Passwortsicherheit (nicht nur) im Active Directory

Wie Administratoren ein Active Directory (AD) absichern können, beschreiben bereits zwei Artikel zur AD-Härtung [1, 2]. Darüber hinaus sollte man sich mit der Sicherheit von Passwörtern beschäftigen, denn unter Umständen können sie ein Sicherheitsrisiko darstellen. Selbst mit einer strengen Passwortrichtlinie lässt sich kaum verhindern, dass Benutzer Passwörter wählen, die ein Angreifer leicht erraten kann [3]. Sobald dieser gültige Anmeldedaten in die Finger bekommt, kann er Schutzmaßnahmen umgehen, da er nicht von einem legitimen Benutzer unterscheidbar ist.

Wie gravierend die Kompromittierung eines Passwortes ist, hängt sehr vom Kontotyp ab. Bei einem Account für ein Onlineforum kann der Angreifer sich lediglich als Benutzer ausgeben und in dessen Namen Beiträge posten – der mögliche Schaden hält sich meistens in Grenzen. Handelt es sich jedoch um ein Firmenkonto, erhält der Angreifer unter Umständen Zugang zum internen Firmennetz und kann von dort weitere Attacken gegen das Unternehmen starten. Oftmals existieren innerhalb eines Firmennetzwerks weniger Sicherheitsmechanismen, um solche Angriffe zu erkennen, da die Administratoren davon ausgehen, dass es für einen Angreifer nicht möglich ist, sich Zutritt zum internen Netz zu verschaffen.