Kennwörter im Self-Service zurücksetzen für Active Directory, SAP, Microsoft 365 oder Unix mit ASPR Password Manager

    , 30.04.2020
    Tags: , ,

    ASPR Password ManagerDas Zurück­setzen von Pass­wörtern gehört zu den häufig­sten Anfragen an den Helpdesk. Die Aufgabe selbst ist zwar trivial, aber vor­her muss sicher sein, dass der Auf­trag vom betref­fenden User selbst kommt. Die Tesis Sysware GmbH bietet mit ASPR einen Self Service, der 7 Methoden zur Authen­tifizierung be­herrscht.

    Beim Zurück­setzen von Kennwörtern handelt es sich um eine Routine­tätigkeit, die den Helpdesk gerade nach Ende der Urlaubs­saison verstärkt beansprucht. Daher liegt es nahe, diese Aufgabe an die Mitarbeiter selbst zu delegieren. Die meisten von ihnen sind solche Verfahren bereits von sozialen Netzwerken und Shopping-Portalen gewohnt.

    Die größte Heraus­forderung beim Password-Reset besteht darin, den Benutzer verlässlich zu authen­tifizieren. Das gilt unabhängig davon, ob er die Aktion selbst ausführt oder den Helpdesk einschaltet. Bei größeren Firmen oder solchen mit mehreren Stand­orten sind nämlich nicht alle Mitarbeiter dem IT-Personal persönlich bekannt, so dass sie erst ihre Identität belegen müssen. Das gelegentlich noch praktizierte Zufaxen einer Ausweiskopie ist umständlich und nicht besonders sicher.

    Während sich Internet-Dienste meist darauf beschränken, dem Anwender eine URL per Mail zuzusenden, müssen entsprechende Enterprise-Tools mehrere Online- und Offline-Szenarien abdecken.

    Im Unterschied zu Amazon oder Twitter haben Anwender in Unternehmen oft nicht nur ein Kennwort, sondern jeweils ein eigenes für verschiedene Systeme und Anwendungen. Ein Tool zum Reset von Passwörtern sollte idealerweise auch dies berücksichtigen.

    Web-basierter Self-Service

    Beim ASPR Password Manager handelt es sich um ein derartiges Programm für den Enterprise-Einsatz. Um es ad hoc von verschiedenen Geräten starten zu können, ohne dass man vorher eine Software lokal installieren muss, verfügt es über ein Web-Interface.

    Je nach gewähltem Verfahren ruft es der Benutzer selbst auf oder andere Mitarbeiter bzw. der Helpdesk übernehmen diese Aufgabe für ihn. Kennt der User sein Passwort und will es einfach nur wechseln, dann kann er das völlig in Eigenregie tun. Die Authentifizierung erfolgt dann wie üblich durch das alte Passwort.

    Beim Passwortwechsel authentifiziert sich der User über das alte Kennwort. ASPR prüft das neue vorab anhand der Policies.

    Hat er es hingegen vergessen, dann bleibt ihm beim Windows-Kennwort der Zugang zum Rechner verwehrt. In diesem Fall müsste er ASPR entweder auf dem PC eines Kollegen starten oder etwa auf einem Smartphone ausführen.

    Alternativ bietet ASPR die Möglichkeit, sich über einen vordefinierten Service-Account im Kiosk-Modus am sonst unzugänglichen Rechner anzumelden. Dort läuft dann ein Web-Browser mit der ASPR-Site als der einzig zulässigen Anwendung.

    Workflow für Password Reset

    Unabhängig davon, wer das Zurücksetzen des Passworts startet, umfasst der Workflow immer die gleichen vier Schritte. Nach der Eingabe des Username folgt die Authentifizierung, danach wählt der Anwender das System bzw. Anwendung aus, für die er ein frisches Kennwort benötigt. Nach dem Festlegen des neuen Passworts präsentiert das Tool eine Zusammenfassung des Vorgangs.

    Workflow für das Zurücksetzen eines Passworts

    Als hilfreich erweist sich dabei, dass ASPR ein neues Kennwort schon bei der Eingabe mit der Password Policy vergleicht und dem Benutzer noch vor dem Absenden zeigt, ob es den Anforderungen genügt. Andernfalls könnten User an der erforderlichen Länge oder Komplexität des Passworts scheitern und letztlich doch wieder den Helpdesk behelligen.

    Dieser Ablauf variiert ein wenig, wenn der Helpdesk diese Aufgabe übernimmt. Hier scheiden die meisten Authentifizierungs­methoden aus, weil sie entweder den Zugang zur E-Mail bzw. zum Telefon des Benutzers erfordern oder biometrische Eingaben erfordern. Hier bleibt beispielsweise die Abfrage von Wissen, das der Anwender im System hinterlegt haben muss, oder der Versand einer TAN.

    Damit eine Authentifizierung über Frage-Antwort-Paare verfügbar ist, muss der User dieses Wissen erst im System hinterlegen.

    Wenn Dritte ein Passwort ändern, dann soll dieses ja nur einmalig gelten und der Benutzer muss es dann nach der ersten Anmeldung erneuern. Daher unterstützt ASPR den Helpdesk an dieser Stelle mit dem Erzeugen eines temporären Kennworts, das automatisch den konfigurierten Policies entspricht.

    ASPR erzeugt für den Helpdesk ein temporäres Passwort, das den Anforderungen der Policies entspricht.

    Unabhängig davon, wer ein Kennwort ändert, schreibt ASPR alle derartigen Ereignisse in einem Audit Trail mit und verständigt obendrein den User per Mail, so dass er auf einen möglichen Missbrauch sofort aufmerksam gemacht würde.

    In der Historie kann jeder Anwender nachvollziehen, wann und von wem sein Kennwort geändert wurde.

    Optionen zur Authentifizierung der Benutzer

    Das Tool beherrscht insgesamt 7 Verfahren für diesen Zweck, die sich zudem kombinieren lassen:

    • Frage-Antwort-Paare
    • TAN
    • Token, basierend auf Time-based One-Time-Password (TOTP)
    • Gesichtserkennung
    • Vier-Augen-Prinzip
    • Anmeldedaten eines weiteren Systems
    • Tippverhalten

    Aber nicht alle sind unter sämtlichen Bedingungen nutzbar. ASPR zeigt daher nur die Methoden an, die tatsächlich zur Verfügung stehen. So setzen einige von ihnen voraus, dass der Benutzer schon vorab die jeweils benötigten Informationen hinterlegt.

    Das gilt etwa für Antworten auf vorgegebene Fragen, die Verwendung eines Token (TOTP) oder der Face-ID. Für TOTP benötigt man eine Authenticator-App wie jene von Google oder Microsoft, die man mit der Anwendung koppelt, indem man einen QR-Code einliest.

    Um TOTP als Methode zu aktivieren, muss der Benutzer den QR-Code mit eine Authenticator-App erfassen.

    Die Nutzung der Face-ID erfordert, dass Fotos der Benutzer im System gespeichert sind. Zur Abwehr von einfachen Betrugsmaschen, zum Beispiel Fotos vor die Kamera zu halten, fordert ASPR den User auf, den Kopf in eine bestimmte Richtung zu bewegen, während das Tool die biometrischen Daten abgleicht.

    Fast immer nutzen lässt sich das Versenden einer TAN, sofern die Mail-Adresse oder die Telefon­nummer im Active Directory eingetragen wurde. In diesem Fall liest ASPR diese Daten selbständig aus, so dass der Benutzer im Vorfeld nichts unternehmen muss.

    Wie sich die TAN zustellen lässt, hängt davon ab, welche Kontaktdaten für den User hinterlegt wurden.

    Vier-Augen-Prinzip

    Ähnliches gilt auch für das Vier-Augen-Prinzip. Hier legt der Administrator vorab anhand von AD-Attributen oder Gruppen­zugehörig­keiten fest, welche Kollegen in Frage kommen, um das Passwort eines Mitarbeiters zurück­zusetzen. Beide müssen sich dann im gleichen Dialog authen­tifizieren.

    Authentifizierung eines Benutzers über das Vier-Augen-Prinzip

    Um zu verhindern, dass sich zwei Spaßvögel verabreden, um die Passwörter ihrer Kollegen ohne deren Wissen zu erneuern, kann der Administrator eine Zeitspanne festlegen, die zwischen diesen Vorgängen mindestens liegen muss. Und natürlich zeichnet ASPR sich ein solches Ereignis ebenfalls auf.

    Benutzer können neben den vorgegebenen Kollegen noch weitere für das Vier-Augen-Prinzip hinzufügen.

    Während das Vier-Augen-Prinzip normalerweise zwar keine Vorbereitung durch den Anwender benötigt, scheitert es aber im Home Office oder im Hotel daran, dass die benötigten Kollegen dort nicht greifbar sind.

    VPN-Problematik

    Beim Arbeiten von zu Hause gibt es nach dem Neusetzen des Passworts häufig das Problem, dass der Benutzer erst nach seiner Anmeldung an Windows die VPN-Verbindung herstellen kann. Diese würde er aber schon vor dem Logon brauchen, um das neue AD-Passwort zu synchronisieren. Andernfalls muss man sich weiter über die Credentials im lokalen Cache anmelden. Das klappt aber aufgrund des vergessenen Passworts nicht.

    Wenn Unternehmen ein hybrides AD eingerichtet haben, dann sieht TESIS die Möglichkeit vor, dass sich User gegen das Azure AD authentifizieren, wofür ja kein VPN benötigt wird.

    Frage-Antwort-Paare

    Ein Verfahren, das praktisch immer funktioniert, sind die Antworten auf vorgegebene Fragen. Allerdings leidet es unter der gleichen Schwäche wie Passwörter selbst. Kennt ein potenzieller Angreifer das persönliche Umfeld eines Users und ist die Antwort kurz, dann lässt sie sich leicht erraten.

    Authentifizierung über die Antwort auf eine vorgegebene Frage

    Erzwingt der Administrator dagegen eine sehr lange Antwort, dann können sich Benutzer diese nur schlecht merken und scheitern beim Zurücksetzen des Passworts.

    Authentifizierung an Drittsystemen

    Wenn ASPR nicht nur für den Reset des AD-Passworts konfiguriert, sondern etwa auch an SAP oder Unix bzw. Linux angebunden wurde, dann gilt die erfolgreiche Anmeldung an einem dieser Drittsysteme als Authentifizierung des Users für den Reset.

    Die erfolgreiche Anmeldung an einem Drittsystem berechtigt den User zum Passwort-Reset.

    Dies setzt allerdings voraus, dass er für die Systeme verschiedene Kennwörter verwendet und kein Single-Sign-on eingerichtet wurde. Falls ein solches dennoch erwünscht ist, kann ASPR beim Ändern des AD-Passworts dieses auch auf die anderen Systeme übertragen.

    Erkennen des Tippverhaltens

    Ein letztes Verfahren, das verlässlich nur in der gewohnten Arbeitsumgebung funktioniert, ist das Erkennen des Tippverhaltens. Zu diesem Zweck muss der Anwender vorab einen Text eingeben, so dass die Software dabei ein bestimmtes Muster erkennen kann. Zur Authentifizierung wiederholt der Benutzer diese Prozedur und gilt als identifiziert, wenn das System eine ausreichende Überein­stimmung erkennt.

    Die wesentliche Schwäche dieser Methode besteht darin, dass der Wechsel auf einen anderen Rechner und damit auf eine andere Tastatur das Tippverhalten relativ leicht beeinflusst und damit eine erfolgreiche Authentifizierung verhindert.

    Fazit

    Der wesentliche Zweck einer Lösung für den Passwort-Reset besteht darin, den Helpdesk zu entlasten. Gleichzeitig soll sie dem User erlauben, zu jeder Zeit und an jedem Ort sein Kennwort selbständig zurückzusetzen.

    ASPR erweist sich durch die Vielzahl an Methoden zur Authentifizierung der Benutzer als sehr flexibel. Dadurch sollte sich in der Praxis eine gute Quote an erfolgreichen Self-Service-Resets erzielen lassen. Hinzu kommt, dass sich das Tool über Konnektoren an diverse Systeme und Anwendungen anbinden lässt.

    Für Unternehmen mit vielen mobilen Mitarbeitern empfiehlt sich die Einrichtung eines hybriden AD, so dass sie sich gegen Azure authentifizieren können. Bei Nutzern von Microsoft 365 ist diese Voraussetzung in der Regel schon gegeben, und sie können mit ASPR auch die Kennwörter für den Cloud-Service zurücksetzen.

    ASPR als reine On-Prem-Lösung sieht für den externen Zugriff ansonsten nur die Möglichkeit vor, den Server in der DMZ zu platzieren.

    Verfügbarkeit und Lizenzierung

    Der Hersteller sieht keinen Download einer Trial-Version vor, bietet über seine Website aber auf Anfrage eine Demo des Produkts an.

    TESIS bietet drei Abrechnungsoptionen:

    • Klassischer Lizenzkauf mit jährlicher Software-Pflege
    • Miete pro Jahr
    • Jährliche Grundpauschale und Abrechnung der tatsächlich durchgeführten Resets oder Passwort­wechsel

    Der Lizenzpreis beginnt bei 9,90 Euro pro User, und ab 1.000, 5.000 und mehr als 10.000 User gibt es rabattierte Staffelpreise.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fachautor, Berater und Konferenzsprecher zu ver­schiedenen Themen der IT. Daneben war er als System­admini­stra­tor und Consultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links