Benutzerpasswörter - ein Sicherheitsrisiko für ihre Windows Domain?

Mit unserem Passwort Audit schaffen Sie Klarheit!

In den meisten Unternehmen werden nach wie vor alleine Benutzername und Passwörter für Anmledungen verwendet. Gleich ob die Anmeldung am Arbeitsplatz, die Anmeldung für VPN oder das Mail-Postfach, überall benötigen die Benutzer für die Anmeldung ein Passwort. Doch was passiert, wenn dieses Passwort leicht zu erraten ist? Dann stellt es den Angreifer vor keiner allzu großer Hürde da, denn heutige Systeme sind in der Lage mehrere hundert Millarden Passwörter pro Sekunde zu testen. Besonders wenn das Passwort für die hoch-priveligierten Benutzerkonten erraten werden kann oder ein Standard-Passwort wiederverwendet wird, dann wird es für Unternehmen schnell gefährlich. Denn häufig ist dies ein erster Einstieg in die interne Infrastruktur. Um hier vorzubeugen, führen wir ein Passwort-Audit durch, um eben solche schwachen Passwörter vor den Angreifern aufzuspüren und Schwachstelle präventiv vor dem Angriff zu schließen.

Das bekommen Sie bei unserem Passwort Audit

  • Umfangreiche Untersuchung der gehashten Passwörter, speziell auf das Unternehmen ausgerichtet
  • Detailiere Analyse mit Berücksichtigung der Benutzergruppen
  • Objektive Messung der Awareness-Maßnahmen bezüglich der Passwörter
  • Effektive Empfehlungen zur Korrektur der Schwachstellen

Vorgehensweise

  • Meeting

    In einem gemeinsamen Gespräch klären wir das Vorgehen ab, zusammen mit den Verantwortlichen.

  • Transport

    Sie übertragen Ende-zu-Ende verschlüsselt die gehashten Passwörter mit pseudo-/anonymisierten Benutzernamen.

  • Analyse

    Wir cracken die gehashten Passwörter und sortieren die gefunden Passwörter entsprechend der Parametern (z.B. der Benutzergruppen).

  • Dokumentation

    Wir dokumentieren und erklären die entdeckten Zusammenhänge in einem Bericht mit entsprechenden Empfehlungen.

Meeting

Ein Passwort Audit hat das Ziel, das Sicherheitsniveau der Benutzerpasswörter in der Windows Domain zu überprüfen. Dazu ist es notwendig, alle Benutzerpasswörter zu erfassen und deren Hash an uns zu übertragen, damit wir diese analysieren können. Das führt selbstverständlich zur einem gesunden Misstrauen, ob von der IT oder von dem Betriebsrat. Um diesem Misstrauen entgegen zu treten, klären wir das Vorgehen und die offenen Fragen in einem gemeinsamen Gespräch mit allen Beteiligten. Denn in unserer langjähriger Erfahrung haben wir schon immer die Meinung vertreten, dass nur ein offener Dialog mit allen Beteiligten zum besten Ergebnis führt. Denn nur so können die Beteiligten erfahren, dass es noch Benutzerkonten mit alten Passwörtern gibt, die nicht der aktuellen Passwortrichtlinie entsprechen. Oder die Benutzer eben keine ausreichend sichere Passwörter wählen und somit leicht angreifbar sind.

Bei dem Meeting geht es vor allem um folgendes:

  • Was geschieht bei dem Passwort Audit?
  • Wo sind die Grenzen des Passwort Audits?
  • Welche Daten benötigen wir für das Passwort Audit?
  • Welchen Zweck hat das Passwort Audit und was sind die wichtigen Folgen eines Passwort Audits?
  • Wie werden solche sensible Daten transportiert, verarbeitet und gespeichert?

Transport

Ein gelungenes Passwort Audit erfordert, dass man weiß, die Authentifizierungsdaten sind genauso sicher wie auf dem heimischen Domain Controller. Dazu haben wir einen Powershell-Skript ausgearbeitet, welches alle notwendigen Daten direkt vom Domain Controller lädt, die Daten auf Wunsch pseudonymisiert und Ende-zu-Ende an uns überträgt. Selbstverständlich geschieht die Übertragung solcher sensitiven Daten auch nur mit entsprechenden Sicherheitsmaßnahmen. Um die Zuordnung der Passwörter zu erschweren, werden die Benutzernamen vor der Übertragung anonymisiert/pseudonymisiert. Dazu werden aus den Anmeldedaten (z.B. TESTDOMAIN\Administrator) der Domainname entfernt und der Benutzername wird zu einem eindeutigen Hashwert (z.B. cad71daa2062879a26cd8c65ed11a1a9) umgewandelt. Somit bekommen wir nur die anonymisierten Daten (z.B. cad71daa2062879a26cd8c65ed11a1a9:e6d2bedc4565f5b45888db7c919cdec9) zu sehen. Die linke Seite ist der anonymisierte Benutzername und rechts nach dem Doppelpunkt kommt dann das gehashte Passwort. Die anonymisierten Daten werden in einem verschlüsselten Container an uns über einen verschlüsselten Kommunikationskanal (HTTPS) übertragen.

Sammeln der Daten

  • Die Authentifizierungdaten d.h. die gehashten Benutzerpasswörter (NTLM-Hashwerte) vom Domaincontroller
  • Die zugehörigen OU/Gruppendaten, damit diese bei der späteren Analyse ausgewertet werden können
  • Die Passwortrichtlinie der Windows Domain, damit wir anhand dieser die Passwörter angreifen können

Pseudonymisierung/Anonymisierung

  • Die Benutzernamen können auf Wunsche anonymisiert oder pseudonymisiert werden
  • Bei der Anonymisierung werden die Benutzernamen durch Zufallswerte gleicher Länge ersetzt
  • Bei der Pseudonymisierung werden die Benutzername durch einen Hashwert ersetzt

Verschlüsselung

  • Die gesammelten Daten werden in ein Archiv gepackt
  • Das Archiv wird mit einem öffentlichen Schlüssel von uns verschlüsselt, damit können nur wir diese entschlüsselt werden.
  • Die Übertragung auf unsere Systeme geschieht auf einem verschlüsselten Transportweg (HTTPS/TLS/SSH).

Analyse

Die Analyse ist das Herzstück des Passwort Audits, denn letztendlich geht es ja darum zu versuchen, aus möglichst vielen gehashten Passwörtern die Passwörter im Klartext zu ermitteln. Dazu verwenden wir ein System, dass speziell dafür von uns zusammengestellt wurde, möglich schnell die Passwörter aus den Hashwerten zu erraten. Das System hat dafür mehrere Grafikkarten (GPU=Graphic Process Units) der letzten Generation, die parallel mehrere hundert Milliarden Passwörter pro Sekunden überprüfen können. Aber die Hardware allein reicht nicht aus, um erfolgreich bei einem Passwort Audit die Benutzerpasswörter angreifen (in Fachsprache "cracken") zu können. Denn genauso kommt es auf die richtige Angriffstechnik an... denn genauso wie die echten Angreifer, versuchen wir möglichst geschickt unsere Rechenleistung zu nutzen. Dazu führen wir folgende Angriffe durch:

Wörterbücherangriffe Dabei werden verschiedene Wörterbücher eingesetzt:

  • Die häufigsten Passwörter, die eigentlich nicht benutzt werden sollen wie "Password" oder "Administrator"
  • Sprachbezogene Wörterbücher z.B. deutsche oder englische Wörter
  • Die bereits bekannten Passwörter, die aus Leaks stammen und somit den Angreifern bekannt sind.

Unternehmensspezifische Passwörter Dabei erstellen wir mehrere unternehmensspezifische Passwortlisten:

  • Branchenbezogene Wörterbücher z.B. speziell auf Bankenwesen oder Chemiebranche bezogene Wörterlisten
  • Unternehmensspezifische Wörterbücher, denn oft verknüpfen die Mitarbeiter ihr Passwort mit dem Unternehmen selbst.

Brute-Force Angriffe Dabei nutzen wir die häufigen Stolperfallen der menschlichen Denkweise aus:

  • Die Passwortrichtlinie liefert uns den Startpunkt, denn diese stellt die Mindestanforderungen an die Passwörter dar.
  • Die Passwörter mit kurzer Länge können so schnell durchprobiert werden, ohne genaue Kenntnis der Passwortrichtlinie.
  • Bei längeren Passwörtern nutzen wir die Gewohnheiten der Benutzer aus, z.B. wird der erste Buchstabe sehr oft ein Großbuchstaben sein.

Dokumentation

Unser Bericht zum Passwort Audit enthält eine ausführliche Dokumentation zu allen durchgeführten Angriffen und Analysen. Dabei listen wir die Anzahl der gefundenen Klartext-Passwörter pro Angriffsart/Wörterbuch. Ebenso analysieren wir die gefundenen Passwörter nach solchen Parametern wie die Passwort-Länge, Entropie/Komplexität. Was für viele Entscheider außerdem interessant zu wissen ist, wie sieht die Passwort-Qualität zwischen den Abteilungen/Benutzergruppen aus? Ausgehend von den Analysen wird die Bewertung der Gefährdung durchgeführt, ebenso wie die Auswahl der empfohlenen Schutzmaßnahmen.

Analyse der Passwörter: Wie ist die Passwort-Qualität?

  • Welche Länge haben die gefundenen Passwörter?
  • Welche Komplexität/Entropie haben die Passwörter?
  • Welche Angriffsart hat zum Auffinden der Passwörter geführt?

Analyse der Benutzergruppen: Wie sieht es zwischen den Abteilungen aus?

  • Wo konnten die meisten Passwörter erfolgreich angegriffen werden?
  • Konnten auch die Passwörter der Benutzer mit hohen Berechtigungen erfolgreich angegriffen werden?
  • Sind in bestimmten Benutzergruppen spezifische Muster erkennbar?
  • Somit können gezielt die Gegenmaßnahmen in Form von z.B. 2-Faktor Authentifizierung oder Awareness-Schulungen getroffen werden.