Sponsored

Password Spraying Attacken und wie man sie verhindern kann

image

Schützen Sie Ihr Unternehmensnetzwerk. Erhöhen Sie die Passwortsicherheit

Cyberkriminelle verwenden verschiedene Arten, um in Unternehmensnetzwerke einzudringen und geschäftskritische Daten zu kompromittieren. Hierzu gehören unter anderem Zero-Day-Angriffe oder Angriffe auf die Supply-Chain. Die jedoch mit Abstand am meisten angewandte Methode, wie Cyberkriminelle in Unternehmensnetzwerke gelangen, ist die Kompromittierung von Kennwörtern.
Dabei stellt neben Brute-Force Attacken, Credential Stuffing, Password Guessing oder Shoulder Surfing, das Password Spraying eine Angriffsvariante auf Benutzerkonten dar, die sich als sehr effizient erwiesen hat.
Der Password-Spraying-Angriff ist eine andere Form des Brute-Force-Angriffs. Während bei einem typischen Brute-Force-Angriff der Angreifer eine exponentielle Anzahl von Kennwörtern für ein einzelnes Konto ausprobiert, um dieses Konto zu kompromittieren, werden bei der Passwort-Spraying-Attacke mehrere Konten mit demselben Passwort “besprüht”.

Wie Sie Password Spraying Attacken im Active Directory verhindern

Die Kompromittierung von Anmeldedaten stellt hierbei ein IT Sicherheits-Ereignis dar, dass Unternehmen um jeden Preis verhindern müssen. Hier gibt auch die EU-DSGVO in Artikel 32 vor, dass technische Massnahmen für den Zugriffsschutz ergriffen werden müssen. Werden keine technischen Vorkehrungen getroffen, drohen im Falle eines Datenleaks empfindliche Geldbussen. Welche Massnahmen können Unternehmen also ergreifen, um solche Angriffe zu verhindern.
Wie so oft gibt es kein Patentrezept, das allen Eventualitäten gerecht wird. Vielmehr erfordert das Thema Passwortsicherheit einen mehrschichtigen Ansatz, der verschiedene Massnahmen beinhaltet. Vier solcher Massnahmen wollen wir hier etwas näher beleuchten:
  • Einsatz von Richtlinien zur Kontosperrung
  • Verwendung starker Passwortrichtlinien zur Durchsetzung einer guten Passworthygiene
  • Nutzung eines Passwortfilters, der Passwörter gegen eine Liste mit kompromittierten Passwörtern abgleicht.
  • Implementierung von Multi-Faktor-Authentifizierung

Einsatz von Richtlinien zur Kontosperrung

Mithilfe von Richtlinien zur Kontosperrung wird verhindert, dass ein Angreifer in kurzer Zeit eine hohe Anzahl von Passwörtern für ein Konto ausprobiert, bis das Passwort kompromittiert ist. Unternehmen sollten mit einer Richtlinie zur Kontosperre einen Schwellenwert für die Anzahl zulässiger Versuche festlegen. Ist dieser Wert überschritten, wird das Konto für eine definierte Zeit gesperrt.
Kontosperrungsrichtlinien sind eher zur Abwehr von Brute-Force-Attacken geeignet, und sollten auf jeden Fall auch implementiert werden. Mit der Password-Spraying Methode umgehen Angreifer die Richtlinien zur Kontosperrung. Anstatt ein Konto mit einer grossen Anzahl verschiedener Passwörter zu attackieren, werden bei einem Password-Spraying-Angriff mehrere verschiedene Konten mit jeweils nur einem Passwort attackiert.

Verwendung starker Passwortrichtlinien

Eine weitere Massnahme ist die Verwendung von Passwortrichtlinien. Passwortrichtlinien dienen dazu, die Eigenschaften der in der IT-Umgebung verwendeten Kennwörter zu kontrollieren. Die Verwendung schwacher, kompromittierter oder leicht zu erratender Passwörter stellt für Unternehmen aus nachvollziehbaren Gründen eine extreme Gefahr dar und sollte durch den Einsatz von Passwortrichtlinien minimiert werden.
Mit Hilfe von Kennwortrichtlinien können Unternehmen die Länge, die Komplexität und den Inhalt von Kennwörtern in Ihrem Active Directory festlegen. Allerdings können mit den Active Directory-Domänendiensten (AD DS) von Microsoft nur grundlegende Kennwortrichtlinien erstellt werden. Diese werden heutzutage noch immer von einem Grossteil von Unternehmen verwendet. Sie werden aber den Anforderungen an starke Passwörter, wie sie das BSI, der NCSC oder das NIST empfehlen, nicht mehr gerecht.
Wollen Unternehmen also aktuelle, von Sicherheitsbehörden empfohlene Passwortrichtlinien in Active Directory verankern, müssen Unternehmen Lösungen von Drittanbietern wie Specops Software implementieren, um die Verwendung von kompromittierten Kennwörtern und anderen schwachen Kennwörtern in ihrer Netzwerk-Umgebung wirksam zu unterbinden.

image
Starke Passwortrichtlinien mit Specops Password Policy umsetzen

Nutzung eines Passwortfilters wie Specops Password Policy

Grundsätzlich gilt, ein starkes Passwort ist ein langes Passwort. Je länger, desto besser. Hierbei müssen Passwörter nicht zwingend komplex sein, wenn sie eine gewisse Mindestlänge haben. Bei Passwörtern ab einer Mindestlänge von 20 Zeichen ist die Entropie so hoch, dass es sehr unwahrscheinlich wird, diese mit einer Brute-Force-Attacken zu kompromittieren. So würde ein Brute-Force Angriff auf ein Passwort mit einer Länge von 15 Zeichen, das aus Gross- und Kleinbuchstaben besteht (also 52 verschiedene Zeichen enthalten kann) bereits unvorstellbare 811547028.13 Jahre benötigen, um dieses zu entschlüsseln.
Aber auch das längste Passwort ist nutzlos, wenn es bereits bekannt ist, also bereits kompromittiert wurde und zum Beispiel auf einer Liste mit kompromittierten Passwörtern wie der Have I been Pwned Liste zu finden ist. In diesem Fall sollte es so schnell wie möglich geändert werden. Um zu gewährleisten, dass das neu gewählte Passwort nicht ebenfalls schon kompromittiert ist, kann ein Passwortfilter wie Specops Password Policy helfen. In Kombination mit der Specops Breached Password Protection List können mehr als 2,4 Milliarden kompromittierte Kennwörter blockiert werden. Nutzer bekommen darüber hinaus bei der Änderung ihres Passwortes am Windows-Login-Screen ein direktes Feedback, ob das neue Passwort den Anforderungen der eingesetzten Passwortrichtlinie entspricht.

image
Direktes Feedback für Benutzer, ob das neu gewählte Passwort den Richtlinien entspricht, auf dem Windows Login-Screen
Cyberkriminelle wissen natürlich, dass Endbenutzer häufig die gleichen Kennwörter verwenden. Es liegt in der Natur des Menschen, dass wir alle gleich oder ähnlich denken. Daher neigen Benutzer dazu, sich die gleichen Arten von Kennwörtern auszudenken und zu verwenden. Das bedeutet, dass Listen mit entwendeten Kennwörtern höchstwahrscheinlich Kennwörter enthalten, die andere Benutzer derzeit für ihre Benutzerkonten verwenden.
Die Implementierung eines Schutzes vor kompromittierten Kennwörtern bedeutet, dass Unternehmen ihr Active Directory auf Kennwörter überprüfen, die in Listen mit kompromittierten Kennwörtern gefunden wurden.

image
Mehr als 2,4 Milliarden bereits kompromittierte Passwörter mit der Breached Password Protection List blockieren
Wie bereits erwähnt, ist der Schutz vor kompromittierten Kennwörtern jedoch keine Funktion, die von Haus aus in Active Directory enthalten ist. Auch in diesem Fall unterstützt die Lösung Specops Password Policy zusammen mit dem Managed Service Breached Password Protection Systemadministratoren, um das Active Directory vor schwachen und kompromittierten Passwörtern effektiv zu schützen.

Implementierung einer Multi-Faktor-Authentifizierung

Eine weitere Massnahme, zusätzlich zur Verwendung von starken Passwörtern, ist der Einsatz einer Multi-Faktor-Authentifizierung, um das Netzwerk vor unbefugten Zugriffen zu schützen. Bei der Multi-Faktor-Authentifizierung wird etwas, das der Nutzer weiss (sein Passwort) mit etwas kombiniert, das er hat, wie zum Beispiel sein Handy mit einer installierten Authentifizierungs-App (Google Authenticator) oder einem Yubikey.
Der Einsatz einer Multi-Faktor-Authentifizierung wie die Zwei-Faktor-Authentifizierung macht es Angreifern wesentlich schwerer, Anmeldedaten zu kompromittieren. Selbst wenn sie das Kennwort erraten oder durch einen Datenleak in deren Besitz gelangen, fehlt ihnen immer noch der zweite Faktor, um sich zu authentisieren und in das Unternehmensnetzwerk einzudringen.

Zeitgemässer Passwortschutz

Ein guter Start, um zu sehen, wie viele Nutzer schwache und kompromittierte Passwörter im Unternehmen verwenden, wäre ein Scan mit dem kostenlosen Tool Specops Password Auditor. Das Tool überprüft das Active Directory mit einem Read-Only-Scan auf passwortrelevante Schwachstellen. Mithilfe eines ausführlichen Reports können dann technische Massnahmen abgeleitet werden, um die Passwortsicherheit zu erhöhen.

image
Evaluieren Sie schwache und kompromittierte Passwörter kostenlos mit dem Specops Password Auditor
Unternehmen, die Passwortrichtlinien, die den aktuellen regulatorischen Anforderungen entsprechen, aufgrund von Compliance-Vorschriften implementieren müssen, sollten Tools wie Specops Password Policy einsetzen, um sich vor schwachen und kompromittierten Passwörtern zu schützen und damit die Passwortsicherheit zu erhöhen.
Specops Password Policy ist zusammen mit der Breached Password Protection List, die mehr als 2,4 Milliarden bereits kompromittierte Passwörter enthält und regelmässig aktualisiert wird, erhältlich. Sie können Specops Password Policy kostenlos 30 Tage lang testen. Hier geht es zum Download.


Loading

Mehr zum Thema

image

Nach Angriffswelle: Skript der CISA soll ESXi-Opfern helfen

Die US-Security-Behörde hat ein Skript veröffentlicht, um ESXi-Server wiederherzustellen.

publiziert am 8.2.2023
image

Alphv hackt Schweizer Finanzdienstleister Finaport

Die Cyberkriminellen konnten nach eigenen Angaben eine grössere Menge an Daten des Vermögensverwalters erbeuten. Die gestohlenen Informationen sind im Darkweb einsehbar.

publiziert am 8.2.2023
image

Neue Chefin für das BSI

Die Tech-Expertin Claudia Plattner soll die Spitze des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) übernehmen, nachdem das Amt monatelang unbesetzt war.

publiziert am 7.2.2023
image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023