für Cyberkriminelle, die in Netzwerke eindringen wollen, sind Active Directory Domain Services (AD DS) ein sehr beliebtes Ziel. Um die Sicherheit von Active Directory zu erhöhen, sollten AD- und Netzwerkadministratoren insbesondere schwache und kompromittierte Passwörter aufspüren und verhindern.

Doch Active Directory alleine prüft nicht standardmäßig auf kompromittierte Kennwörter. Mit einer gewissen Konfiguration können Administratoren Active Directory-Kennwörter mit der „Have I been Pwned“-Kennwortliste abgleichen.

Doch das sollte nicht nur bei einem Passwortwechsel erfolgen, sondern ein fortlaufender Prozess sein. Aber nur 50 Prozent der befragten Unternehmen scannen mehr als einmal im Monat nach kompromittierten Passwörtern, wie der „2024 Specops Breached Password Report“ ergab.

Specops Password Policy sucht dagegen täglich nach kompromittierten Kennwörtern im AD und sorgt ebenso für die Durchsetzung modernerer Passwortrichtlinien, um die Vergabe von schwachen Passwörter zu erschweren.

„Wir hatten ein Problem mit schwachen Passwörtern, und die Standardeinstellungen der Active Directory-Passwortrichtlinie erlaubten es uns nicht, gängige Wörter zu blockieren“, so zum Beispiel Ian Aston, ICT Security Manager beim East Ayrshire Council. „Wir waren mit Specops Software vertraut und haben schnell eine Demo erstellt, um die Specops Password Policy-Software zu testen.“

So hilft Specops Password Policy der Netzwerksicherheit

Die Specops Password Policy unterstützt bei einer höheren Passwortsicherheit in Microsoft Active Directory. Die Lösung erweitert in einer Active Directory-Umgebung die Fähigkeit eines Domänen Controllers, Anforderungen an Passwortsicherheit nach dem aktuellen Stand der Technik durchzusetzen. Durch Nutzung von Gruppenrichtlinien zur Konfiguration wird die einfache Verwaltung von individuellen Password Policies innerhalb einer Domäne ermöglicht.

Mit Specops Password Policy werden dabei die aktuellen Empfehlungen der IT-Sicherheitsbehörden wie BSI und NIST an Passwortsicherheit einfach und schnell umgesetzt. Dabei besteht die Möglichkeit, starke Passwörter auch mithilfe von extra Richtlinien für Passphrasen durchzusetzen.

Die kontinuierliche Suche mit Specops Password Policy nach Passwörtern, die durch Leaks oder Infostealer kompromittiert wurden, nutzt die „Breached Password Protection List“ mit bereits mehr als vier Milliarden kompromittierten Passwörtern, Live-Attack-Data aus dem Honeypot System von Specops Software sowie Stolen Credentials aus Threat Intelligence Daten der Muttergesellschaft Outpost24.

„Unsere Passwortsicherheit ist jetzt viel besser, insbesondere seit wir die kontinuierlichen Scans für Specops Breached Password Protection aktiviert haben“, erklärte Stuart Lawton, Cyber Security Manager, Mid Cheshire NHS Foundation Trust. „Die Einführung verlief reibungslos, und es wurden keine Probleme von Benutzern, dem Helpdesk oder dem Management gemeldet.“

Auch Benutzerfreundlichkeit spielt eine Rolle dabei, wie die User mit Passwörtern umgehen. Neben Passphrasen, die die Erstellung langer Passwörter vereinfacht, werden Nutzerinnen und Nutzer bei der Erstellung ihrer Passwörter mit dynamisches Echtzeit-Feedback zu den Passwortanforderungen unterstützt.

„Wir haben den Authentication Client auf allen unseren Endpunkten installiert, damit unsere Benutzer rechtzeitig benachrichtigt werden, falls sie kein sicheres Passwort wählen“, berichtete Ian Aston, East Ayrshire Council. „Die Funktion ist sehr hilfreich und macht den Implementierungsprozess sehr reibungslos.“

Einen guten Startpunkt auf dem Weg zur Verbesserung der Passwortsicherheit bietet der Specops Password Auditor mit einer kostenlosen Ist-Analyse. „Als erstes haben wir einen Scan mit Specops Password Auditor durchgeführt, um herauszufinden, wie viele andere Passwörter Müll waren“, so die Empfehlung von Daniel, Head of IT eines Pharmaunternehmens. „Die Ergebnisse waren beängstigend, etwa 30 Prozent unserer Benutzer verwendeten kompromittierte Passwörter.“ Nach der Einführung von Specops Password Policy und Breached Password Protection war Daniels Team in der Lage, Passphrasen bereitzustellen und die Verwendung kompromittierter Passwörter kontinuierlich zu blockieren.

(ID:49986171)