Best Practices für die Kennwortzurücksetzung

Wenn in Ihrem Unternehmen ein Helpdesk oder andere Mitarbeiter mit der Kennwortzurücksetzung beauftragt sind, denken Sie daran, dass erstellte Tickets zum Zurücksetzen von Kennwörtern ein potenzielles Einfallstor für Hacker sind. Wenn ein Mitarbeiter, Anbieter oder Kunde sein Kennwort vergisst, ist sein Konto angreifbar. Ihre Helpdesk-Prozesse können jedoch zusätzliche Schwachstellen schaffen, wenn dabei nicht die Best Practices für die Kennwortverwaltung und letztlich für das Identity and Access Management zur Anwendung kommen. Öffnen Sie Hackern nicht die Tür! Stellen Sie stattdessen sicher, dass Ihr Helpdesk und die Prozesse zur Kennwortzurücksetzung abgesichert sind.

Zunächst sollten Sie dafür sorgen, dass Ihr Helpdesk abgesichert ist, denn Helpdesks sind oft das Ziel von Cyberangriffen. Sie sollten zunächst also sicherstellen, dass Ihr eigenes Sicherheitssystem den Anforderungen von heute entspricht. Darunter fällt die Bereitstellung sicherer Geräte, die regelmäßige Durchführung von Sicherheitsschulungen und die Etablierung NIST-konformer Prozesse.

Sobald ein Benutzer anruft oder eine E-Mail schreibt, weil er sein Kennwort vergessen hat, sollte der Benutzer zunächst verifiziert werden. Das bedeutet, Sie sollten überprüfen, ob der Benutzer auch wirklich der Eigentümer des Kontos ist, und sicherstellen, dass Ihr Verifizierungsverfahren für Hacker schwer zu infiltrieren ist. Zu diesem Zweck ist es essenziell, keine der üblichen Sicherheitsfragen zu verwenden. Herkömmliche Fragen zum Mädchennamen der Mutter, der Schule des Benutzers oder dem Einstellungsdatum des Mitarbeiters sind für Cyberkriminelle nach einer kurzen Onlinerecherche oft kein Problem.

Daher sollten Sie idealerweise Multi-Faktor-Authentifizierung (MFA) verwenden, um Benutzer zu verifizieren. Für effizientes Identity and Access Management wird eine MFA benötigt, die einen Kartenschlüssel erfordert oder bei der der Benutzer auf eine E-Mail oder eine SMS antworten muss, d. h. das Gerät in der Hand halten muss. Wenn das nicht möglich ist, stellen Sie eine Reihe von Fragen, die sich auf persönliche Informationen stützen, die für einen Cyberkriminellen nicht leicht zu finden sind.

Einige Helpdesks reagieren auf Anfragen zur Kennwortzurücksetzung mit der Bereitstellung eines temporären Kennworts. Dies ist jedoch nicht der beste Ansatz, denn das bedeutet, dass mindestens zwei Personen das Kennwort kennen. Zudem ist eine Übermittlung des temporären Kennworts erforderlich, was Hackern wiederum eine Möglichkeit zum Kennwortdiebstahl bietet.

Wenn Sie diese Methode nutzen müssen, sollten Sie unbedingt die folgenden Richtlinien einhalten:

• Erstellen Sie für jeden Benutzer ein individuelles Kennwort. Verwenden Sie nicht für alle Konten dasselbe temporäre Kennwort, denn das würde bedeuten, dass ein einziger Fehler die Tür zu gleich mehreren Konten öffnet.
• Verwenden Sie lange Kennwörter – idealerweise 16 Zeichen oder mehr.
• Generieren Sie die Kennwörter nach dem Zufallsprinzip. Sie sollten aus einer Reihe zufälliger Zeichen bestehen, nicht aus ganzen Wörtern. Verwenden Sie auch keine Kennwörter, die leicht zu erraten sind, wie „EinstellungsdatumName“.
• Verwenden Sie eine Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Vermeiden Sie offensichtliche und gängige Ersetzungen wie die Null für den Buchstaben O oder die 3 für den Buchstaben E.

Wenn Sie ein temporäres Kennwort versenden, benötigen Sie eine Möglichkeit, zu überprüfen, ob der Benutzer sein Kennwort anschließend geändert hat. Und Sie sollten bestimmte Anforderungen an Kennwörter festlegen, um sicherzustellen, dass das neue Kennwort, das sich der Benutzer ausdenkt, auch wirklich ein starkes Kennwort ist.

Wenn Sie auf Anfragen zur Kennwortrücksetzung mit einer E-Mail antworten, benötigen Sie immer noch einen Verifizierungsprozess, um sicherzustellen, dass die Anfrage nicht von einem Hacker stammt. Um auf Nummer sicher zu gehen, sollten Sie den Benutzer in einer separaten E-Mail oder auf andere Weise benachrichtigen, dass Sie eine Anfrage zur Kennwortzurücksetzung erhalten haben und/oder das Kennwort zurückgesetzt wurde. Zudem sollten Sie dem Benutzer eine Möglichkeit bereitstellen, Ihren Helpdesk zu kontaktieren, wenn er die Zurücksetzung nicht beantragt hat, damit Sie einen möglichen Angriff sofort abwehren können.

Übermitteln Sie in Ihrer Antwort-E-Mail niemals das neue oder temporäre Kennwort. Genau genommen sollten Sie in Ihrer E-Mail nicht einmal den Benutzernamen des Kontoinhabers angeben. Andernfalls könnten Hacker über eine abgefangene E-Mail Zugriff auf einen Teil der Anmeldeinformationen erhalten. Idealerweise versenden Sie einen Link zur Kennwortzurücksetzung, damit kein temporäres Kennwort erforderlich ist und der Benutzer sein Kennwort eigenständig zurücksetzen kann. Wenn Sie das tun:

• Stellen Sie sicher, dass Ihre E-Mail nicht wie eine Phishing-E-Mail aussieht. Die Rechtschreibung sollte korrekt sein und die E-Mail sollte professionell formatiert sein.
• Legen Sie ein Ablaufdatum für den Zurücksetzungslink fest und stellen Sie außerdem sicher, dass er nur einmal verwendet werden kann. Damit wird eine weitere Tür für Cyberkriminelle geschlossen.
• Stellen Sie außerdem sicher, dass Benutzer wissen, wie sie den Support kontaktieren können, wenn sie weitere Hilfe benötigen oder die Zurücksetzung nicht angefordert haben.

Achten Sie beim Zurücksetzungslink selbst darauf, dass die Weiterleitung oder die Dankesseite, die nach der Kennwortzurücksetzung geöffnet wird, keine Informationen über den Benutzer oder die Arten von Konten, die der Benutzer besitzt, preisgibt. Leiten Sie die Benutzer z. B. nicht zu einer Administrator- oder Portfoliokonto-Anmeldeseite weiter, da dies potenziellen Hackern Informationen über die Privilegien der Person oder deren Konten liefern würde.

Zu guter Letzt sollten Sie die Kennwortzurücksetzung nutzen, um Ihre Mitarbeiter und Kunden zu schulen. Je mehr Mitarbeiter verstehen, wie sie für mehr Sicherheit sorgen können, und je mehr Mitarbeiter sich an diese Regeln halten, desto sicherer ist auch Ihr Unternehmen. Vergewissern Sie sich, dass Ihre Mitarbeiter und Kunden wissen, warum sichere Kennwörter so wichtig sind – auch wenn sie schwieriger zu merken sind – und welche Daten im Falle eines kompromittierten Kontos in Gefahr sind.

Wenn Sie Ihre Kennwörter immer noch manuell zurücksetzen, wissen Sie, wie teuer diese Methode ist. Heutzutage gibt es jedoch viele Tools, welche die Kennwortzurücksetzung erleichtern. Die besten Tools lassen die IT-Abteilung oder Ihren Helpdesk bei der Kennwortzurücksetzung komplett außen vor, indem sie den Benutzern die Möglichkeit geben, ihre Kennwörter automatisch zurückzusetzen. Automatische Tools zur Kennwortzurücksetzung erfordern immer noch die Nutzung von Multi-Faktor-Authentifizierung und die Durchsetzung strenger Kennwortanforderungen, beseitigen allerdings auch die frustrierenden Wartezeiten, mit denen Benutzer konfrontiert werden, und viele der Schwachstellen, die manuelle Prozesse mit sich bringen.