Einfachere passwörter

Hallo,

hier kannst du es einstellen > Default Doman Policy > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinsellungen > Kontorichtlinien > Kennwortrichtlinien
Hätte dir aber auch die Boardsuche schnell verraten > Link

Moin,

mal abgesehen davon würde ich das auch nicht ändern. 8 Zeichen inklusive Zahlen und meiner Meinung nach Sonderzeichen sollte mindestens sein.
An Sicherheitsmechanismen sollte nicht gespart werden, auch wenn dir die User danach die Ohren vollheulen.

Bei uns ist ab diesem Jahr auch Sense mit frei wählbaren Passwörtern, unsere User müssen ab demnächst jeden Monat ihr PW ändern. Versuch DAS mal den Usern zu erklären ;)

Gruß
dante!

Hmm - sorry wenn ich das so sage - aber was bringt es wenn die EDV die Dinger völlig am User vorbei baut? Gut - deine User haben dann Passwörter die nicht so einfach zu knacken sind. Die stehen dafür auf nem kleinen PostIt direkt am Monitor. KLASSE! Das is jetzt viel sicherer... Und selbstverständlich sind Passwörter wie "nachname1" (wobei nachname dann durch den Nachnamen bzw. Vor+Nachname ersetzt wird) auch praktisch unknackbar... Und dann gibt es noch die wirklichen sicheren Passwörter: passwort1, keinpass1 usw.

Sorry, aber wenn ich sowas lese dann frage ich mich ernsthaft manchmal was einige Leute für Vorstellungen von der EDV haben. Für mich dient die EDV (egal ob nun die Hardware wie PCs oder auch die Abteilung und die Personen der Abteilung) der UNTERSTÜTZUNG der Angestellten damit die ihren Job machen. Natürlich muss man auch nen bisserl gucken das man das ganze funktionsfähig hält. Aber es bringt überhaupt nichts wenn man den Leuten da Richtlinien vorgibt und die das eigene Passwort dann erstmal per Broadcast durch die Firma verteilen - damit hat man NICHTS gewonnen. Dann ist mir ein eigenes, frei Wählbares Passwort doch lieber (und auch da gibt es genug die grad mal den eigenen Nachnamen nochmal hinbekommen!) welches zwar nicht mit Zahlen/Sonderzeichen ausgestattet ist aber was sich der Benutzer merken kann. Denn das spart schonmal den PostIT auf dem Monitor. Und wenn die Person dann den Namen der Ehefrau usw. als Passwort hat - ok, denn die Betriebsfremde Person kennt diesen Namen nicht und kommt somit nicht weiter... (Den PostIT kann die Person jedoch auch grad noch so lesen...). Weiterhin vermeide ich dadurch absichtlich das die Leute in der Firma dieselben Passwörter wie Privat nehmen - denn ich möchte gar nicht das überhaupt die Vermutung aufkommt das wir von der EDV ja mit den Passwörtern auch in die privaten Email-Konten wie bei Web.de usw. reingucken können...

Von daher: Richtlinien sind immer gut und schön - aber sowas sollte einfach mal mit den Leuten abgesprochen werden... Einfach so durchdrücken bringt m.E. rein gar nichts -> ausser das die Leute sich eben Wege suchen wie man das ganze elegant umgehen kann. Und gegen einen Zettel auf dem Tisch ist auch die EDV machtlos...

Hallo Linuxguru,

Passwörter sind absolut hinderlich aus Sicht der User, es sei denn, ein anderer schickt von meinem Computer eine böse Mail an den GF - und schon machen Passwörter wieder Sinn - auch aus Sicht der User.
Unter Windows sollten auch immer komplexe Passwörter verwendet werden, oder man läßt sie einfach weg, oder eins für alle...

Komplexe Passwörter müssen NICHT schwirig sein. ZB kann man sich des Passwort "DGwv30Jg-t" leicht merken, wenn man sich den Satz "Die Grünen wurden vor 30 Jahren gegründet - toll" merken kann. So oder ähnlich sind auch lange Passwörter kein (oder nur ein kleines) Problem.

vG LS

Nun ist aber selbst Bruce Schneier der Meinung: "Besser ein komplexes Passwort auf einem Zettel, als ein einfaches im Kopf"
http://www.schneier.com/blog/archives/2005/06/write_down_your.html

Grüße

Max

Jap, Passwort anhand von Satz merken gebe ich auch immer als Tip mit.

@maretz:
Klar ist es für nen User schöner, er könnte sein Passwort ala "meier1" festlegen.
Aber ganz im Ernst, ich hab PW von Führungskräften gesehen, da kommt dir das heulen.
Ich rede auch nicht von Richtlinien wie: "min.15 Zeichen, kryptisch mit Zahlen, Sonderzeichen, frachn Fuchs".

Aber unser Chef (und dessen Chef) erwartet von uns (der IT-Abteilung) ein gewisses Maß an Sicherheit. Und mir nützen die besten Firewalls, Überwachungssysteme etc. nix, wenn ein User, der Zugriff auf kritische Daten hat, sich denkt "Aja Passwort 12345 kann man sich gut merken".

Tut mir Leid, wir versuchen unseren Kollegen das Leben auch so einfach wie möglich zu machen, aber in puncto Sicherheit hör ich mir dann doch lieber das Gemaule an, als ne Kündigung aufm Tisch zu haben, weil irgendwer das Passwort vom Personalchef geknackt hat und sich mehr Gehalt zugeteilt hat.

Gruß
dante!

Hi.
Nur noch mal eins hinterher: das verlangt der Server nicht per default, sondern es wurde gesetzt - warum also Erklärungsnot gegenüber den Benutzern, sie müssten es demnach gewohnt sein, oder habt Ihr so eben die komplette Belegschaft getauscht?

Hi!

Bei uns kommt auch gerade das Thema "Wie stark sollten die Windows Passwörter sein?" auf.

Man hört ja teilweise, dass Windows-Benutzerpasswörter nicht so stark sein müssen (zB Geburtsdaten oä), da man sie sowieso leicht cracken kann. - Stimmt das so? Oder gilt das nur wenn man physikalischen Zugriff auf den Rechner hat?
(also stark für User wäre bei mir ab 8 Zeichen Buchstaben, Zahlen - mit der Satz-Merk-Methode, also kein hansi123 oä)

für Win XP, 2003, Vista, 7

sg Dirm

Dimhirn, Du musst schon unterscheiden zwischen lokalen und Domänenkennwörtern. Verbietet man in einer Domäne (per GPo) das Zwischenspeichern von Hashes (oder setzt es zumindest runter auf genau einen Hash), dann ist da rein gar nichts zu knacken, es sei denn Du erlangst Adminrechte auf dem Domänencontroller (und dann brauchst Du eh nicht mehr zu knacken).
Lokale Kennwörter können mit Bootdisketten problemlos in einer Minute gelöscht (nicht geknackt!) werden, sofern
-die Platte nicht verschlüsselt ist
-kein syskey verwendet wird
-das Booten von Wechselmedien überhaupt erlaubt ist (schwacher Schutz)

Die Komplexitätsanforderungen sehen übrigens ein Hansi123 als stark an (sofern man nicht Hansi als Nutzernamen hat, das wäre dann nicht setzbar).
Mehr zum Thema:
http://download.microsoft.com/download/f/4/a/f4a67fc8-c499-461d-a025-81 ...
http://blogs.technet.com/jesper_johansson/archive/2005/10/13/410470.asp ...

ok danke für die Infos!

naja es waren auch mal Kollegen aus einer tochterfirma da und die hatten 4 stellige zahlen als kennwörter - "weil man das sowieso leicht knacken kann", meint ihr Admin.

d.h. mit ordentlichen Passwörtern sind auf jeden fall die Domain und Netzlaufwerke ... geschützt. Man könnte noch die lokale Maschine übernehmen (lokaler Admin)?

--> Starke Passwörter zahlen sich aus.

dann werde ich meine Kollege mal mit Passwörtern beglücken

ahja mir syskey, meinst du ein bootpasswort??

sg Dirm

Sagen wir mal du hast ein PIN-Level Kennwort.
Und Konten werden bei euch nicht nach zu vielen Fehlversuchen gesperrt.

Dann ergibt sich ein Nummernraum von 10'000 (10^4) Möglichkeiten (0000-9999).
Weil LDAP für schnelles Lesen optimiert wurde sollte ein Login relativ schnell gehen, wir nehmen also mal pessimistisch 0,15 Sek. an.

Damit brauche ich dann im schlechtesten Fall 1500 Sek. (= 25 Minuten) um so ein Kennwort zu Brute-Forcen.

Sagst du mir jetzt wo dein Kollege arbeitet?

Hätte ich mich an die Sicherheitsregeln gehalten hätte ich einen Raum von ca. 62^6+62^7+62^8+62^9+62^10+62^11+62^12 ( = 3'279'156'381'452'671'945'408) Möglichkeiten erhalten. Und das ist nicht mal der ganze Raum der Möglichkeiten.
Per Brute-Force hätte ich also im schlimmsten Fall ein gutes Passwort selbst nach 3'279'156'381'452'671'945'408 Versuchen nicht knacken können.

Natürlich muss man dazu sagen, dass viele Leute den Raum künstlich enorm verkleinern, weil die Meisten nach der Präfix-Suffix-Regel arbeiten und sich Passwörter wie "Hans12","Bernd07", etc. basteln.