Es liegt in der Natur des Menschen, Passwörter zu verwenden, die einfach einzugeben sind und die man sich leicht merken kann. Häufig sind das wohlbekannte Zahlenmuster wie 12345 oder Wörter wie „Passwort“. Listen mit häufig verwendeten Passwörtern (also Passwort-Wörterbücher) sind für Hacker und Angreifer einfach zugänglich, wodurch Sie bei Cyberangriffen eine Nasenlänge voraus sind.
Was die Sache noch schlimmer macht, sind die gewaltigen Listen kompromittierter Konten und der zugehörigen Passwörter, die ganz einfach öffentlich zugänglich sind. Benutzer tendieren dazu, das gleiche Passwort auf mehreren Seiten wiederzuverwenden, weshalb Angreifer versuchen, sich mit den gleichen Anmeldedaten bei verschiedenen Sites anzumelden.
Das Wissen um die menschliche Natur in Kombination mit Listen voller Daten zu häufigen und kompromittierten Passwörtern haben sich Angreifer kreative Strategien ausgedacht:
Admins können die Organisation vor diesen Angriffen schützen, indem Sie Passwörter auf eine schwarze Liste setzen. Durch das sog. „Blacklisting“ oder Schwarzlisten von Passwörtern werden die häufigsten Passwörter und ihre Abwandlungen zur Verwendung gesperrt. Kompromittierte und schwache Passwörter auf die schwarze Liste zu setzen, kann die Abwehr der Organisationen abhärten. So wird verhindert, dass Angreifer die Domänenpasswörter von Benutzern herausbekommen und die anfängliche Passwort-Anmeldung bei der AD-Domäne überwinden.
Windows PowerShell bietet keine Möglichkeit zum Schwarzlisten von Passwörtern.
ManageEngine ADSelfService Plus, die Lösung für Identitätssicherheit, bietet Ihnen Multifaktor-Authentifizierung., Single-Sign-On und Blacklisting von Passwörtern für Konten von Active Directory und Unternehmensanwendungen. Dazu gibt es Funktionen zur Erzwingung von Passwortrichtlinien und eine Integration mit dem „Have I Been Pwned?“. Erstere hilft Ihnen dabei, Regeln und Passwortrichtlinien durchzusetzen, um Wörterbuch-Wörter, Palindrome und Muster zu verbieten; Letztere verhindert den Einsatz zuvor offengelegter Passwörter.
Konfigurieren einer spezifischen Passwortrichtlinie mit der Erzwingung von Passwortrichtlinien in ADSelfService Plus
ADSelfService Plus ist nicht nur einfach zu konfigurieren, die Lösung bietet auch zahlreiche Vorteile im Vergleich zu PowerShell-Skripten.
Admins können spezifische Passwortrichtlinien aus der erweiterten Passwortrichtliniensteuerung heraus erstellen, um schwache Passwörter, häufige Muster, Palindrome usw. auf die schwarze Liste zu setzen.
Admins können Listen häufiger oder einfach zu knackender Passwörter hochladen (sog. Passwort-Wörterbücher) und verhindern, dass die Passwörter von der Liste verwendet werden.
Der Service „Have I Been Pwned“ informiert Anwender darüber, wenn ihre Passwörter in der Vergangenheit durch Datenlecks kompromittiert wurden. Außerdem teilt es ihnen mit, wenn sie alte, schwache oder doppelte Passwörter verwenden.
Admins können Passwortrichtlinien und die Integration mit „Have I Been Pwned“ bei der SB-Passwortzurücksetzung und -Passwortänderung durchsetzen, und zwar sowohl für Active Directory als auch für Cloud-Anwendungen. Außerdem können Sie hier native Passwortänderungen (z. B. über Strg+Alt+Entf) und Passwortzurücksetzungen über das ADUC-Portal verwalten.
Stellt fortgeschrittene Methoden zur Multifaktor-Authentifizierung bereit, wie Biometrie und YubiKey, um Cloud-Apps zu sichern.
Benutzer können die SB-Passwortzurücksetzung von verschiedenen Zugriffspunkten aus durchführen, darunter über Anmeldebildschirme, Mobilgeräte und sichere Web-Portale.