Passwort-Audits

Seit vielen Jahren beobachten wir problematische Trends bei der Verwendung von Passwörtern. Ob bei Incident Response Einsätzen oder bei Penetrationstests – zu schwache Passwörter sind in den heutigen IT-Umgebungen noch viel zu häufig der entscheidende Knackpunkt, der zwischen Erfolg und Misserfolg eines Angriffs entscheidet.

Das wissen auch die Angreifer, und so ist wohl jeder über das Internet erreichbare Server ständigen Brute-Force-Angriffen ausgesetzt. Teilweise entwendet Schadsoftware auch nach einem erfolgreichen Angriff weitere Active Directory Passwort-Hashes, um zusätzliche Zugriffsmöglichkeiten in der Zukunft zu sichern, wie Anfang des Jahres bei Trickbot beobachtet wurde.

Leider bilden Passwörter aber noch bei vielen Systemen und Anwendungen den einzigen Schutz vor unbefugten Angreifern. Die im Windows Active Directory eingebauten Komplexitätsregeln bieten nur eine geringe Hilfestellung bei der Wahl eines sicheren Passworts und sind in der Praxis nicht ausreichend.

Auch wo theoretisch die Einführung von 2-Faktor-Authentifizierung möglich wäre, gestaltet sich die praktische Umsetzung oft schwieriger als erhofft und wird daher verschoben.

Um Kunden einen Überblick über die Passwort-Qualität der von den eigenen Mitarbeitern verwendeten Passwörter zu geben, führt HiSolutions deswegen praktische Prüfungen der Passwortqualität durch. Dafür verfügen wir über ein Labor mit Spezialhardware für das Durchführen von hochparallelisierten Angriffen zur Ermittlung von Kennwörtern. Das System wurde in einer Vielzahl von Penetrationstests und Passwort-Prüfungen erfolgreich eingesetzt. Der Angriffsprozess wird dabei stetig weiterentwickelt und an neueste technische und organisatorische Erkenntnisse angepasst. Das System ermöglicht es, mehrere hundert Milliarden Password-Kandidaten pro Sekunde auszuprobieren.

Bei einer praktischen Prüfung der Passwortqualität werden die Passwort-Hashes von den Domänen-Controllern extrahiert und auf das Spezialsystem bei HiSolutions übertragen. Dort wird dann versucht, in vorgegebener Zeitspanne so viele Passwörter wie möglich zu ermitteln. Bei Bedarf, z.B. wenn die Daten das Netzwerk unter keinen Umständen verlassen dürfen, kann das Spezialsystem der HiSolutions auch in die Räumlichkeiten des Auftraggebers transportiert und dort angeschlossen werden.

Dazu werden unter anderem eine Vielzahl an Wörterbüchern, öffentlichen Passwort-Listen, speziellen Passwort-Regeln und -Masken und eine Kombination verschiedener Angriffsmethoden verwendet. Die verwendeten Regelwerke und Angriffsmethoden werden in Abhängigkeit von den erzielten Ergebnissen kontinuierlich manuell nachjustiert. Zudem werden auftraggeberspezifische Informationen wie beispielsweise spezielle Wörterbücher und bereits ermittelte Passwörter in die weiteren Angriffe einbezogen.

Die Ergebnisse der Prüfung werden im Anschluss ausgewertet und bewertet. Die daraus getroffenen Einschätzungen und Ergebnisse werden mit geeigneten Handlungsempfehlungen zur Verbesserung der organisatorischen und technischen Vorgaben für den Passworteinsatz in einem Prüfbericht dokumentiert. Der Auftraggeber erhält zusätzlich die Liste der Accounts mit gebrochenen Passwörtern, damit diese im Anschluss geändert werden können. Die gewonnenen Klartext-Passwörter werden aus Datenschutzgründen und gegebenenfalls enthaltenen sensiblen Daten grundsätzlich nicht offengelegt. Alle Passwort-Hashes und Klartext-Passwörter werden nach Abschluss des Projekts von den Systemen der HiSolutions sicher gelöscht.