Specops nennt vier typische Wege zur Rechteausweitung. Über kompromittierte Standardkonten verschafft sich ein Angreifer Zugang zu einem Nutzer mit geringen Rechten und lotet dann die Reset-Optionen für höherwertige Konten aus – besonders gefährlich, wenn Helpdesk-Werkzeuge oder zu weit gefasste Adminrechte laterale Bewegung erlauben. Beim Social Engineering gegenüber dem Helpdesk geben sich Angreifer als ausgesperrte Mitarbeiter aus und drängen auf eine dringende Zurücksetzung; unter Druck führt eine uneinheitliche Identitätsprüfung schnell zur Herausgabe von Zugängen.

Hinzu kommt das Abfangen von Reset-Token: Sind E-Mail-Konten kompromittiert, stützt sich die Multi-Faktor-Authentifizierung (MFA) auf SMS oder sind Wiederherstellungseinstellungen falsch konfiguriert, können Angreifer Reset-Links oder Einmalcodes abgreifen, ohne das ursprüngliche Passwort zu kennen. Schließlich können überprivilegierte Administratoren mit weitreichenden Reset-Rechten Zugangsdaten auch außerhalb ihrer Rolle ändern.

Als wirksamste Gegenmaßnahme bezeichnet Specops MFA für Reset-Anfragen als Grundschutz. Allerdings böten nicht alle Verfahren denselben Schutz: Codes per E-Mail oder SMS seien nicht unfehlbar. Für hochwertige oder administrative Konten empfiehlt der Anbieter phishing-resistente MFA wie FIDO2 oder hardwaregestützte Authentifizierung, die das Abfangen von Token, SIM-Swapping und Credential-Phishing erschwert.

Weiter rät Specops, Resets auf vertrauenswürdige, verwaltete Geräte zu beschränken und den Gerätezustand zu prüfen. Anfragen aus neuen Regionen oder von risikobehafteten IP-Adressen sollten blockiert oder mit zusätzlicher Verifizierung versehen werden, da MFA zwar die Identität, nicht aber den Sicherheitszustand des Geräts bestätige.

Ein Reset verbessert die Sicherheit nur, wenn das neue Passwort tatsächlich stark ist. Organisationen sollten Mindestlängen vorgeben, gängige oder geleakte Passwörter blockieren und die Wiederverwendung alter Zugangsdaten verhindern. Zu starre Komplexitätsregeln führten dagegen zu vorhersehbaren Mustern; Passphrasen seien schwerer zu knacken und leichter zu merken. Das eigene Produkt Specops Password Policy blockiere über die Funktion Breached Password Protection laufend mehr als 5,4 Milliarden bekannte kompromittierte Passwörter.

Da Resets ein häufiges Phishing-Ziel sind, sollten Mitarbeiter Reset-Betrug, verdächtige MFA-Aufforderungen und unerwartete Wiederherstellungs-E-Mails erkennen können; Helpdesk-Teams brauchen einheitliche Verfahren zur Identitätsprüfung. Reset-Anfragen – besonders für privilegierte Konten – sollten protokolliert und auf auffällige Muster wie wiederholte Versuche, Aktivitäten außerhalb der Arbeitszeit oder Resets von unerwarteten Orten überwacht werden. Ebenso sei regelmäßig zu prüfen, wer überhaupt Passwörter anderer zurücksetzen darf.

Das Prinzip der minimalen Rechtevergabe begrenzt die Eskalation, indem Nutzer und Administratoren nur die für ihre Rolle nötigen Berechtigungen erhalten; privilegierte Zugänge sollten eng gefasst, wenn möglich zeitlich befristet und regelmäßig überprüft werden. Sicherheitsfragen hält Specops nicht mehr für verlässlich, da Antworten über soziale Medien leichter zu erraten seien – stattdessen empfiehlt der Anbieter besitzbasierte Verfahren. Hier verweist Specops auf seine Zero-Trust-Lösung Infinipoint, die Identitäten an vertrauenswürdige Geräte bindet, sowie auf Specops uReset für die Absicherung der Reset-Workflows.