11
Eingabepause bei fehlerhaftem Anmeldepasswort am Windowsclient
Hallo,
ich suche eine Möglichkeit die erneute Eingabe des Windows-Anmeldepassworts nach einer zuvor falschen Eingabe zeitlich zu verzögern.
Z.B. mit den Abständen 2 Sekunden bis zur zweiten Eingabe, 5 Sek. bis zur dritten, 10 Sek. bis zur vierten Anmeldung, um Passwortcracktools die "Arbeit" zu erschweren.
Meine Systeme sind Windows 2008R2-Server und Windows 7 Professional.
Hat das schon mal jemand in der AD umgesetzt?
Geht das mit Windows-Boardmitteln oder kann mir jemand eine Drittanbietersoftware empfehlen?
Danke und Gruss,
Peter
ich suche eine Möglichkeit die erneute Eingabe des Windows-Anmeldepassworts nach einer zuvor falschen Eingabe zeitlich zu verzögern.
Z.B. mit den Abständen 2 Sekunden bis zur zweiten Eingabe, 5 Sek. bis zur dritten, 10 Sek. bis zur vierten Anmeldung, um Passwortcracktools die "Arbeit" zu erschweren.
Meine Systeme sind Windows 2008R2-Server und Windows 7 Professional.
Hat das schon mal jemand in der AD umgesetzt?
Geht das mit Windows-Boardmitteln oder kann mir jemand eine Drittanbietersoftware empfehlen?
Danke und Gruss,
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 243841
Url: https://administrator.de/contentid/243841
Printed on: April 19, 2024 at 17:04 o'clock
11 Comments
Latest comment
Mein Windows 7 macht das in der Standardinstallation von Haus aus...
Oder bilde ich mir das ein? o.O
Gruß
Oder bilde ich mir das ein? o.O
Gruß
Hi.
Wie arbeiten "Cracktools" Deiner Ansicht nach? Diese melden sich doch nicht interaktiv an wie ein User...
Ein Cracktool arbeitet gegen einen Hash, den muss es erstmal kriegen. Verhindere doch einfach, dass dieser Hash gefunden werden kann, indem Du keinen anlegen lässt. Außerdem können nur Admins diesen auslesen.
Desweiteren sollte man BruteForcing nicht fürchten müssen, wenn man Kennwörter mit ausreichender Länge (9+) und Komplexität verwendet, die in keinen Wörterbüchern stehen.
Wie arbeiten "Cracktools" Deiner Ansicht nach? Diese melden sich doch nicht interaktiv an wie ein User...
Ein Cracktool arbeitet gegen einen Hash, den muss es erstmal kriegen. Verhindere doch einfach, dass dieser Hash gefunden werden kann, indem Du keinen anlegen lässt. Außerdem können nur Admins diesen auslesen.
Desweiteren sollte man BruteForcing nicht fürchten müssen, wenn man Kennwörter mit ausreichender Länge (9+) und Komplexität verwendet, die in keinen Wörterbüchern stehen.
es geht hierbei um eine Vorgabe der Geschäftsführung; man hat diese Vorgehensweise bei der Sophos-Verschlüsselung mit SafeGuard gesehen (sich daran erfreut) und wünscht nun eine ähnliche Anmeldeprozedur an den Workstations (um BruteForce zu erschweren)...
Geh doch bitte auf mein Kommentar ein. Was Sophos da macht ist evtl. nur Marketing - sie wollen, dass es für den unbedarften User sicherer aussieht, obwohl sie selber wissen, dass defacto niemand auf diese Weise einen Brute-Force-Angriff führt und es somit nichts bringt.
Sollte bei Sophos jedoch ein PIN-Login erfolgen (4-stellig evtl. gar nur), dann ist es natürlich sinnvoll.
Aber stell' Dir bitte mal vor, jemand macht von Hand einen Brute-Force auf ein Windows-Anmeldekennwort von geschätzten 9 Zeichen, wobei man davon ausgeht, dass Komplexität erzwungen wird... das würde bei Eingabedauer von 3 Sekunden in der Stunde ja nur 1200 Kennwörter schaffen - und das gegen einen Kennwortraum von Trillionen Kennwörtern...
->wozu sollte man da denn bitte noch eine Bremse einbauen?
Sollte bei Sophos jedoch ein PIN-Login erfolgen (4-stellig evtl. gar nur), dann ist es natürlich sinnvoll.
Aber stell' Dir bitte mal vor, jemand macht von Hand einen Brute-Force auf ein Windows-Anmeldekennwort von geschätzten 9 Zeichen, wobei man davon ausgeht, dass Komplexität erzwungen wird... das würde bei Eingabedauer von 3 Sekunden in der Stunde ja nur 1200 Kennwörter schaffen - und das gegen einen Kennwortraum von Trillionen Kennwörtern...
->wozu sollte man da denn bitte noch eine Bremse einbauen?
Also,
mal abgesehen davon dass ich einer Meinung bin mit DerWoWusste,
habe ich es gerade nochmal bei mir daheim getestet.
Windows 7 Professional ohne Domäne
Die ersten 4 Passworteingaben gingen direkt hintereinander.
Bei der 5ten hat Windows das Willkommen angezeigt und ca 15 Sekunden gewartet.
Anschließend: Passwort falsch.
Alle Versuche danach haben eine Wartezeit verursacht.
Erst das korrekte Kennwort hat den PC direkt entsperrt.
Versuchs einfach mal in deiner Umgebung.
Anschließend kannst du deinen Führungskräften ja verklickern, dass du es komfortabel parametriert hast, so muss man nicht sofort warten, falls man sich bei den ersten 2 Versuchen mal vertippt
Gruß
mal abgesehen davon dass ich einer Meinung bin mit DerWoWusste,
habe ich es gerade nochmal bei mir daheim getestet.
Windows 7 Professional ohne Domäne
Die ersten 4 Passworteingaben gingen direkt hintereinander.
Bei der 5ten hat Windows das Willkommen angezeigt und ca 15 Sekunden gewartet.
Anschließend: Passwort falsch.
Alle Versuche danach haben eine Wartezeit verursacht.
Erst das korrekte Kennwort hat den PC direkt entsperrt.
Versuchs einfach mal in deiner Umgebung.
Anschließend kannst du deinen Führungskräften ja verklickern, dass du es komfortabel parametriert hast, so muss man nicht sofort warten, falls man sich bei den ersten 2 Versuchen mal vertippt
Gruß
Das ist kein Marketing, bei falschem Passwort muss man immer länger auf die nächste Eingabe warten.
Die SafeGuard-Anmeldung ist genau das, was ich suche. Allerdings möchte ich mir die Kosten von 300 Verschlüsselungslizenzen und den ganzen Verschlüsselungsaufwand sparen und suche daher nach einer Lösung, die - wie oben beschrieben - funktioniert.
Dass niemand solche Brute-Force-Angriffe von Hand durchführt braucht nicht erwähnt zu werden - die Hochrechnungen kennt jeder.
Und nach dem Auslesen von Hashes war auch nicht gefragt.
Die SafeGuard-Anmeldung ist genau das, was ich suche. Allerdings möchte ich mir die Kosten von 300 Verschlüsselungslizenzen und den ganzen Verschlüsselungsaufwand sparen und suche daher nach einer Lösung, die - wie oben beschrieben - funktioniert.
Dass niemand solche Brute-Force-Angriffe von Hand durchführt braucht nicht erwähnt zu werden - die Hochrechnungen kennt jeder.
Und nach dem Auslesen von Hashes war auch nicht gefragt.
Versuch im Morgen sofort, danke!
Vier falsche PW-Eingaben hintereinander habe ich natürlich nicht getestet....
Vier falsche PW-Eingaben hintereinander habe ich natürlich nicht getestet....
Zur Info: das Konzept gegen password-hammering ist MS nicht unbekannt und wird auch bei der Bitlocker-PIN benutzt.
Hallo LokalAd.ministrator,
konnte dein Problem gelöst damit werden?
Ist die Obrigkeit zufrieden?
Grüße
konnte dein Problem gelöst damit werden?
Ist die Obrigkeit zufrieden?
Grüße
drobskind, die "Bremse" kommt zwar nach jedem 5. Mal einige Sekunden , aber beim sechsten ist es wieder schnell und es ist auch nicht konfigurierbar.
Es hat schon seinen Grund, warum MS es hier nicht macht, aber bei Bitlocker schon.
Es hat schon seinen Grund, warum MS es hier nicht macht, aber bei Bitlocker schon.
@ DerWoWusste,
hmm, bei mir war jeder Versuch danach auch "gebremmst"... eventuell gibt es hier noch Kombinationen die zu berücksichtigen sind.
Domänenmitglied oder nur Arbeitsgruppe, 32 oder 64 bit, Internetexplorer = Standardbrowser usw...
hmm, bei mir war jeder Versuch danach auch "gebremmst"... eventuell gibt es hier noch Kombinationen die zu berücksichtigen sind.
Domänenmitglied oder nur Arbeitsgruppe, 32 oder 64 bit, Internetexplorer = Standardbrowser
usw...
