Tags: Active Directory, Authentifizierung, Helpdesk
Das Zurücksetzen von Passwörtern gehört zu den häufigsten Anfragen an den Helpdesk. Die Aufgabe selbst ist zwar trivial, aber vorher muss sicher sein, dass der Auftrag vom betreffenden User selbst kommt. Die Tesis Sysware GmbH bietet mit ASPR einen Self Service, der 7 Methoden zur Authentifizierung beherrscht.
Beim Zurücksetzen von Kennwörtern handelt es sich um eine Routinetätigkeit, die den Helpdesk gerade nach Ende der Urlaubssaison verstärkt beansprucht. Daher liegt es nahe, diese Aufgabe an die Mitarbeiter selbst zu delegieren. Die meisten von ihnen sind solche Verfahren bereits von sozialen Netzwerken und Shopping-Portalen gewohnt.
Die größte Herausforderung beim Password-Reset besteht darin, den Benutzer verlässlich zu authentifizieren. Das gilt unabhängig davon, ob er die Aktion selbst ausführt oder den Helpdesk einschaltet. Bei größeren Firmen oder solchen mit mehreren Standorten sind nämlich nicht alle Mitarbeiter dem IT-Personal persönlich bekannt, so dass sie erst ihre Identität belegen müssen. Das gelegentlich noch praktizierte Zufaxen einer Ausweiskopie ist umständlich und nicht besonders sicher.
Während sich Internet-Dienste meist darauf beschränken, dem Anwender eine URL per Mail zuzusenden, müssen entsprechende Enterprise-Tools mehrere Online- und Offline-Szenarien abdecken.
Im Unterschied zu Amazon oder Twitter haben Anwender in Unternehmen oft nicht nur ein Kennwort, sondern jeweils ein eigenes für verschiedene Systeme und Anwendungen. Ein Tool zum Reset von Passwörtern sollte idealerweise auch dies berücksichtigen.
Web-basierter Self-Service
Beim ASPR Password Manager handelt es sich um ein derartiges Programm für den Enterprise-Einsatz. Um es ad hoc von verschiedenen Geräten starten zu können, ohne dass man vorher eine Software lokal installieren muss, verfügt es über ein Web-Interface.
Je nach gewähltem Verfahren ruft es der Benutzer selbst auf oder andere Mitarbeiter bzw. der Helpdesk übernehmen diese Aufgabe für ihn. Kennt der User sein Passwort und will es einfach nur wechseln, dann kann er das völlig in Eigenregie tun. Die Authentifizierung erfolgt dann wie üblich durch das alte Passwort.
Hat er es hingegen vergessen, dann bleibt ihm beim Windows-Kennwort der Zugang zum Rechner verwehrt. In diesem Fall müsste er ASPR entweder auf dem PC eines Kollegen starten oder etwa auf einem Smartphone ausführen.
Alternativ bietet ASPR die Möglichkeit, sich über einen vordefinierten Service-Account im Kiosk-Modus am sonst unzugänglichen Rechner anzumelden. Dort läuft dann ein Web-Browser mit der ASPR-Site als der einzig zulässigen Anwendung.
Workflow für Password Reset
Unabhängig davon, wer das Zurücksetzen des Passworts startet, umfasst der Workflow immer die gleichen vier Schritte. Nach der Eingabe des Username folgt die Authentifizierung, danach wählt der Anwender das System bzw. Anwendung aus, für die er ein frisches Kennwort benötigt. Nach dem Festlegen des neuen Passworts präsentiert das Tool eine Zusammenfassung des Vorgangs.
Als hilfreich erweist sich dabei, dass ASPR ein neues Kennwort schon bei der Eingabe mit der Password Policy vergleicht und dem Benutzer noch vor dem Absenden zeigt, ob es den Anforderungen genügt. Andernfalls könnten User an der erforderlichen Länge oder Komplexität des Passworts scheitern und letztlich doch wieder den Helpdesk behelligen.
Dieser Ablauf variiert ein wenig, wenn der Helpdesk diese Aufgabe übernimmt. Hier scheiden die meisten Authentifizierungsmethoden aus, weil sie entweder den Zugang zur E-Mail bzw. zum Telefon des Benutzers erfordern oder biometrische Eingaben erfordern. Hier bleibt beispielsweise die Abfrage von Wissen, das der Anwender im System hinterlegt haben muss, oder der Versand einer TAN.
Wenn Dritte ein Passwort ändern, dann soll dieses ja nur einmalig gelten und der Benutzer muss es dann nach der ersten Anmeldung erneuern. Daher unterstützt ASPR den Helpdesk an dieser Stelle mit dem Erzeugen eines temporären Kennworts, das automatisch den konfigurierten Policies entspricht.
Unabhängig davon, wer ein Kennwort ändert, schreibt ASPR alle derartigen Ereignisse in einem Audit Trail mit und verständigt obendrein den User per Mail, so dass er auf einen möglichen Missbrauch sofort aufmerksam gemacht würde.
Optionen zur Authentifizierung der Benutzer
Das Tool beherrscht insgesamt 7 Verfahren für diesen Zweck, die sich zudem kombinieren lassen:
- Frage-Antwort-Paare
- TAN
- Token, basierend auf Time-based One-Time-Password (TOTP)
- Gesichtserkennung
- Vier-Augen-Prinzip
- Anmeldedaten eines weiteren Systems
- Tippverhalten
Aber nicht alle sind unter sämtlichen Bedingungen nutzbar. ASPR zeigt daher nur die Methoden an, die tatsächlich zur Verfügung stehen. So setzen einige von ihnen voraus, dass der Benutzer schon vorab die jeweils benötigten Informationen hinterlegt.
Das gilt etwa für Antworten auf vorgegebene Fragen, die Verwendung eines Token (TOTP) oder der Face-ID. Für TOTP benötigt man eine Authenticator-App wie jene von Google oder Microsoft, die man mit der Anwendung koppelt, indem man einen QR-Code einliest.
Die Nutzung der Face-ID erfordert, dass Fotos der Benutzer im System gespeichert sind. Zur Abwehr von einfachen Betrugsmaschen, zum Beispiel Fotos vor die Kamera zu halten, fordert ASPR den User auf, den Kopf in eine bestimmte Richtung zu bewegen, während das Tool die biometrischen Daten abgleicht.
Fast immer nutzen lässt sich das Versenden einer TAN, sofern die Mail-Adresse oder die Telefonnummer im Active Directory eingetragen wurde. In diesem Fall liest ASPR diese Daten selbständig aus, so dass der Benutzer im Vorfeld nichts unternehmen muss.
Vier-Augen-Prinzip
Ähnliches gilt auch für das Vier-Augen-Prinzip. Hier legt der Administrator vorab anhand von AD-Attributen oder Gruppenzugehörigkeiten fest, welche Kollegen in Frage kommen, um das Passwort eines Mitarbeiters zurückzusetzen. Beide müssen sich dann im gleichen Dialog authentifizieren.
Um zu verhindern, dass sich zwei Spaßvögel verabreden, um die Passwörter ihrer Kollegen ohne deren Wissen zu erneuern, kann der Administrator eine Zeitspanne festlegen, die zwischen diesen Vorgängen mindestens liegen muss. Und natürlich zeichnet ASPR sich ein solches Ereignis ebenfalls auf.
Während das Vier-Augen-Prinzip normalerweise zwar keine Vorbereitung durch den Anwender benötigt, scheitert es aber im Home Office oder im Hotel daran, dass die benötigten Kollegen dort nicht greifbar sind.
VPN-Problematik
Beim Arbeiten von zu Hause gibt es nach dem Neusetzen des Passworts häufig das Problem, dass der Benutzer erst nach seiner Anmeldung an Windows die VPN-Verbindung herstellen kann. Diese würde er aber schon vor dem Logon brauchen, um das neue AD-Passwort zu synchronisieren. Andernfalls muss man sich weiter über die Credentials im lokalen Cache anmelden. Das klappt aber aufgrund des vergessenen Passworts nicht.
Wenn Unternehmen ein hybrides AD eingerichtet haben, dann sieht TESIS die Möglichkeit vor, dass sich User gegen das Azure AD authentifizieren, wofür ja kein VPN benötigt wird.
Frage-Antwort-Paare
Ein Verfahren, das praktisch immer funktioniert, sind die Antworten auf vorgegebene Fragen. Allerdings leidet es unter der gleichen Schwäche wie Passwörter selbst. Kennt ein potenzieller Angreifer das persönliche Umfeld eines Users und ist die Antwort kurz, dann lässt sie sich leicht erraten.
Erzwingt der Administrator dagegen eine sehr lange Antwort, dann können sich Benutzer diese nur schlecht merken und scheitern beim Zurücksetzen des Passworts.
Authentifizierung an Drittsystemen
Wenn ASPR nicht nur für den Reset des AD-Passworts konfiguriert, sondern etwa auch an SAP oder Unix bzw. Linux angebunden wurde, dann gilt die erfolgreiche Anmeldung an einem dieser Drittsysteme als Authentifizierung des Users für den Reset.
Dies setzt allerdings voraus, dass er für die Systeme verschiedene Kennwörter verwendet und kein Single-Sign-on eingerichtet wurde. Falls ein solches dennoch erwünscht ist, kann ASPR beim Ändern des AD-Passworts dieses auch auf die anderen Systeme übertragen.
Erkennen des Tippverhaltens
Ein letztes Verfahren, das verlässlich nur in der gewohnten Arbeitsumgebung funktioniert, ist das Erkennen des Tippverhaltens. Zu diesem Zweck muss der Anwender vorab einen Text eingeben, so dass die Software dabei ein bestimmtes Muster erkennen kann. Zur Authentifizierung wiederholt der Benutzer diese Prozedur und gilt als identifiziert, wenn das System eine ausreichende Übereinstimmung erkennt.
Die wesentliche Schwäche dieser Methode besteht darin, dass der Wechsel auf einen anderen Rechner und damit auf eine andere Tastatur das Tippverhalten relativ leicht beeinflusst und damit eine erfolgreiche Authentifizierung verhindert.
Fazit
Der wesentliche Zweck einer Lösung für den Passwort-Reset besteht darin, den Helpdesk zu entlasten. Gleichzeitig soll sie dem User erlauben, zu jeder Zeit und an jedem Ort sein Kennwort selbständig zurückzusetzen.
ASPR erweist sich durch die Vielzahl an Methoden zur Authentifizierung der Benutzer als sehr flexibel. Dadurch sollte sich in der Praxis eine gute Quote an erfolgreichen Self-Service-Resets erzielen lassen. Hinzu kommt, dass sich das Tool über Konnektoren an diverse Systeme und Anwendungen anbinden lässt.
Für Unternehmen mit vielen mobilen Mitarbeitern empfiehlt sich die Einrichtung eines hybriden AD, so dass sie sich gegen Azure authentifizieren können. Bei Nutzern von Microsoft 365 ist diese Voraussetzung in der Regel schon gegeben, und sie können mit ASPR auch die Kennwörter für den Cloud-Service zurücksetzen.
ASPR als reine On-Prem-Lösung sieht für den externen Zugriff ansonsten nur die Möglichkeit vor, den Server in der DMZ zu platzieren.
Verfügbarkeit und Lizenzierung
Der Hersteller sieht keinen Download einer Trial-Version vor, bietet über seine Website aber auf Anfrage eine Demo des Produkts an.
TESIS bietet drei Abrechnungsoptionen:
- Klassischer Lizenzkauf mit jährlicher Software-Pflege
- Miete pro Jahr
- Jährliche Grundpauschale und Abrechnung der tatsächlich durchgeführten Resets oder Passwortwechsel
Der Lizenzpreis beginnt bei 9,90 Euro pro User, und ab 1.000, 5.000 und mehr als 10.000 User gibt es rabattierte Staffelpreise.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Specops Password Notification: Benutzer über das Ablaufen ihrer Active Directory-Passwörter via E-Mail benachrichtigen
- Event-ID 14,4771: Benutzer können sich nach November-Update nicht anmelden
- November-Update bringt 3 Patches für Domain-Controller (CVE-2022-37966, CVE-2022-37967, CVE-2022-38023)
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
Weitere Links