IAM

…durch unsichere Passwörter

Wir verraten Ihnen hier wo wir bei forensischen Analysen die meisten Passwörter im Klartext abgreifen konnten. Den meisten Unternehmen ist nicht bewußt wie der leichtsinnige Umgang mit Zugangsdaten und Identitäten Ihre Datenintegrität gefährdet. Zeigen Sie die drei Punkte Ihren Mitarbeitern im nächsten Meeting:

MS Excel und ähnliche Dokumente mit Zugangsdaten im Klartext, gefunden auf Netzwerklaufwerken, Team Sharing Apps wie DropBox, OneDrive usw. In mehreren Fällen hätten wir alle Social Media Accounts und weitere Online Zugänge des Unternehmens in einem Schlag übernehmen können.
Chat Apps – Wir konnten aus Chatprotokollen diverser Apps Klartextpasswörter und Schlüssel für Apps, Webseiten, Rest API’s usw. auslesen. Es werden am häufigsten Zugangsdaten mit neuen Mitarbeitern in der Onboarding Phase und meist im Bereich Software Developement per Chat im Klartext geteilt, an zweiter Stelle die HR oder Personalabteilungen. Damit hätten wir eine Menge Unfug und einen Ausfall der Key Business Applikation starten können.
Veraltete GPO’s im Active Directory. Wir sahen einige AD’s die nichtmal die Security Baseline Protection per Policy angewendet hatten. Gerade in historisch gewachsenen Infrastrukturen kommt dies vor. Häufig ist noch NTML Auth erlaubt, weil alte Anwendungen nicht auf Kerberos umgestellt werden können. Das ist mehr als kritisch. Innerhalb von 24h konnten wir mehr als 2000 Benutzer- und Maschinenkonten kompromitieren.

Das sind drei Beispiele, bei denen den Beteiligten nicht bewußt ist, welches Risiko hier lauert. “Ach, hier passiert schon nichts” ist genau die Denkweise die vermieden werden muss. Hier muss Awareness geschaffen werden, die Rahmenbedingung für die “Nur-Ein-Passwort-Strategie sollte in Betracht gezogen werden. Ist das keine Alternative für Ihr Business Modell hilft nur der flächendeckende Einsatz eines geeigneten Passwort Managers auf allen Geräten. Diese lassen sich inzwischen auf allen Geräten und verteilt auf allen Plattformen einsetzen und gewährleisten eine gewisse Integrität aller Zugänge. Häufig müssen die Passwörter nicht mehr im Klartext angezeigt werden, der Passwortmanager übernimmt den Login automatisch. Theoretisch könnte man so alle Klartext Passwörter im Netzwerk eleminieren. Theoretisch…..

Ein Passwort für alle Dienste

In vielen Unternehmen kämpfen Mitarbeitende mit einer wachsenden Anzahl an Passwörtern für verschiedene Anwendungen und Systeme. Dies führt nicht nur zu Sicherheitsrisiken durch unsichere Passwörter und „Passwortmüdigkeit“, sondern auch zu einem erhöhten Verwaltungsaufwand für die IT-Abteilung.

Es ist kein großer Aufwand ihren Benutzern eine einfache und denoch sichere Anmeldung zu Geräten und Applikationen zu ermöglichen. Sie können z. Bsp. in M365 Ihre Unternehmensapplikation registrieren und über ein Portal einfach zur Verfügung stellen.

Ihre Mitarbeiter benötigen nur ein Passwort für Alles! Wir zeigen Ihnen wie auch Ihr Unternehmen davon profitiert.

Tag: IAM

Sind Sie genervt von sinnlosen Passwörtern?