Tag: nur-ein-passwort-strategie

Posted on

Sicherheitsrisiken…

…durch unsichere Passwörter

Wir verraten Ihnen hier wo wir bei forensischen Analysen die meisten Passwörter im Klartext abgreifen konnten. Den meisten Unternehmen ist nicht bewußt wie der leichtsinnige Umgang mit Zugangsdaten und Identitäten Ihre Datenintegrität gefährdet. Zeigen Sie die drei Punkte Ihren Mitarbeitern im nächsten Meeting:

  • MS Excel und ähnliche Dokumente mit Zugangsdaten im Klartext, gefunden auf Netzwerklaufwerken, Team Sharing Apps wie DropBox, OneDrive usw. In mehreren Fällen hätten wir alle Social Media Accounts und weitere Online Zugänge des Unternehmens in einem Schlag übernehmen können.
  • Chat Apps – Wir konnten aus Chatprotokollen diverser Apps Klartextpasswörter und Schlüssel für Apps, Webseiten, Rest API’s usw. auslesen. Es werden am häufigsten Zugangsdaten mit neuen Mitarbeitern in der Onboarding Phase und meist im Bereich Software Developement per Chat im Klartext geteilt, an zweiter Stelle die HR oder Personalabteilungen. Damit hätten wir eine Menge Unfug und einen Ausfall der Key Business Applikation starten können.
  • Veraltete GPO’s im Active Directory. Wir sahen einige AD’s die nichtmal die Security Baseline Protection per Policy angewendet hatten. Gerade in historisch gewachsenen Infrastrukturen kommt dies vor. Häufig ist noch NTML Auth erlaubt, weil alte Anwendungen nicht auf Kerberos umgestellt werden können. Das ist mehr als kritisch. Innerhalb von 24h konnten wir mehr als 2000 Benutzer- und Maschinenkonten kompromitieren.

Das sind drei Beispiele, bei denen den Beteiligten nicht bewußt ist, welches Risiko hier lauert. “Ach, hier passiert schon nichts” ist genau die Denkweise die vermieden werden muss. Hier muss Awareness geschaffen werden, die Rahmenbedingung für die “Nur-Ein-Passwort-Strategie sollte in Betracht gezogen werden. Ist das keine Alternative für Ihr Business Modell hilft nur der flächendeckende Einsatz eines geeigneten Passwort Managers auf allen Geräten. Diese lassen sich inzwischen auf allen Geräten und verteilt auf allen Plattformen einsetzen und gewährleisten eine gewisse Integrität aller Zugänge. Häufig müssen die Passwörter nicht mehr im Klartext angezeigt werden, der Passwortmanager übernimmt den Login automatisch. Theoretisch könnte man so alle Klartext Passwörter im Netzwerk eleminieren. Theoretisch…..