Einem Report von Verizon zufolge gehen 80 Prozent der IT-Sicherheitsvorfälle, die personenbezogene oder geschäftliche Daten betreffen, auf schwache oder kompromittierte Kennwörter zurück. Daher sollten Admins regelmäßig prüfen, ob die Konten im Active Directory durch starke Passwörter abgesichert sind.*
Die zentrale Vorschrift zur Datensicherheit in der DSGVO ist der Artikel 32. Demnach haben IT-Verantwortliche geeignete "technische und organisatorische Maßnahmen" zu treffen, um ein dem Risiko angemessenes Schutzniveau der Datenverarbeitung zu gewährleisten. Dazu gehört auch der Audit von Zugangsdaten (Lesetipp: "Bewertung der Passwortstärke" in der Handreichung von Teletrust, Kapitel 3.2.1).
Ursachen für leicht zu knackende Kennwörter
In der Praxis sind schwache oder kompromittierte Passwörter leider keine Seltenheit. Sie kommen etwa zustande, wenn Admins neue Konten via Script mit immer dem gleichen Kennwort erstellen und die Nutzer nicht zur Änderung des Passworts bei der nächsten Anmeldung zwingen.
Auch in dem Fall, dass Nutzer ihre Passwörter ändern müssen, sind die neuen Kennwörter oft nicht sehr stark. Häufig wird das alte Passwort nur inkrementiert, zum Beispiel von Sommer2021 auf Sommer2022.
Mehrfache Verwendung von Passwörtern
Eine gefährliche Schwachstelle droht, wenn Benutzer mehrere Konten besitzen und immer das gleiche Kennwort verwenden. Das gilt ganz besonders dann, wenn es sich bei einem davon um einen administrativen Account mit erhöhten Rechten handelt.
Einen Dominoeffekt kann es bei Dienstkonten geben, wenn sie alle das gleiche Passwort erhalten. Diese Accounts steuern in der Regel kritische Systeme, besitzen üblicherweise in irgendeiner Form erhöhte Rechte und ihre Passwörter laufen in der Regel nie ab.
Wäre es daher nicht gut, wenn man sehen könnte, welche Nutzer in der Organisation in Active Directory identische, schwache oder bereits kompromittierte Passwörter verwenden?
Kostenloses Tool für den Passwort-Check
Da Kennwörter im AD aus Sicherheitsgründen nicht im Klartext vorliegen, sondern als Hash, lassen sie sich nicht einfach mit Bordmitteln prüfen. Specops Password Auditor ist ein kostenloses Tool, mit dem man sein Active Directory schnell und einfach auf passwortrelevante Schwachstellen untersuchen kann.
Das Programm greift nur lesend auf das AD zu und vergleicht die Passwort-Hashes untereinander sowie mit einer Liste mit über 700 Millionen bereits kompromittierten Kennwörtern.
Specops Password Auditor prüft alle für authentifizierte Nutzer zugänglichen Informationen in der Domäne, etwa die Passwortrichtlinien, die festgelegten Ablauffristen von Kennwörtern und vieles mehr.
Führt man das Programm als Domain Admin aus, dann kann es den NT Hash aller Passwörter vergleichen und die Benutzer aufzeigen, die ein identisches, schwaches oder kompromittiertes Passwort haben.
Mit dem Specops Password Auditor kann man evaluieren, ob im Active Directory schwache, mehrfach verwendete oder bereits kompromittierte Passwörter verwendet werden.
Sie können das Tool hier kostenlos herunterladen »
Schwache Passwörter verhindern mit Password Policy
Sollte Ihr Active Directory schwache oder kompromittierte Passwörter enthalten, dann können Sie mit Specops Password Policy weitere technische Maßnahmen zur Durchsetzung starker Kennwörter ergreifen, um auch dem Artikel 32 der DSGVO gerecht zu werden.
Mit Specops Password Policy lassen sich die aktuellen Empfehlungen von Sicherheitsbehörden wie BSI oder NIST einfach und schnell implementieren. Es erweitert die Funktionalität der Gruppenrichtlinien und erlaubt so die Konfiguration von fein abgestimmten Passwort-Richtlinien.
Für eine Preisindikation oder eine kostenlose Vorführung der Specops Password Policy kontaktieren Sie uns gerne.
*Dies ist ein bezahlter Beitrag von Specops Software.