Skip to content
Security audit

Passwort-Audit

Überprüfen Sie Ihre unternehmensweite Passwort-Richtlinie durch einen technischen Audit. Identifizieren Sie schwache Nutzerpasswörter und härten Sie Ihre Richtlinien.

Prüfumfang des Pentests

Bei diesem Penetrationstest untersuchen unsere Ethical Hacker die Passwortstärke in Ihrem Unternehmen. Unsere technische Analyse erfolgt ohne Nutzerkontext und kann mit Ihrem Betriebsrat und Datenschutzteam abgestimmt werden. Der Test erfolgt in der Regel von Remote. 

Technische Analyse

Überprüfen Sie Ihre Passwortrichtlinien auf eine technische Art und Weise

Anonyme Auswertung

Passwörter werden ohne Bezug zu Ihren Mitarbeitern geknackt

Konformes Audit

Unser Vorgehen wird mit Betriebsrat und Datenschutzteam abgestimmt

Messbare Kennzahlen

Bei regelmäßigen Audits tracken wir Ihren Fortschrittsverlauf

Sicherer Datenaustausch

Sensitive Daten werden über unsere verschlüsselte Plattform ausgetauscht

Eigener Betrieb

Wir betreiben unsere lokalen Cracking-Server selbst. Keine Daten in der Cloud.

65%

Mehr als die Hälfte aller Mitarbeiter-Passwörter können während unserer Analyse geknackt werden,. Dies deutet auf schwache Passwörter hin. ¹

Die Wiederverwendung von Passwörtern kommt in fast jedem Unternehmen vor und wird während unserer Analyse aufgedeckt sowie berichtet ²

64%

Fast zwei Drittel aller geknackten Mitarbeiter-Passwörter bestehen i.d.R. aus einfach zu erratenden Wörterbucheinträgen ³

Active Directory Passwort-Audit

Unser Vorgehen

Bei einem Active Directory Passwort-Audit extrahieren wir die Passwort-Hashes aller Mitarbeiter Ihrer Active Directory Domäne(n) ohne Nutzerkontext. Anschließend versuchen wir, diese sogenannten NT-Hashes mithilfe von frei verfügbaren Passwortlisten und anderen Cracking-Methoden in ihre Klartextform zu überführen. 

Durch unsere anschließende Qualitätsanalyse der identifizierten Klartextpasswörter können messbare Ergebnisse zu der vorhandenen Passwortstärke in Ihrem Unternehmen geliefert werden. Dadurch wird Ihnen ermöglicht, eine Übersicht über potentielle Schwachstellen in Ihrem Unternehmen und der Active Directory Konfiguration zu erhalten und diese grundlegend zu beheben. Weiterhin sind Sie als Kunde nachträglich in der Lage, alle Nutzerkonten zu identifizieren, welche Ihre globale Passwortrichtlinie im Unternehmen nicht einhalten.

Unter anderem sind die folgenden Auswertungen Bestandteil unseres anonymen Passwort-Audits:

  • Passwortstärke Ihrer Active Directory Domäne(n)
  • Wiederverwendung von Passwörtern
  • Analyse und statistische Kennzahlen über erratene Passwörter wie Länge, Komplexität sowie deren Struktur
blank

Die Extrahierung von Passwort-Hashes aus Ihrer Active Directory Umgebung kann entweder bei Ihnen vor Ort oder mit unserer Hilfe von Ihnen selbstständig durchgeführt werden.

Das anschließende Passwort-Audit sowie die Auswertung zur Passwort-Qualität findet aus unserem Pentest Factory Cyber-Lab statt. Hierbei befolgen wir gültige Datenschutzrichtlinien und gehen mit Ihren sensitiven Daten äußerst sorgfältig um.

Nach Abschluss unserer Analyse und der Übermittlung des Abschlussberichtes mit Maßnahmenkatalog, vernichten wir restlos alle vorhandenen Daten bezüglich Ihrer Active Directory Domäne.

Häufige Fragen zum Passwort-Audit (FAQ)

Passwörter sollten niemals im Klartext abgespeichert oder übertragen werden. Für eine sichere Übertragung von Passwörtern kommt in der Regel die Transportverschlüsselung TLS zum Einsatz. Das sichere Abspeichern von Passwörtern bedarf jedoch einer gesonderten Technik, da das Passwort selbst nicht gespeichert werden darf, jedoch benötigt wird, um einen Anmeldeversuch mittels Passwort zu überprüfen. Für diese Anforderung kommen sogenannte kryptografische Hashfunktionen zum Einsatz. Hashfunktionen sind mathematische Abbildungen, welche eine beliebig große Eingabemenge in eine kleinere, fest definierte Zielmenge (dem Hash) umwandelt. Eine sichere Hashfunktion stellt hierbei sicher, dass jede beliebige Eingabe zu einem einzigartigen Hash führt. Der Hash selbst ist eine nichts aussagende Abfolge von Zeichen, wie z.B. 3078EDB060BFA81C42C9F17F8F176749.

Anstelle eines Klartextpasswortes wird demnach das Ergebnis einer Hashfunktion, der Hash, abgespeichert. Bei einer nachträglichen Authentifizierung eines Nutzers wird das Klartextpasswort über einen sicheren Kommunikationskanal (z.B. TLS) an die Gegenstelle übertragen. Diese gibt das Passwort erneut in die Hashfunktion ein und gleicht das Ergebnis mit dem zuvor abgespeicherten Hashwert in einer Datenbank ab. Sind die Hashwerte identisch, so muss es sich bei dem übertragenen Nutzerpasswort um das korrekte Passwort handeln. Eine Authentifizierung kann erfolgen. Sollten sich die Hashwerte unterscheiden, so wurde ein falsches Passwort übermittelt und eine Authentifizierung schlägt fehl.

Für Microsoft Windows Betriebssysteme werden Nutzerpasswörter als “NT-Hash” bezeichnet und abgespeichert. Für die Hashfunktion kommt der bekannte MD4 Algorithmus zum Einsatz. Aufgrund der Tatsache, dass der MD4 Algorithmus veraltet ist und eine äußerst schnelle Hashberechnung ermöglicht, können Passwort-Hashes im Umkehrverfahren geknackt und zu einem Klartextpasswort zurückgeführt werden. Hierbei werden zufällige Passwörter mittels der Hashfunktion zu einem Hash umgeformt und mit einem realen Passworthash eines Nutzers abgeglichen. Sind die Hashes identisch, so wurde ein valides Klartextpasswort erraten bzw. geknackt.

Nach dem Exportieren Ihrer Mitarbeiter-Passwort-Hashes werden diese verschlüsselt über unsere Austauschplattform bereitgestellt.

Anschließend werden diese auf unseren Cracking-Server mittels Secure Shell (SSH) übertragen. Alle NT-Hashes oder geknackte Passwörter verbleiben auf einem verschlüsselten VeraCrypt-Container. Nach Projektabschluss werden alle Daten restlos vernichtet.

Wir als Pentest Factory erhalten von Ihnen lediglich Passwort-Hashes ohne Nutzerbezug. Dies stellt sicher, dass wir zu keinem Zeitpunkt erfahren, welcher Ihrer Mitarbeiter welches Passwort verwendet.

Durch unseren ausgeklügelten Prozess sind Sie als Kunde jedoch nachträglich in der Lage, die geknackten Passwörter zu Ihren Mitarbeitern oder Service-Accounts zurückzuführen. Unser Vorgehen ist erprobt und wurde bereits mehrmals mit Betriebsräten und Datenschutz-Teams abgestimmt.

Für unsere Cracking-Server kommen ausschließlich moderne Komponenten zum Einsatz. Dadurch sind wir in der Lage, bis zu 100 Milliarden NT-Hashes in der Sekunde zu berechnen.

Für die Exportierung von Passwort-Hashes Ihrer Mitarbeiter aus einer Active Directory Domäne wird ein sogenannter DCSync am Domain Controller durchgeführt.

Das Nutzerkonto, welches diesen DCSync-Prozess durchführt, benötigt temporär die folgenden Berechtigungen:

  • DS-Replication-Get-Changes

  • DS-Replication-Get-Changes-All

  • DS-Replication-Get-Changes-In-Filtered-Set

Quellenverzeichnis

1 - Eigenstatistik der Pentest Factory aus Kundenprojekten
2 - Eigenstatistik der Pentest Factory aus Kundenprojekten
3 - Eigenstatistik der Pentest Factory aus Kundenprojekten