Passwortprobleme im Homeoffice managen

Die Passwortverwaltung ist schon unter normalen Umständen eine Herausforderung für Systemadministratoren. In der aktuellen Situation, in der viele Mitarbeiter von zu Hause aus arbeiten, kommen Probleme hinzu. Doch es gibt Lösungen, die auch im Homeoffice für sichere Passwörter sorgen, ohne die Nutzererfahrung zu beeinträchtigen.

Für Systemadministratoren stellt die Kontrolle und Verwaltung der Passwörter aus der Ferne aus mehreren Gründen eine zusätzliche Herausforderung dar: Muss ein Passwort beispielsweise zurückgesetzt werden, weil der Anwender es vergessen hat, oder verlangen die Sicherheitsrichtlinien eine Kennworterneuerung, kann es zu Problemen mit dem lokalen Cache kommen.

In der Regel werden Anmeldeinformationen lokal zwischengespeichert, um auch dann eine Authentifizierung von Benutzern zu ermöglichen, wenn der Domänencontroller nicht zu erreichen ist. Diese alten Anmeldedaten werden jedoch nicht automatisch durch neue Credentials ersetzt, wenn das Kennwort geändert wurde. In der Folge kann es dazu kommen, dass der Benutzer nicht mehr auf sein Konto zugreifen kann, oder beide Passwörter verwenden muss, je nachdem, ob er gerade am Firmennetz angemeldet ist oder nicht. Vermehrte Helpdesk- und Supportanfragen sind die Folge.

Um diese Probleme zu vermeiden, muss sichergestellt werden, dass Anwender im Homeoffice ihre Kennwörter vor Ablauf ändern, während sie über ein VPN mit dem Unternehmensnetzwerk verbunden sind. Dabei ist zu beachten, dass viele On-Screen-Benachrichtigungsfunktionen remote nicht funktionieren – auch nicht über VPN. Daher sollten die Mitarbeiter – am besten per E-Mail – rechtzeitig an die Passworterneuerung erinnert werden. Specops bietet hierfür ein kostenloses Kennwort-Benachrichtigungstool. Es vergleicht das pwdLastSet-Attribut mit dem in der Standard-Domänenrichtlinie oder einer speziellen Passwort-Policy hinterlegten maximal erlaubten Kennwortalter und sendet betroffenen Benutzern eine Benachrichtigungs-E-Mail. So lässt sich das Problem mit lokal zwischengespeicherten Credentials vermeiden.

Regelmäßige Passwort-Erneuerung – ein aussterbendes Konzept?

Eine alternative Lösung besteht darin, Passwörter einfach nie ablaufen zu lassen. Ob das ein Sicherheitsrisiko darstellt, ist umstritten. Lorrie Cranor, Chief Technologist bei der amerikanischen Verbraucherschutzbehörde FTC (Federal Trade Commission) bezweifelt unter Berufung auf diverse Studien den Sinn häufiger Passwortwechsel. Er führe zu einfacheren, und damit leichter zu erratenden Kennwörtern. Auch Lance Spitzner, Director Security Awareness beim SANS Institute hält den regelmäßigen Austausch von Passwörtern für ein aussterbendes Konzept.

Werden Passwörter nie oder nur sehr selten ersetzt, müssen sie natürlich so sicher wie möglich sein. Gestohlene Credentials stellen in diesem Fall ein besonders hohes Sicherheitsrisiko dar, da sie ohne regelmäßigen Passwortwechsel noch Monate oder Jahre nach dem Datendiebstahl nutzbar sind. Sicherheitsverantwortliche sollten daher solche Langzeit-Passwörter genauer unter die Lupe nehmen. Dabei hilft beispielsweise der kostenlose Specops Password Auditor. Er prüft, welche Konten im Active Directory mit „gepwnten“, also geleakten und damit kompromittierten Passwörtern geschützt sind. Das Tool kann auch feststellen, ob mehrere Nutzer die gleichen Standardpasswörter verwenden. Mit diesen Informationen lässt sich die Sicherheit niemals ablaufender Passwörter deutlich erhöhen.

Abgelaufene Passwörter zurücksetzen – umständlich und fehleranfällig

Falls ein Nutzer im Homeoffice sein Passwort vergessen hat, oder es trotz Erinnerung abgelaufen ist, muss er sich telefonisch an den Service-Desk wenden. Der Mitarbeiter darf beim Zurücksetzen allerdings die Funktion „Benutzer muss Passwort bei der nächsten Anmeldung ändern“ nicht aktivieren, da sonst das oben beschriebene Problem mit dem lokalen Cache auftritt. Das stellt ein Sicherheitsrisiko dar, denn der Service-Desk-Mitarbeiter kennt nun das Passwort des Benutzers. Um zu einem neuen sicheren Kennwort zu kommen, muss der Anwender sich zunächst mit seinen alten Credentials an seinem Rechner einloggen, dann eine VPN-Verbindung zum Firmennetz aufbauen, über die Passwort-ändern-Funktion das vom Service Desk festgelegte Passwort eingeben und dieses wiederum ändern. Je nach Kenntnisstand und Zahl der im Homeoffice arbeitenden Anwender kann dieser doch recht komplizierte Vorgang zu einem erheblichen Support-Aufwand führen.

Wesentlich leichter haben es Administratoren, die eine Self-Service-Lösung für die Passwortzurücksetzung verwenden, wie sie beispielsweise Specops zur Verfügung stellt. Mit ihrer Hilfe können Benutzer ihre Active Directory-Passwörter direkt vom Windows-Anmeldebildschirm aus sicher zurücksetzen. Die Lösung verhindert auch Kontosperren, indem sie die lokal zwischengespeicherten Anmeldeinformationen aktualisiert, selbst wenn ein Domänencontroller nicht erreicht werden kann.

Hier erhalten Sie weitere Informationen zur Specops-Self-Service-Lösung – starten Sie jetzt einen kostenlosen Test!

 

 

 

kommentar field