Passwort Auditor – schwache Passwörter erkennen

Schon seit Jahren führen „123456“ und „password“ die Hitliste der einfachsten aber dennoch beliebtesten Kennwörter an. Eigentlich sollten mittlerweile alle Computernutzern wissen, dass die einfachen Zahlen- und Buchstabenfolgenden als Passwort ungeeignet und in Sekunden zu knacken sind. Das passiert zudem vollautomatisch. Den Cyber-Kriminellen stehen damit Tür und Tor offen, um persönliche Daten zu klauen oder Schadware auf den Computer zu übertragen.

Einfache Passwörter sind ein Problem für Unternehmen

In Unternehmen können die dadurch entstehenden Schäden in die Millionen gehen oder sogar die Existenz gefährden. Nicht zuletzt werden Administratoren in kleinen und großen Firmen zur Rede gestellt, wenn solche Kennwörter die Sicherheit der Unternehmensdaten gefährdet haben.

Die Verantwortung ist groß um sicherzustellen, dass die Anwender sich an die Regeln halten und damit komplexe und schwer zu ermittelnde Zugangsdaten verwenden. Doch die Benutzer lassen sich viel einfallen, um sich schwierige Zahlen- und Buchstabenfolgen nicht merken zu müssen. Die Firmenvorgaben werden oft umgangen.

Die im Unternehmen Verantwortlichen kommen oftmals nicht hinterher die Lücken der einfachen Passwörter zu schließen. Demzufolge passen sie die Firmen-Policy regelmäßig an. Es ist wie ein Katz- und Mausspiel, da Mitarbeiter oft die Tragweite der Notwendigkeit sicherer Kennwörter nicht verstehen und sie als lästig empfinden.

Der „Password Auditor“ findet unsichere Passwörter

Umso wichtiger ist es regelmäßig zu prüfen, ob unsichere Passwörter den unerlaubten Zugriff auf Daten ermöglichen könnten. Um diese Aufgabe zu bewerkstelligen bietet Specops das kostenlose Tool „Password Auditor“ an.

Damit lassen sich die bestehenden Vorgaben für Kennwörter im Unternehmen mit den üblichen Branchenstandards vergleichen. Zudem findet es heraus, ob und wie sich die Sicherheit verbessern lässt. Die Software setzt ein Active Directory voraus und ist eine reine Read-Only-Lösung. Sie nimmt keinerlei Änderungen vor.

Umfangreiche Passwort-Tests mit aussagekräftiger Auswertung

Einmal installiert liest das Tool die Passwortrichtlinien der Domain sowie Fine-Grained Password Policies aus. Richtlinien, die mit der Enterprise Lösung „Specops Password Policy“ erstellt worden sind, berücksichtigt der „Password Auditor“ ebenso.

Zunächst fragt das Programm die Domain ab und erlaubt die Auswahl des im Netzwerk gefundenen Domain-Controllers. Danach ist es möglich eine Blacklist herunter zu laden gegen die der „Password Auditor“ zusätzlich prüft. Diese Blacklist ist fast fünf Gigabyte groß und enthält über eine Milliarde Kennwörter. Diese wurden durch Sicherheitsvorfälle rund um den Globus bekannt und sollten nicht mehr verwendet werden.

Nach dem Herunterladen der Datei beginnt die Prüfung. Je nach Anzahl der Benutzer und der Struktur des Active Directory nimmt die Auswertung einige Zeit in Anspruch. Im Ergebnis zeigt das Tool Berichte zu den vorhandenen Benutzer- und Passwortrichtlinien an. Dabei prüft der Specops Password Auditor die Kennwörter und analysiert, inwieweit kompromittierte Passwörter verwendet werden. Ebenso prüft das Tool ob vorhandene Kennwörter den gängigen Richtlinien entsprechen, abgelaufen sind oder ein Account inaktiv ist.

Bei der Prüfung gegen die gängigen Kennwortrichtlinien setzen die Entwickler auf die Vorgaben von MS Research, MS TechNet, dem National Cyber Security Centre (kurz NCSC), dem National Institute of Standards and Technology (kurz NIST), dem Datensicherheitsstandard PCI Security Standards Council als auch SANS Admin und SANS User. Je nach Vorgabe beziehungsweise Empfehlung prüft der „Password Auditor“ auf die Passwortlänge, das Alter der Passwörter, die gespeicherte Historie, die Komplexität und, ob Anwender keine gängigen Wörter aus Wörterbüchern verwenden.

Auswertung zeigt Schwachstellen auf

Das Prüfungsergebnis zeigt die Software dann in einer Übersicht und listet auf, welcher Kennwortrichtlinie die aktuellen Einstellungen entsprechen und, wo noch Optimierungsbedarf vorhanden ist. Ebenso weißt das Programm darauf hin, ob mehrere Konten gleiche Kennwörter nutzen, welche Konten Administrationszugriff haben, welche gar keine Kennwörter nutzen, welche Kennwörter innerhalb der kommenden 10 Tage ablaufen oder schon abgelaufen sind.

Mithilfe dieser Zusammenfassung erkennt der „Password Auditor“ Schwachstellen und hilft der IT-Abteilung bei der Planung zur Sperrung oder zum Zurücksetzen von Kennwörtern. Das Tool hilft zudem, ablaufende und abgelaufene Passwörter sowie inaktive Admin-Accounts zu identifizieren. Diese lassen sich dann proaktiv sperren oder anpassen.

Die Software „Password Auditor“ ist als MSI-Paket für Windows kostenlos erhältlich und lässt sich unter https://specopssoft.com/product/specops-password-auditor/ herunterladen.

Empfohlene Beiträge