Zwakke Active Directory-wachtwoorden op de zwarte lijst plaatsen

Wat maakt een wachtwoord kwetsbaar voor hackers?

Het ligt in de aard van de mens om wachtwoorden te gebruiken die gemakkelijk in te voeren en te onthouden zijn. Het kunnen bekende toetsenbordpatronen zoals 12345 of woorden zoals 'wachtwoord' zijn. Lijsten van vaak gebruikte wachtwoorden (wachtwoordwoordenboeken genoemd) zijn gemakkelijk toegankelijk voor hackers en aanvallers, wat hen een voorsprong geeft wanneer het gaat over cyberaanvallen.

En om het allemaal nog erger te maken, zijn gigantische lijsten van gecompromitteerde accounts en hun wachtwoorden openbaar beschikbaar. Omdat gebruikers de neiging hebben om hetzelfde wachtwoord te gebruiken voor meerdere sites, kunnen aanvallers proberen aan te melden op meerdere sites met dezelfde referenties.

Door de kennis van de menselijke aard te combineren met gegevensgestuurde lijsten van algemene en gecompromitteerde wachtwoorden, moeten aanvallers creatieve aanvalstrategieën aanwenden, zoals:

  1. Beveiligingsaanvallen: Een test-en-fout-methode die een heel groot aantal wachtwoorden en wachtwoordcombinaties toepast ten opzichte van de beschermde bronnen in de hope dat er een combinatie zal overeenkomen voor het wachtwoord. Dit is een eenvoudige, maar zeer effectieve aanvalsstrategie.
  2. Woordenboekaanvallen: Elk woord in het woordenboek wordt getest ten opzichte van een door wachtwoord beschermde bron. Dit lijkt op beveiligingsaanvallen, maar in dit geval worden alleen woorden in het woordenboek gebruikt.
  3. Spraying-aanval op wachtwoorden: Een klein aantal van heel vaak voorkomende wachtwoorden wordt geprobeerd op een gigantisch aantal beschermde accounts. Dit is gebaseerd op de veronderstelling dat er minstens enkele gebruikers in het bedrijf zijn die zwakke wachtwoorden hebben gekozen.
  4. Opvullen met aanmeldingsgegevens: Gecompromitteerde accounts en wachtwoorden die worden gelekt van boosaardige sites, worden geprobeerd op bedrijfsbronnen in de hoop dat die gecompromitteerde gebruikers dezelfde referenties hebben gebruikt op het werk.

Wat is een wachtwoordblokkering en hoe helpt het om wachtwoordaanvallen te voorkomen?

Beheerders kunnen de organisatie beveiligen tegen aanvallen door het blokkeren van wachtwoorden. Wachtwoordblokkering omvat het verbieden van het gebruik van de vaakst gebruikte wachtwoorden en hun variaties. Het blokkeren van gecompromitteerde en zwakke wachtwoorden kan de organisatiebeveiliging versterken door te verhinderen dat aanvallers het domeinwachtwoord van een gebruiker ontdekt wordt en voorbij de eerste wachtwoordaanmelding in het Active Directory-domein komt.

Wachtwoorden blokkeren in PowerShell

Windows PowerShell biedt geen capaciteiten voor het blokkeren van wachtwoorden.

ManageEngine ADSelfService Plus, een identiteitsbeveiligingsoplossing met meervoudige verificatie, eenmalige aanmelding en capaciteiten voor selfservice wachtwoordbeheer, biedt het blokkeren van wachtwoorden voor Active Directory- en bedrijfstoepassingsaccounts via Afdwingen wachtwoordbeleid en integratie met Have I Been Pwned?. Het voorgaande helpt bij het opleggen van wachtwoordbeleidregels die het gebruik verbannen van woordenboekwoorden, palindromen en patronen, en de laatste verhindert het gebruik van eerder blootgestelde wachtwoorden.

Configuratie van wachtwoordblokkering in ADSelfService Plus

1. De functie Afdwingen wachtwoordbeleid configureren

Met ADSelfService Plus configureert u een aangepast wachtwoordbeleid via de functie Afdwingen wachtwoordbeleid

  1. Meld aan bij de beheerdersportal van ADSelfService Plus.
  2. Ga naar Configuratie > Selfservice > Afdwingen wachtwoordbeleid.
  3. Schakel Aangepast wachtwoordbeleid afdwingen in.
  4. Verbied op het tabblad Patroon beperken wachtwoorden die aangepaste reeksen woordenboekwoorden, toetsenblokreeksen en palindromen gebruiken.
  5. Klik op Opslaan.
  6. password-blacklist-powershell-1
    password-blacklist-powershell-2

    2. Integratie ADSelfService Plus met Have I Been Pwned?

    1. Ga naar Beheerder > Productinstellingen > Integratie-instellingen > Have I been Pwned?.
    2. Selecteer Integratie van HaveIBeenPwned inschakelen.
    3. password-blacklist-powershell-3
    Voordelen van ADSelfService Plus

    Naast een eenvoudige configuratie, heeft ADSelfService Plus verschillende voordelen in ten opzichte van PowerShell-scripts.

    • Geavanceerde wachtwoordbeleidsinstellingen:

      Beheerders kunnen aangepaste wachtwoordbeleidslijnen maken vanaf de geavanceerde wachtwoordbeleidscontroles die zwakke wachtwoorden, algemene toetsenbordpatronen, palindromen enz. blokkeren.

    • Wachtwoordwoordenboeken uploaden:

      Beheerders kunnen lijsten uploaden van vaak voorkomende en gemakkelijk gekraakte wachtwoorden (wachtwoordwoordenboeken genoemd) om te verhinderen dat wachtwoorden op die lijst worden gebruikt.

    • Integratie met Have I Been Pwned?:

      Have I Been Pwned? is een service die gebruikers laat weten dat de wachtwoorden die ze gebruiken, werden gecompromitteerd tijdens afgelopen gegevensinbreuken. De service laat hen ook weten of er eventueel oude, zwakke of dubbele wachtwoorden werden gebruikt.

    • Universeel afdwingen:

      Beheerders kunnen de wachtwoordbeleidslijnen en de integratie met Have I Been Pwned? Afdwingen tijdens het opnieuw instellen van wachtwoorden en het wijzigen van wachtwoorden voor zowel Active Directory- als cloudtoepassingen. Systeemeigen wachtwoordwijzigingen zoals het wijzigen van wachtwoorden via Ctrl+Alt+Del en het opnieuw instellen van wachtwoorden vanaf de ADUC-portal kan ook worden gedefinieerd.

    • Verbetert de IT-beveiliging:

      Biedt geavanceerde meervoudige verificatietechnieken inclusief biometrie en YubiKey voor het beveiligen van cloud-apps.

    • Verbetert de gebruikerservaring:

      Gebruikers kunnen de selfservice voor wachtwoord opnieuw instellen uitvoeren vanaf meerdere toegangspunten, zoals hun aanmeldingsschermen, mobiele apparaten of een beveiligde webportal.

    Geef hackers weerwerk met verbeterde wachtwoordbeveiliging.

      Ontvang een gratis proefversie voor 30 dagen.

ADSelfService Plus vertrouwd door