Warum IT-Sicherheit beim Passwort beginnt
Unsichere Passwörter finden sich selbst bei Accounts mit weitreichendem Zugriff wieder - eine fundamentale Bedrohung für die IT-Sicherheit. Netzmedien und Specops Software zeigten in einem gemeinsamen Webinar, wie IT-Sicherheitsverantwortliche entlang des gesamten User Lifecycle für stärkere und benutzerfreundlichere Active-Directory-Passwörter sorgen können.
Leicht erratbare oder bereits kompromittierte Passwörter sind ein Einfallstor für Cyberkriminelle. Eine sichere Passwortstrategie ist daher essenziell. Besonders in Active-Directory-Umgebungen gilt es für IT-Sicherheitheitsverantwortliche, wirksame und benutzerfreundliche Richtlinien umzusetzen. Wie diese Richtlinien aussehen könnten, erläuterten Netzmedien und Specops Software am 30. Januar in einem Webinar. Die zentralen Themen der Veranstaltung waren die Möglichkeiten einer sicheren Passwortwahl und wie dabei Sicherheitsrisiken minimiert werden können.
Patrick Lehnis, Marketing Manager DACH bei Specops Software, startete die Veranstaltung mit einer Umfrage zur Nutzung von Active Directory Domain Services als primären Identitätsservice. Die Ergebnisse zeigten, dass die Mehrheit der Unternehmen an einem Hybridmodell festhält, was laut Specops dem aktuellen Trend in vielen Organisationen entspricht.
Das Resultat einer zweiten Frage in die Runde der Teilnehmenden ergab, dass neue Mitarbeitende ihre ersten Passwörter nach wie vor meistens vom jeweiligen Vorgesetzten oder dem Servicedesk erhalten.
In beiden Fällen hat dann aber eine Drittperson Kenntnis von diesem Passwort. Während des Webinars zeigte Stephan Halbmeier, Product Specialist bei Specops Software, eine alternative Möglichkeit, wie ein neuer Mitarbeitender ein Passwort erhalten kann, ohne dass dieses zuvor in die Hände einer Drittperson gelangt. Damit erhielten die Teilnehmenden auch einen Einblick in die Specops-Lösung "First Day Password". Mit dieser könne ein Unternehmensadministrator bereits vor dem ersten Arbeitstag dem neuen Angestellten die Vergabe des ersten Passwortes ermöglichen. Das Resultat: Ein neuer Mitarbeiter startet seinen Rechner am ersten Arbeitstag und kann nach der Eingabe seines bereits im Vorfeld gesetzten, starken Passworts direkt loslegen.
Lang, sicher und geheim
Weiter sprach Halbmeier über starke und schwache Passwörter. Laut dem Product Specialist gibt es beim Setzen eines Passwortes insbesondere drei Dinge zu beachten: den Informationsgehalt, das Vermeiden typischer Begriffe innerhalb einer Organisation und die Tatsache, dass ein Passwort ein Geheimnis sein soll.
Zum Thema Passwortstärke gab Halbmeier den Webinar-Teilnehmenden ein paar Empfehlungen mit auf den Weg wie "Passwörter sind dann stark, wenn sie lang und nicht kompromittiert sind". Er sehe jedoch lange Passwörter immer nur als Passphrasen, da sich User das Passwort ansonsten gar nicht merken könnten. Oftmals würden für solche Passphrasen Anfangsbuchstaben der jeweiligen Wörter eines Satzes genutzt.
Es braucht demnach lange Kennwörter und wenn diese ausreichend stark sind - was nicht zwingend bedeutet, dass sie komplex sind - sei auch eine Änderung des Passwortes nicht mehr so häufig notwendig. Nichtsdestotrotz empfiehlt der Product Specialist, mindestens einmal pro Jahr oder alle zwei Jahre das Kennwort zu ändern. Ein fast 20 Jahre altes Regelwerk zeigt, wie man starke und sichere Passwörter formuliert.
Gefahren minimieren
Vergisst ein User dann doch mal sein Passwort - vielleicht kurz nachdem er dieses geändert hat -, verfügt Specops Halbmeier zufolge über das Tool "uReset". Mit diesem könne eine Organisation ihren Mitarbeitenden mehrere Möglichkeiten zum Zurücksetzen eines Kennworts bieten. Optionen zur Verifizierung seien dabei zum Beispiel SMS-Codes, Fingerabdrücke, die Verifizierung per E-Mail oder über eine Manager-Identifikation. Bei letzterer müsste dann der Vorgesetzte das Zurücksetzen des Passworts zusätzlich bestätigen.
Weiter stelle das Softwareunternehmen seinen Kunden eine Übersicht an passwortbezogenen Reports zu den Unternehmenskonten zur Verfügung. Unter anderem gehören hierzu Berichte über abgelaufene, identische oder zu einfache Passwörter.
Doch nicht nur einfache Passwörter würden eine Gefahr darstellen - ein Risiko berge sich auch im Zugriff von privaten Rechnern auf die Cloud-Dienste eines Unternehmens. Halbmeier empfiehlt IT-Sicherheitsverantwortlichen daher, sicherzustellen, dass ihre Mitarbeitenden keine kompromittierten Passwörter verwenden - zumindest innerhalb des Unternehmens. In diesem Zusammenhang präsentierte er ein weiteres Specops-Produkt, bei dem es sich um eine Art Passwortfilter handle und Unternehmensadministratoren die Möglichkeit erhielten, Passwortregeln festzulegen.
In einer abschliessenden Fragerunde wollten die Teilnehmenden wissen, warum es nicht sinnvoller sei, Passkeys - eine Passwortalternative wie die Entsperrungen mittels Fingerabdruck oder Gesichtserkennung - anstelle von Passwörtern zu setzen. Halbmeier antwortete daraufhin: "Ein Passwort hat den Vorteil, dass es ein Geheimnis ist." Jedoch seien Passkeys eine gute Ergänzung zu einem Kennwort. Ausserdem fragten die Teilnehmenden die Experten, wie man starke Passwortrichtlinien in Unternehmen durchsetzen könne, woraufhin Halbmeier empfahl, alle Anwender stets mit ins Boot zu holen.
Zusammenfassend gesagt: IT-Sicherheitsverantwortliche sollten die Passwortsicherheit keinesfalls auf die leichte Schulter nehmen. Denn mit einer so simplen Massnahme wie der konsequenten Wahl sicherer Passwörter lassen sich viele Cyberangriffe und deren potenziell schwerwiegende Folgen für Unternehmen verhindern.
Hier geht es zur vollständigen Videoaufzeichnung des Webinars.
Der Kenncode lautet: pN+$W8Uc
Forscher entdecken Passwörter und API-Schlüssel in KI-Trainingsdaten
Vielleicht sollte man lieber keinen Rapper daten
SCSD-Programmdirektor Nicolas Mayencourt über Erfolge, Hürden und die Zukunft
Litecom macht SCION für den Energiesektor zugänglich
Schutz vor Stingrays: Wie Rayhunter Jagd macht auf IMSI Catcher
Hacker greifen VMware-ESXi-Server durch drei Zero-Day-Schwachstellen an
Wie sensible Daten in jeder Phase korrekt gemanagt werden
Daredevil und Kingpin können sich auch mit Worten prügeln
FHNW ist Opfer eines Hackerangriffs
