PasswordIQ prüft die Passwörter der Nutzer:innen in Ihrem Active Directory auf 11 Passwortschwachstellen. Sobald Sie die Scanergebnisse erhalten, können Sie gemeinsam mit den Nutzer:innen die von PasswordIQ erkannten Passwortschwachstellen beheben. Im Artikel So verwenden Sie das PasswordIQ-Dashboard erfahren Sie, wie Sie die Scanergebnisse anzeigen.
In den nachfolgenden Abschnitten erfahren Sie, wie Sie Schwachstellen bei den Passwörtern Ihrer Nutzer:innen beheben. Allgemeine Informationen zu PasswordIQ finden Sie im PasswordIQ-Produkthandbuch.
Weak Password (Schwaches Passwort)
Nachfolgend finden Sie Empfehlungen für den Fall, dass von PasswordIQ eine Passwortschwachstelle erkannt wird:
- Benachrichtigen Sie den:die Nutzer:in, dass er:sie aktuell ein schwaches Passwort verwendet.
- Bitten Sie den:die Nutzer:in, das Passwort zu ändern.
- Stellen Sie dem:der Nutzer:in ein Training zum Erstellen starker Passwörter bereit. Im ModStore von KnowBe4 finden Sie Trainingsmodule, die Sie Ihren Nutzer:innen zuweisen können, darunter Erstellen starker Passwörter – Security Awareness Training, So erstellen Sie starke Passwörter – mit Quiz und Passwortsicherheit. Weitere Informationen zum verfügbaren Training Content im ModStore finden Sie im Artikel Leitfaden zu ModStore und Bibliothek.
Shared Password (Gemeinsam genutztes Passwort)
Nachfolgend finden Sie Empfehlungen für den Fall, dass von PasswordIQ ein gemeinsam genutztes Passwort erkannt wird:
- Benachrichtigen Sie den:die Nutzer:in, dass sein:ihr Passwort aktuell noch von jemand anderem verwendet wird.
- Bitten Sie den:die Nutzer:in, das Passwort für alle Konten zu ändern, bei denen es verwendet wird.
- Bieten Sie dem:der Nutzer:in ein Training zum Erstellen eindeutiger Passwörter an. Im ModStore von KnowBe4 finden Sie Trainingsmodule, die Sie Ihren Nutzer:innen zuweisen können, darunter Erstellen starker Passwörter – Security Awareness Training, So erstellen Sie starke Passwörter – mit Quiz und Passwortsicherheit. Weitere Informationen zum verfügbaren Training Content im ModStore finden Sie im Artikel Leitfaden zu ModStore und Bibliothek.
Clear Text Password (Unverschlüsseltes Passwort)
Wenn von PasswordIQ ein unverschlüsseltes Passwort für eine/n Nutzer:in oder eine Gruppe von Nutzer:innen erkannt wird, ist möglicherweise die umkehrbare Verschlüsselung für die entsprechenden Konten aktiviert.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie Active Directory.
- Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
- Wählen Sie die Registerkarte Konto aus.
- Im Abschnitt Kontooptionen finden Sie die Einstellung Kennwort mit umkehrbarer Verschlüsselung speichern. Stellen Sie sicher, dass diese Option nicht ausgewählt ist.
- Fordern Sie Ihre Nutzer:innen auf, ihre Passwörter zu ändern.
Wenn von PasswordIQ unverschlüsselte Passwörter für alle Nutzer:innen erkannt werden, ist die umkehrbare Verschlüsselung möglicherweise in der Gruppenrichtlinie aktiviert.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie den Gruppenrichtlinien-Editor.
- Navigieren Sie zu diesem Pfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie.
- Öffnen Sie die Richtlinie Kennwort mit umkehrbarer Verschlüsselung speichern. Stellen Sie sicher, dass diese Richtlinie deaktiviert ist.
- Erzwingen Sie ein Update für die auf Ihr Unternehmen angewendeten Gruppenrichtlinien.
- Fordern Sie Ihre Nutzer:innen auf, ihre Passwörter zu ändern.
Empty Password (Leeres Passwort)
Wenn von PasswordIQ ein leeres Passwort erkannt wird, ist die Minimale Kennwortlänge in der Gruppenrichtlinie möglicherweise auf 0 festgelegt. Ist dies der Fall, muss ein Passwort keine Zeichen enthalten und darf leer sein.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie den Gruppenrichtlinien-Editor.
- Navigieren Sie zu diesem Pfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie.
- Öffnen Sie die Richtlinie Minimale Kennwortlänge.
DES-Only Encryption (Nur-DES-Verschlüsselung)
Wenn von PasswordIQ eine Nur-DES-Verschlüsselung erkannt wird, ist möglicherweise die DES-Verschlüsselung für das Konto aktiviert.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie Active Directory.
- Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
- Wählen Sie die Registerkarte Konto aus.
- Navigieren Sie im Abschnitt Kontooptionen zur Einstellung Kerberos-DES-Verschlüsselungstypen für dieses Konto verwenden.
Breached Password (Kompromittiertes Passwort)
Nachfolgend finden Sie Empfehlungen für den Fall, dass von PasswordIQ ein kompromittiertes Passwort erkannt wird:
- Benachrichtigen Sie den:die Nutzer:in, dass sein:ihr aktuelles Passwort durch eine Datenschutzverletzung offengelegt wurde.
- Bitten Sie den:die Nutzer:in, das Passwort für alle Konten zu ändern, bei denen es verwendet wird.
- Weisen Sie dem:der Nutzer:in die aktuelle Schulung zum Sicherheitsbewusstsein von KnowBe4 zu, um ihn:sie auf mögliche Social-Engineering-Angriffe vorzubereiten. Cyberkriminelle nehmen eher jene Nutzer:innen ins Visier, die Opfer von Datenschutzverletzungen geworden sind.
Password Not Required (Kein Passwort erforderlich)
Wenn von PasswordIQ erkannt wird, dass kein Passwort erforderlich ist, ist möglicherweise das Kennzeichen PASSWD_NOTREQD im Attribut userAccountControl des Kontos festgelegt. Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie Active Directory.
- Aktivieren Sie Erweiterte Funktionen (Ansicht > Erweiterte Funktionen).
- Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
- Auf der Registerkarte Attribut-Editor finden Sie das Attribut userAccountControl.
Password Never Expires (Passwort läuft niemals ab)
Wenn von PasswordIQ für eine/n Nutzer:in oder eine Gruppe von Nutzer:innen Passwörter erkannt werden, die niemals ablaufen, ist möglicherweise die Option Kennwort läuft nie ab für die entsprechenden Konten aktiviert.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie Active Directory.
- Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
- Wählen Sie die Registerkarte Konto aus.
- Navigieren Sie im Abschnitt Kontooptionen zur Einstellung Kennwort läuft nie ab.
Wenn von PasswordIQ für alle Nutzer:innen Passwörter erkannt werden, die niemals ablaufen, ist die Einstellung Maximales Kennwortalter in der Gruppenrichtlinie möglicherweise auf 0 festgelegt.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor.
- Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Sicherheitsoptionen.
- Öffnen Sie die Richtlinie Maximales Kennwortalter.
- Erzwingen Sie ein Update für die auf Ihr Unternehmen angewendeten Gruppenrichtlinien.
Sie können auch prüfen, ob für eine Nutzergruppe eine detaillierte Kennwortrichtlinie in Bezug auf das maximale Kennwortalter gilt.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie das Active Directory-Verwaltungscenter.
- Navigieren Sie zu „Domain“\System\Password Settings Container.
- Stellen Sie sicher, dass für die aufgeführten Kennwortrichtlinien die Option Erzwungenes maximales Kennwortalter deaktiviert ist.
LM-Hash-Passwort
Wenn von PasswordIQ ein LM-Hash-Passwort (LAN-Manager) erkannt wird, ist möglicherweise die Einstellung für den LM-Hash in der Gruppenrichtlinie aktiviert.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie den Gruppenrichtlinien-Editor.
- Navigieren Sie zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
- Öffnen Sie die Richtlinie Netzwerksicherheit: Keine LAN Manager-Hashwerte für die nächste Kennwortänderung speichern.
- Erzwingen Sie ein Update für die auf Ihr Unternehmen angewendeten Gruppenrichtlinien.
- Fordern Sie Ihre Nutzer:innen auf, ihre Passwörter zu ändern.
AES-Verschlüsselung nicht eingerichtet
Wenn von PasswordIQ fehlende AES-Verschlüsselung (Advanced Encryption Standard) für eine/n Nutzer:in oder eine Gruppe von Nutzer:innen erkannt wird, muss die AES-Verschlüsselung für diese Konten aktiviert werden.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie Active Directory.
- Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
- Wählen Sie die Registerkarte Konto aus.
- Navigieren Sie im Abschnitt Kontooptionen zur Einstellung Dieses Konto unterstützt Kerberos-AES-128-Bit-Verschlüsselung bzw. Dieses Konto unterstützt Kerberos-AES-256-Bit-Verschlüsselung. Wählen Sie die verfügbare Option aus.
Wenn von PasswordIQ fehlende AES-Verschlüsselung für alle Nutzer:innen erkannt wird, müssen die AES-Verschlüsselungstypen möglicherweise in der Gruppenrichtlinie ausgewählt werden.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie den Gruppenrichtlinien-Editor.
- Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
- Öffnen Sie die Richtlinie „Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren“. Die AES-Schlüssel sind AES128_HMAC_SHA1 und AES256_HMAC_SHA1.
Missing Pre-Authentication (Fehlende Vorab-Authentifizierung)
Wenn von PasswordIQ eine fehlende Vorab-Authentifizierung erkannt wird, ist für das Konto möglicherweise die Einstellung Keine Kerberos-Präauthentifizierung erforderlich aktiviert.
Gehen Sie wie folgt vor, um diese Einstellung aufzurufen:
- Öffnen Sie Active Directory.
- Navigieren Sie zu den Kontoeigenschaften des Nutzers bzw. der Nutzerin.
- Wählen Sie die Registerkarte Konto aus.
- Navigieren Sie im Abschnitt Kontooptionen zur Einstellung Keine Kerberos-Präauthentifizierung erforderlich.