Passwort Audit
Überprüfen Sie Ihre unternehmensweite Passwort-Richtlinie durch einen technischen Audit. Identifizieren Sie schwache Nutzerpasswörter und härten Sie Ihre Richtlinien.
Jetzt Audit anfordernPrüfumfang des Audits
Bei diesem Penetrationstest untersuchen unsere Ethical Hacker die Passwortstärke in Ihrem Unternehmen. Unsere technische Analyse erfolgt in Abstimmung mit Ihrem Betriebsrat und Datenschutzteam. Der Test erfolgt in der Regel von Remote.
%
Mehr als die Hälfte aller Mitarbeiter-Passwörter können während unserer Analyse geknackt werden%
Die Wiederverwendung von Passwörtern kommt in fast jedem Unternehmen vor und wird während unserer Analyse aufgedeckt sowie berichtet%
Fast zwei Drittel aller geknackten Mitarbeiter-Passwörter bestehen i.d.R. aus einfach zu erratenden WörterbucheinträgenTechnische Analyse
Überprüfen Sie Ihre Passwortrichtlinien auf eine technische Art und Weise
Messbare Kennzahlen
Bei regelmässigen Audits tracken wir Ihren Fortschrittsverlauf
Eigene Infrastruktur
Wir betreiben unsere lokalen Cracking-Server selbst. Keine Daten in der Cloud.
Konformes Audit
Unser Vorgehen wird mit Betriebsrat und Datenschutzteam abgestimmt
Unser Vorgehen
Bei einem Active Directory Passwort-Audit extrahieren wir die Passwort-Hashes aller Mitarbeiter Ihrer Active Directory Domäne(n). Anschliessend versuchen wir, diese sogenannten NT-Hashes mithilfe von frei verfügbaren Passwortlisten und anderen Cracking-Methoden in ihre Klartextform zu überführen.
Durch unsere anschliessende Qualitätsanalyse der identifizierten Klartextpasswörter können messbare Ergebnisse zu der vorhandenen Passwortstärke in Ihrem Unternehmen geliefert werden. Dadurch wird Ihnen ermöglicht, eine Übersicht über potentielle Schwachstellen in Ihrem Unternehmen und der Active Directory Konfiguration zu erhalten und diese grundlegend zu beheben.
Weiterhin sind Sie als Kunde nachträglich in der Lage, alle Nutzerkonten zu identifizieren, welche Ihre globale Passwortrichtlinie im Unternehmen nicht einhalten.
Unter anderem sind die folgenden Auswertungen Bestandteil unseres Passwort-Audits:
- Passwortstärke Ihrer Active Directory Domäne(n)
- Wiederverwendung von Passwörtern
- Analyse und statistische Kennzahlen über erratene Passwörter wie Länge, Komplexität sowie deren Struktur
Häufige Fragen zum Passwort-Audit
Ein Passwort-Hash ist wie ein digitaler Fingerabdruck für dein Passwort. Wenn du dich bei einem Konto anmeldest, wird dein Passwort durch eine spezielle Rechenoperation geschickt, die einen einzigartigen Code erstellt - den Passwort-Hash. Dieser Code ist eine feste Länge und sieht für jeden Benutzer anders aus.
Der wichtige Trick hierbei ist, dass es sehr schwierig ist, vom Passwort-Hash auf das ursprüngliche Passwort zurückzuschliessen. Das bedeutet, dass selbst wenn jemand den Passwort-Hash herausfindet, sie nicht einfach dein Passwort wissen können.
Warum ist das wichtig? Angenommen, eine Website, bei der du registriert bist, wird gehackt und die Passwort-Hashes der Benutzer gestohlen. Wenn diese Hashes sicher erstellt wurden, ist es für die Angreifer immer noch äusserst schwierig, die ursprünglichen Passwörter zu erfahren. Das gibt den Benutzern zusätzlichen Schutz.
Übrigens, um die Sicherheit noch weiter zu erhöhen, verwenden kluge Systeme auch etwas namens "Salt". (auf deutsch Salz). Das ist im Grunde genommen eine zusätzliche Geheimzutat, die vor dem Hashen zu deinem Passwort hinzugefügt wird. Das erschwert es Hackern, Methoden wie Brute-Force-Angriffe anzuwenden.
Zusammengefasst: Ein Passwort-Hash ist wie ein geheimer Code, der aus deinem Passwort erstellt wird. Er ist sicher und kann nicht leicht in dein ursprüngliches Passwort umgewandelt werden. Das hilft, deine Passwörter zu schützen, falls ein System, bei dem du angemeldet bist, jemals kompromittiert wird.
Nach dem Exportieren Ihrer Mitarbeiter-Passwort-Hashes werden diese verschlüsselt und auf ein Offline Medium kopiert. Anschliessend werden diese auf unseren lokalen Cracking-Server übertragen. Alle NT-Hashes oder geknackte Passwörter verbleiben auf einem verschlüsselten VeraCrypt-Container. Nach Projektabschluss werden alle Daten restlos vernichtet.
Für unsere Cracking-Server kommen ausschliesslich moderne Komponenten zum Einsatz. Dadurch sind wir in der Lage, bis zu 100 Milliarden NT-Hashes in der Sekunde zu berechnen.
Für die Exportierung von Passwort-Hashes Ihrer Mitarbeiter aus einer Active Directory Domäne wird ein sogenannter DCSync am Domain Controller durchgeführt. Das Nutzerkonto, welches diesen DCSync-Prozess durchführt, benötigt temporär die folgenden Berechtigungen: *DS-Replication-Get-Changes *DS-Replication-Get-Changes-All *DS-Replication-Get-Changes-In-Filtered-Set