EPAS (Enterprise Password Analytics System) bietet einen erweiterten ADP (Authentication Decision Point), der über eine dedizierte Infrastruktur zusammen mit der Benutzerauthentifizierung mittels kuratierter Credentials bereitgestellt wird. Dies liefert auch die notwendigen Werkzeuge zur Sicherung vorhandener Berechtigungsnachweise: Audit, Korrektur und Compliance. Das System ist innerhalb von drei bis fünf Tagen einsatzbereit und erfordert nur geringe Ressourcen für den Betrieb. Zugleich bietet es sofortige Erkennungs- und Abhilfemaßnahmen gegen alle Angriffe, die schwache, geleakte oder gemeinsam genutzte Passwörter anwenden.
EPAS (Enterprise Password Analytics System) unterstützt den Einsatz von Conditional Authentication (MFA) und zuverlässige Single Factor Authentication und sichert in jedem Anwendungsfall das notwendige Gleichgewicht zwischen Vertrauen, TCO (Total Cost Ownership) und UX/CX (User Experience/ Customer Experience):
In einer sehr sicheren Umgebung, die mit den Datenschutzrechten des Nutzers vereinbar ist, verweigert EPAS einem Nutzer ein Passwort zu wählen, das mit einem zuvor verwendeten korreliert. Auch die im Web verfügbaren Passwortleaks werden genutzt, wobei die jüngsten Breaches in den EPAS-Wörterbüchern ergänzt werden und somit den Nutzer daran hindert, Passwörter zu verwenden, deren Hashes weltweit den Angreifern bekannt sind. Durch ständige Aktualisierung liefert EPAS auch Kenntnisse über den aktuellen Trend der Passwortverwendung. Dadurch wird verhindert, dass der Benutzer ein Passwort auswählt, das zwar sicher aussieht, aber vorhersehbar und damit anfällig für Angriffe ist.
Bei der Anwendung von EPAS müssen keine weiteren komplexen Installationen durchgeführt werden, weil es als Hardware- und Softwarelösung (Appliance) geliefert wird. Die bereitgestellte Hardware ist hinsichtlich der Rechenleistung mit der neuesten Technologie ausgestattet und verwendet modernste Methoden zum Schutz der Privatsphäre der Benutzer: EPAS kann Millionen von Passwörtern in deren Umgebung und in einer erschwinglichen Zeitspanne analysieren; alle temporären Daten werden auf einer Festplatte gespeichert, die mit einem TPM-gestützten Schlüssel (Trusted Platform Module) verschlüsselt ist, der mit dem Gerät versiegelt ist. Software- und Hardware-Upgrades werden ohne zusätzliche Kosten bereitgestellt. Klartext, persönlich identifizierbare wiederhergestellte Passwörter werden niemals auf dem Appliance angezeigt oder gespeichert. EPAS ist der Technologie, die Hackern oder gesponserten Angreifern zur Verfügung steht, immer einen Schritt voraus.
Durch die Implementierung des EPAS Enforcer werden die Benutzer sich der Schwachstellen in ihrem Passwort stärker bewusst. Da der Grund für die Ablehnung ihrer Passwörter ausführlich angegeben wird, kann der Benutzer bewusst zuverlässige Passwörter verwenden, ohne den UX zu beeinträchtigen und verringert gleichzeitig die Arbeitsbelastung der Supportzentren.
Die vollständige Beschreibung zur Benutzerauthentifizierung mit EPAS kann hier als PDF-Dokument (in englischer Sprache) heruntergeladen werden:
EPAS (Enterprise Password Analytics System) ist patentiert (USPTO 9,292,681 B2, EP2767922) und eine gemeinsame Entwicklung der Detack GmbH und der Praetors AG, ihrem Partner aus der Schweiz. EPAS ist eine Lösung zur automatischen und regelmäßigen Prüfung der unternehmensweiten Passwort-Qualität. Diese bislang nahezu unlösbare Aufgabe, allein aufgrund der über viele Jahre gewachsenen Systemlandschaften - welche von Microsoft A/D über IBM System z, Linux/UNIX, SAP und mehr reichen - wird von EPAS gelöst.
Mit einer speziell für Unternehmen und Behörden entwickelten Technologie extrahiert EPAS (Enterprise Password Analytics System) alle Passwort-relevanten Daten vom Zielsystem, um diese dann für eine Bewertung der Widerstandsfähigkeit der Passwörter gegen Angriffe heranzuziehen. Zum Schutz der Prüfobjekte verwendet EPAS ausschließlich die vom Hersteller vorgesehenen Schnittstellen zur Extraktion der verschlüsselten Daten. Somit entsteht kein Risiko für die Systemstabilität der ausgewählten Zielsysteme.
EPAS wurde speziell auf die Bedürfnisse von Unternehmen zugeschnitten. Mehr als 30 verschiedene Systeme und Datenbanken, von IBM, SAP, Linux/UNIX, Oracle bis zu Microsoft werden von EPAS unterstützt. Das Reporting ist datenschutzkonform und genügt allen Anforderungen eines Betriebsrates. EPAS ist eine On-Premises SaaS Lösung und wird in Form eines oder mehrerer Hardwaremodule in das Rechenzentrum des Kunden integriert.
Eine detaillierte Beschreibung der EPAS-Audit Lösung finden Sie in folgendem PDF Dokument:
Der EPAS-Enforcer ist ein zusätzliches lizensierbares Modul zur Verstärkung der Passwortqualität, welches die Verwendung von schwachen, wiederverwendeten oder gemeinsam benutzten Passwörtern bei jedem Passwort-Change systematisch verhindert. Der EPAS-Enforcer wird als LSA-Filter in die Domain Controller einer Microsoft A/D Umgebung integriert und prüft bei neu gesetzten Passwörtern und Passwortwechsel, ob die Sicherheit des neu gewählten Passwortes einer zentralisierten Policy und den Sicherheitsanforderungen entspricht. Für den Endbenutzer heißt das, dass früher erlaubte Passwörter wie „Passwort123“ oder „Geheim!“ nicht mehr akzeptiert werden.
Ist der Passwortwechsel nicht erfolgreich, so ermöglicht ein optionales Feature im EPAS-Enforcer, dass Benutzer über die Gründe für fehlgeschlagene Passwortänderungen informiert werden (z.B.: „Das Passwort darf nicht in einem Wörterbuch enthalten sein.“). Die Sicherheitsanforderungen für ein Passwort ergeben sich aus kundenspezifischen und gruppenspezifischen Sicherheitseinstufungen sowie der Risikokategorie der zu schützenden Daten.
Eine detaillierte Beschreibung der EPAS-Enforcer Lösung finden Sie in folgendem PDF Dokument: