Angreifbar trotz sicherer Passwörter: Wenn Compliance allein nicht ausreicht

Specops Software ist ein führender Anbieter von Passwort-Management- und Authentifizierungslösungen, die nativ in Active Directory integriert sind. Bei einer Auswertung von 800 Millionen kompromittierten Passwörtern stellten die Specops-Forscher fest, dass 83 Prozent formal den regulatorischen Standards genügen. „Komplexität oder Regeln mögen helfen, aber das beste Passwort der Welt hilft nicht, Ihr Netzwerk zu schützen, wenn es auf einer Liste mit kompromittierten Passwörtern eines Hackers steht“, kommentiert Darren James, Produktspezialist bei Specops Software, das Ergebnis der Studie.

Unternehmen, die herausfinden wollen, ob Passwörter ihrer Mitarbeiter bereits als kompromittiert gelten, können den Specops Password Auditor für Active Directory kostenlos herunterladen. Das Tool identifiziert nicht nur schwache oder gar mehrfach vergebene Kennwörter, sondern auch solche, die Cyberkriminellen wahrscheinlich schon bekannt sind. Es zeigt außerdem inaktive Konten und Konten mit abgelaufenen Passwörtern an.

Der kostenlose Specops Password Auditor arbeitet mit einer von Specops Software zusammengestellten Referenz-Datenbank mit rund 800 Millionen Einträgen. Sie stammen aus öffentlichen zugänglichen Quellen wie zum Beispiel „Have I Been Pwned“ sowie einem hauseigenen Honeypot. Der Scan beschränkt sich auf Active Directory und bezieht die Standard-Domänenpasswortrichtlinie und alle Fine Grained Password Policies ein. Die Ergebnisse, die als CSV-Datei exportiert werden können, wiederum erlauben konkrete Maßnahmen zur Verbesserung von Passwortrichtlinien.

Diese lassen sich mit Specops Password Policy aufstellen und in Active Directory umsetzen. Das Tool erweitert die Funktionalität von Gruppenrichtlinien und vereinfacht dabei die Umsetzung fein abgestimmter Passwortrichtlinien. Richtlinien für Compliance-gerechte Kennwörter können anhand der Vorgaben von Sicherheitsorganisationen wie NIST, SANS und auch BSI aufgestellt werden. Vorlagen und ein Berichtstool helfen, die jeweiligen Vorgaben einzuhalten oder gar zu übertreffen. Das Tool vergleicht alle Kennwortrichtlinien auf Wunsch auch mit den bereits genannten Industriestandards wie NIST und SANS.

Zum Funktionsumfang von Specops Password Policy gehört auch der Managed Service Breached Password Protection. Er basiert auf einer Datenbank mit zurzeit mehr als zwei Milliarden kompromittierten Kennwörtern aus aktuellen und vergangenen Datenleaks sowie dem hauseigenen Honeypot. Specops Password Policy lässt sich um angepasste Wörterbücher erweitern, die nicht Bestandteil eines Passworts sein dürfen, wie beispielsweise Firmennamen, Standort oder Produkte des eigenen Unternehmens. Specops Password Policy verhindert in Echtzeit jedes Kennwort, das als kompromittiert gilt oder im Wörterbuch steht. So hilft das Tool, passwortbezogene Angriffe inklusive Brute Force, Rainbow-Tabellen sowie Wörterbruch-Attacken abzuwehren.

Die Analysen von Specops Software zeigen aber auch, dass Passphrasen mehr Sicherheit bieten können als kürzere und dafür komplexere Passwörter. Passphrasen bieten den Vorteil, dass sich Nutzer leichter an sie erinnern. Bei der Erstellung einer Passphrase folgen sie deswegen seltener bekannten Mustern wie Ziffern am Anfang oder am Ende oder Wörter, gefolgt von einem Sonderzeichen und einer Zahl – Muster machen Passwörter vorhersehbar und damit trotz hoher Komplexität schwach.

Specops Password Policy unterstützt Passphrasen, die besonders lang, aber dafür weniger komplex sind. Hier ist also die Länge des Passworts die eigentliche Verteidigung: je länger, desto besser. Somit hilft das Tool Kunden auch dabei, die Entropie von Passwörtern zu verbessern. Administratoren können sogar mit einer Kennwortrichtlinie Nutzer für den Einsatz von extra langen Passphrasen mit Erleichterungen bei den Anforderungen zur Erneuerung des Passworts belohnen.

Was ein schwaches beziehungsweise bereits kompromittiertes Passwort auslösen kann, ist spätestens seit dem Ransomware-Angriff auf den US-Pipelinebetreiber Colonial Pipeline bekannt. Den Cybererpressern genügte mutmaßlich ein schwaches Passwort, um das Netzwerk des Unternehmens zu unterwandern. Colonial Pipeline war schließlich gezwungen, sein Pipeline-Netz im Osten der USA abzuschalten, mit nicht unerheblichen Folgen für die Versorgung mit Benzin, Diesel, Kerosin und Heizöl in der Region.

Es kann also nicht schaden, einmal sein Active Directory auf schwache und kompromittierte Passwörter zu überprüfen. Laden Sie Specops Password Auditor hier kostenlos herunter und scannen Sie Ihr Active Directory innerhalb von wenigen Minuten.