So werden Active-Directory-Passwörter schwarzgelistet

Wodurch werden Passwörter anfällig für Hacker?

Es liegt in der Natur des Menschen, Passwörter zu verwenden, die einfach einzugeben sind und die man sich leicht merken kann. Häufig sind das wohlbekannte Zahlenmuster wie 12345 oder Wörter wie „Passwort“. Listen mit häufig verwendeten Passwörtern (also Passwort-Wörterbücher) sind für Hacker und Angreifer einfach zugänglich, wodurch Sie bei Cyberangriffen eine Nasenlänge voraus sind.

Was die Sache noch schlimmer macht, sind die gewaltigen Listen kompromittierter Konten und der zugehörigen Passwörter, die ganz einfach öffentlich zugänglich sind. Benutzer tendieren dazu, das gleiche Passwort auf mehreren Seiten wiederzuverwenden, weshalb Angreifer versuchen, sich mit den gleichen Anmeldedaten bei verschiedenen Sites anzumelden.

Das Wissen um die menschliche Natur in Kombination mit Listen voller Daten zu häufigen und kompromittierten Passwörtern haben sich Angreifer kreative Strategien ausgedacht:

  1. Brute-Force-Angriffe: Eine Trial-and-Error-Methode, bei der eine sehr große Anzahl an Passwörtern und Kombinationen durchprobiert wird, um hoffentlich das richtige Passwort zu erraten und auf geschützte Ressourcen zugreifen zu können. Diese Angriffsstrategie ist zwar einfach aber hochgradig effektiv.
  2. Wörterbuch-Angriffe: Jedes Wort im Wörterbuch wird bei der passwortgeschützten Ressource durchprobiert. Dies ähnelt also den Brute-Force-Angriffen, es kommen aber nur Wörter zum Einsatz, die im Wörterbuch zu finden sind.
  3. Password-Spray-Angriffe: Eine kleine Anzahl sehr häufiger Passwörter wird bei einer gewaltigen Zahl geschützter Konten ausprobiert. Dies basiert auf der Annahme, dass wenigstens ein paar Benutzer in einem Unternehmen sich schwache Passwörter ausgesucht haben.
  4. Credential-Stuffing-Angriffe: Kompromittierte Konten und Passwörter, die von böswilligen Sites geleaked wurden, werden an Unternehmensressourcen ausprobiert – in der Hoffnung, dass die Benutzer die gleichen Zugangsdaten auch bei der Arbeit verwendet haben.

Was versteht man unter dem Schwarzlisten von Passwörtern und wie hilft es gegen Passwortangriffe?

Admins können die Organisation vor diesen Angriffen schützen, indem Sie Passwörter auf eine schwarze Liste setzen. Durch das sog. „Blacklisting“ oder Schwarzlisten von Passwörtern werden die häufigsten Passwörter und ihre Abwandlungen zur Verwendung gesperrt. Kompromittierte und schwache Passwörter auf die schwarze Liste zu setzen, kann die Abwehr der Organisationen abhärten. So wird verhindert, dass Angreifer die Domänenpasswörter von Benutzern herausbekommen und die anfängliche Passwort-Anmeldung bei der AD-Domäne überwinden.

Schwarzgelistete Passwörter in PowerShell

Windows PowerShell bietet keine Möglichkeit zum Schwarzlisten von Passwörtern.

ManageEngine ADSelfService Plus, die Lösung für Identitätssicherheit, bietet Ihnen Multifaktor-Authentifizierung., Single-Sign-On und Blacklisting von Passwörtern für Konten von Active Directory und Unternehmensanwendungen. Dazu gibt es Funktionen zur Erzwingung von Passwortrichtlinien und eine Integration mit dem „Have I Been Pwned?“. Erstere hilft Ihnen dabei, Regeln und Passwortrichtlinien durchzusetzen, um Wörterbuch-Wörter, Palindrome und Muster zu verbieten; Letztere verhindert den Einsatz zuvor offengelegter Passwörter.

Konfiguration des Schwarzlistens von Passwörtern in ADSelfService Plus

1. Konfigurieren der Funktion „Erzwingung von Passwortrichtlinien“

Konfigurieren einer spezifischen Passwortrichtlinie mit der Erzwingung von Passwortrichtlinien in ADSelfService Plus

  1. Melden Sie sich beim Admin-Portal von ADSelfService Plus an.
  2. Wechseln Sie zu Konfiguration > SB > Erzwingung von Passwortrichtlinien.
  3. Aktivieren Sie „Spezifische Passwortrichtlinie erzwingen“.
  4. In der Registerkarte Muster unterbinden können Sie Wörter mit bestimmten Tastenfolgen, Wörterbucheinträgen sowie Palindromen verbieten.
  5. Klicken Sie auf Speichern.
  6. password-blacklist-powershell-1
    password-blacklist-powershell-2

    2. Integration von ADSelfService Plus mit „Have I Been Pwned?“

    1. Wechseln Sie zu Admin > Produkteinstellungen > Integrationseinstellungen > Have I Been Pwned?.
    2. Wählen Sie HaveIBeenPwned-Integration aktivieren aus.
    3. password-blacklist-powershell-3
    ADSelfService Plus – Vorteile

    ADSelfService Plus ist nicht nur einfach zu konfigurieren, die Lösung bietet auch zahlreiche Vorteile im Vergleich zu PowerShell-Skripten.

    • Erweiterte Passwort-Richtlinieneinstellungen:

      Admins können spezifische Passwortrichtlinien aus der erweiterten Passwortrichtliniensteuerung heraus erstellen, um schwache Passwörter, häufige Muster, Palindrome usw. auf die schwarze Liste zu setzen.

    • Hochladen von Passwort-Wörterbüchern:

      Admins können Listen häufiger oder einfach zu knackender Passwörter hochladen (sog. Passwort-Wörterbücher) und verhindern, dass die Passwörter von der Liste verwendet werden.

    • Integration mit „Have I Been Pwned?“:

      Der Service „Have I Been Pwned“ informiert Anwender darüber, wenn ihre Passwörter in der Vergangenheit durch Datenlecks kompromittiert wurden. Außerdem teilt es ihnen mit, wenn sie alte, schwache oder doppelte Passwörter verwenden.

    • Universelle Durchsetzung:

      Admins können Passwortrichtlinien und die Integration mit „Have I Been Pwned“ bei der SB-Passwortzurücksetzung und -Passwortänderung durchsetzen, und zwar sowohl für Active Directory als auch für Cloud-Anwendungen. Außerdem können Sie hier native Passwortänderungen (z. B. über Strg+Alt+Entf) und Passwortzurücksetzungen über das ADUC-Portal verwalten.

    • Verbesserte IT-Sicherheit:

      Stellt fortgeschrittene Methoden zur Multifaktor-Authentifizierung bereit, wie Biometrie und YubiKey, um Cloud-Apps zu sichern.

    • Verbesserte Benutzererfahrung:

      Benutzer können die SB-Passwortzurücksetzung von verschiedenen Zugriffspunkten aus durchführen, darunter über Anmeldebildschirme, Mobilgeräte und sichere Web-Portale.

Geplante Benachrichtigungen für AD-Benutzer über den Kontoablauf

 Probieren Sie ADSelfService Plus kostenlos aus!
  • Begeben Sie sich auf Ihre script-free skriptfrei AD Self-Service-Passwortverwaltung mit ADSelfService Plus.
  • Jetzt herunterladen 

ADSelfService Plus vertraut von