Wie man schwache und kompromittierte Kennwörter im Active Directory findet

    Kompromittierte PasswörterEinem Report von Verizon zufolge gehen 80 Prozent der IT-Sicher­heits­vorfälle, die personen­bezogene oder geschäf­tliche Daten betreffen, auf schwache oder kom­pro­mittierte Kenn­wörter zurück. Daher sollten Admins regel­mäßig prüfen, ob die Konten im Active Directory durch starke Pass­wörter abge­sichert sind.*

    Die zentrale Vorschrift zur Daten­sicherheit in der DSGVO ist der Artikel 32. Demnach haben IT-Verant­wortliche geeignete "technische und organisatorische Maßnahmen" zu treffen, um ein dem Risiko angemessenes Schutzniveau der Daten­verarbeitung zu gewähr­leisten. Dazu gehört auch der Audit von Zugangsdaten (Lesetipp: "Bewertung der Passwortstärke" in der Handreichung von Teletrust, Kapitel 3.2.1).

    Ursachen für leicht zu knackende Kennwörter

    In der Praxis sind schwache oder kompro­mit­tierte Passwörter leider keine Seltenheit. Sie kommen etwa zustande, wenn Admins neue Konten via Script mit immer dem gleichen Kennwort erstellen und die Nutzer nicht zur Änderung des Passworts bei der nächsten Anmeldung zwingen.

    Auch in dem Fall, dass Nutzer ihre Passwörter ändern müssen, sind die neuen Kennwörter oft nicht sehr stark. Häufig wird das alte Passwort nur inkrementiert, zum Beispiel von Sommer2021 auf Sommer2022.

    Mehrfache Verwendung von Passwörtern

    Eine gefährliche Schwachstelle droht, wenn Benutzer mehrere Konten besitzen und immer das gleiche Kennwort verwenden. Das gilt ganz besonders dann, wenn es sich bei einem davon um einen admini­strativen Account mit erhöhten Rechten handelt.

    Einen Dominoeffekt kann es bei Dienstkonten geben, wenn sie alle das gleiche Passwort erhalten. Diese Accounts steuern in der Regel kritische Systeme, besitzen üblicherweise in irgendeiner Form erhöhte Rechte und ihre Passwörter laufen in der Regel nie ab.

    Wäre es daher nicht gut, wenn man sehen könnte, welche Nutzer in der Organisation in Active Directory identische, schwache oder bereits kom­promit­tierte Passwörter verwenden?

    Kostenloses Tool für den Passwort-Check

    Da Kennwörter im AD aus Sicherheits­gründen nicht im Klartext vorliegen, sondern als Hash, lassen sie sich nicht einfach mit Bordmitteln prüfen. Specops Password Auditor ist ein kostenloses Tool, mit dem man sein Active Directory schnell und einfach auf passwort­relevante Schwach­stellen untersuchen kann.

    Das Programm greift nur lesend auf das AD zu und vergleicht die Passwort-Hashes untereinander sowie mit einer Liste mit über 700 Millionen bereits kompromittierten Kennwörtern.

    Der Abgleich der AD-Passwörter mit der Liste der kompromittierten Kennwörter geht flott über die Bühne.

    Specops Password Auditor prüft alle für authentifizierte Nutzer zugänglichen Informationen in der Domäne, etwa die Passwort­richtlinien, die festgelegten Ablauffristen von Kennwörtern und vieles mehr.

    Führt man das Programm als Domain Admin aus, dann kann es den NT Hash aller Passwörter vergleichen und die Benutzer aufzeigen, die ein identisches, schwaches oder kompromittiertes Passwort haben.

    Specops Password Auditor generiert mehrere Reports, die helfen, Benutzerkonten zu schützen.

    Mit dem Specops Password Auditor kann man evaluieren, ob im Active Directory schwache, mehrfach verwendete oder bereits kompromittierte Passwörter verwendet werden.

    Sie können das Tool hier kostenlos herunterladen »

    Schwache Passwörter verhindern mit Password Policy

    Sollte Ihr Active Directory schwache oder kompromittierte Passwörter enthalten, dann können Sie mit Specops Password Policy weitere technische Maßnahmen zur Durchsetzung starker Kennwörter ergreifen, um auch dem Artikel 32 der DSGVO gerecht zu werden.

    Specops Password Policy bietet weit mehr Möglichkeiten für Passwortrichtlinien als die Bordmittel.

    Mit Specops Password Policy lassen sich die aktuellen Empfehlungen von Sicherheits­behörden wie BSI oder NIST einfach und schnell implementieren. Es erweitert die Funktionalität der Gruppen­richtlinien und erlaubt so die Konfiguration von fein abgestimmten Passwort-Richtlinien.

    Für eine Preisindikation oder eine kostenlose Vorführung der Specops Password Policy kontaktieren Sie uns gerne.

    *Dies ist ein bezahlter Beitrag von Specops Software.