Die erste Anmeldung eines neuen Mitarbeiters im Active Directory eines Unternehmensnetzwerks ist mit Sicherheitsrisiken verbunden, die Organisationen bis jetzt in Kauf nehmen mussten. Doch nun gibt es zuverlässige Wege, die Vergabe, Nutzung und Änderung eines Initialpassworts sicherer zu gestalten. Und obendrein schneller und komfortabler.
Wenn neue Mitarbeiter in ein Unternehmen kommen, brauchen sie einen Zugang zum Firmennetzwerk. Dafür werden Initialpasswörter oder „First Day Passwords“ für die neuen Active-Directory-Benutzer generiert. Eine mündliche Weitergabe des temporären Passworts ist besonders bei großen Unternehmen mit einem hohen Aufwand verbunden, während eine Zustellung des Kennworts im Klartext per E-Mail, SMS oder Papierausdruck einen zusätzlichen Angriffspunkt für Cyberkriminelle darstellt. Selbst wenn das Initialpasswort nicht dadurch kompromittiert wurde, kann ein nachlässiger Umgang des neuen Mitarbeiters mit dem Passwort sowie eine über Tage oder gar Wochen verschleppte Kennwortänderung zu potenziellen Sicherheitsrisiken führen.
Riskante Einmal-Kennwörter können zu Datenlecks führen
Leider wird der Sicherheit von Initialkennwörtern von der IT-Abteilung selbst keine allzu große Bedeutung beigemessen, da diese nur als Platzhalter für später generierte User-Passwörter gesehen werden. Die Sicherheitsexperten von Specops haben in einer groß angelegten Studie über 651 Millionen Passwörter analysiert, die 2023 durch Malware kompromittiert wurden. Dieser Datensatz wurde auf 120.000 kompromittierte Passwörter eingegrenzt, die Wörter oder Begriffe enthielten, die möglicherweise für Initialpasswörter verwendet werden. Dabei tauchen die Begriffe „User“ (41.683 Mal), „Temp“ (28.469 Mal) und „Welcome“ (21.887 Mal) in Verbindung mit weiteren Elementen wie „123“ oder „New“ besonders häufig auf.
Solche Kombinationen werden von Cyberkriminellen für Dictionary- und Brute-Force-Angriffe bevorzugt verwendet und führen nicht selten zum Erfolg:
- Die Aliquippa Wasserbehörde in Pennsylvania wurde 2023 mutmaßlich von iranischen Hackern unter Verwendung des nie geänderten Standardpassworts „1111“ angegriffen.
- Das Softwareunternehmen Solarwinds, das System-Management-Tools für Unternehmen und Behörden in aller Welt produziert, wurde 2020 Opfer einer großangelegten Cyber-Attacke durch den Gebrauch des Kennworts „solarwinds123“.
- Das New York City Law Department wurde 2021 über eine Schwachstelle in seiner Pulse Secure VPN-Software angegriffen, deren Standardpasswort „123456“ lautete und nie geändert wurde.
Initialpasswörter folgen oft ähnlichen Mustern bei der Erstellung und stellen damit ein erhebliches Sicherheitsrisiko dar. Doch auch lange und komplexe Kennwörter, die gängigen Sicherheitsstandards genügen, können während des Onboarding-Prozesses leichter kompromittiert werden als im nachfolgenden Einsatz. Denn die Weitergabe der Passwörter im Klartext – per E-Mail, SMS oder ausgedruckt auf Papier – macht das Unternehmen besonders anfällig für Man-in-the-Middle-Angriffe. Die etwas sicherere persönliche Weitergabe ist für große Unternehmen mit mehreren Standorten – zumal in Zeiten von Hybrid Work – ohnehin nicht umsetzbar.
Sicheres Onboarding mit Specops First Day Password
Um sowohl Man-in-the-Middle-Angriffe durch Verbreitung eines Klartext-Passworts als auch Sicherheitslücken durch eine nur geringfügige Änderung des Initialpassworts zu verhindern, bietet sich eine Lösung an, bei der ein Initialkennwort gar nicht erst publiziert und angezeigt wird. Das ist möglich mit Specops First Day Password (kurz FDP) – einem neuen Service, der auf der Self-Service-Passwort-Reset-Lösung uReset aufsetzt.
First Day Password auf Admin-Seite
Der IT-Administrator kann im Admin-Portal für Specops Authentification auf die Onboarding-Funktionalität zugreifen. Über PowerShell, in dem die Gatekeeper-Admin-Tools installiert sind, lassen sich über das Kommando „Set-SAOnboarding“ alle erforderlichen Parameter für das Onboarding eines neuen Mitarbeiters eingeben, darunter Username, E-Mail-Adresse und/oder Mobilnummer sowie Gültigkeitsdatum. Mit entsprechenden Scripten lassen sich auch Einladungen mit Datensätzen aus CSV-Dateien an mehrere neue Mitarbeiter gleichzeitig versenden.
First Day Password auf Mitarbeiter-Seite
Ein neuer Mitarbeiter erhält je nach vom Admin eingestellter Übermittlungsmethode eine E-Mail, eine SMS aufs Mobiltelefon oder beides. Dabei wird lediglich ein Link übermittelt, und kein Initialpasswort im Klartext. Nach dem Anklicken des Links gelangt der Mitarbeiter in die entsprechende Specops-Routine, die um eine Autorisierung per persönlicher Mail, Mobil-Code oder weiterer bereits hinterlegter Faktoren bittet.
Wurde die Autorisierung erfolgreich absolviert, erscheint der Dialog zur Vergabe eines neuen, persönlichen Passworts – ohne die Gefahr, dass bei einem bereits vorhandenen Initialkennwort nur unwesentliche Änderungen oder Ergänzungen gemacht werden. Verwenden Sie Specops Passwort Policy in Ihrem Unternehmen, werden dem neuen Mitarbeiter die aktuellen Kennwort-Richtlinien präsentiert und die neue Eingabe per Breached Password Protection gegen mehr als vier Milliarden kompromittierte Passwörter in der Specops-Datenbank abgeglichen.
Fazit: Sicherheitsplus für einen reibungslosen Onboarding-Prozess
Specops First Day Passwort eliminiert die typischen Gefahren bei der Generierung, Weiterleitung und Verwendung von Initialpasswörtern für neue Mitarbeiter. Weder auf Unternehmens- noch auf Mitarbeiterseite wird ein Kennwort im Klartext publiziert. Das schließt die Kompromittierung durch Personen im Unternehmen sowie die nur geringfügige Modifikation des Initialpassworts bei der Kennwortänderung durch den Mitarbeiter aus. Das Risiko erfolgreicher Directory- oder Brute-Force-Attacken von Cyberkriminellen wird dadurch reduziert.
kommentar field