3
Fragen zu Passwortrichtlinien und Password Reset Self Service
Hallo Kollegen,
ich bin seit Anfang des Jahres in einem mittelständischen Unternehmen, wo es 1. statt AD ein Novell eDirectory gibt und zweitens sher lasche Passwortregeln.
Wir sind imMo dabei eine neue Domain mit DC und Microsoft AD aufzubauen. Bei den Passwortregeln sind ein Teil der Altkollegen der Meinung, es so einfach wie möglich zu lassen, was bis zu "Passwort läuft nicht ab" geht. Der andere Teil und ins besondere ich plädieren hier aber für eine gewisse Komplexität der Passwörter und vor allem auf einen Ablauf der Passwörter.
Meine Idee erstmal drei Gruppen
normale User: 8 Zeichen, Groß Klein Zahl Sonderzeichen Laufzeit: 6 Wochen
Admin User : 12 Zeichen, Groß Klein Zahl Sonderzeichen Laufzeit: 8 Wochen
Serviceaccount: 8 Zeichen, Groß Kleine Zahl Sonderzeichen Laufzeit: unbegrenzt
Um den Helpdesk zu entlasten, denke ich an einen Passwort Self Service. Welche Erfahrungen habt ihr in der Richtung? Ich will es für die User relativ einfach gestalten, das es auch angenommen wird.
Danke für Euer Feedback!
ich bin seit Anfang des Jahres in einem mittelständischen Unternehmen, wo es 1. statt AD ein Novell eDirectory gibt und zweitens sher lasche Passwortregeln.
Wir sind imMo dabei eine neue Domain mit DC und Microsoft AD aufzubauen. Bei den Passwortregeln sind ein Teil der Altkollegen der Meinung, es so einfach wie möglich zu lassen, was bis zu "Passwort läuft nicht ab" geht. Der andere Teil und ins besondere ich plädieren hier aber für eine gewisse Komplexität der Passwörter und vor allem auf einen Ablauf der Passwörter.
Meine Idee erstmal drei Gruppen
normale User: 8 Zeichen, Groß Klein Zahl Sonderzeichen Laufzeit: 6 Wochen
Admin User : 12 Zeichen, Groß Klein Zahl Sonderzeichen Laufzeit: 8 Wochen
Serviceaccount: 8 Zeichen, Groß Kleine Zahl Sonderzeichen Laufzeit: unbegrenzt
Um den Helpdesk zu entlasten, denke ich an einen Passwort Self Service. Welche Erfahrungen habt ihr in der Richtung? Ich will es für die User relativ einfach gestalten, das es auch angenommen wird.
Danke für Euer Feedback!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334300
Url: https://administrator.de/contentid/334300
Printed on: April 19, 2024 at 01:04 o'clock
3 Comments
Latest comment
Hi.
Es ist nicht mehr als ein Hinweis: "gute"/"schlechte" Kennwortrichtlinien gibt es nicht. Wenn man ein Szenario hat, vor dem man schützen will, dann kann man ansatzweise berechnen, wie lange so ein Kennwort gegen Brute Force Stand halten muss und dann wird evtl. sogar die Laufzeit wichtig.
Was Du derzeit planst mit 6/8 Wochen, ist doch sehr hart für normale Menschen.
Ich würde mir den Einsatz einer Software wie Anixis PPE überlegen (es gibt von denen auch ein Self-recovery). PPE kann bessere Komplexitäts- und Wörterbuchchecks machen als Windows. Bei Windows' eigener Methode ist ein Kennwort Hanswurst123 bereits nach Deinen Vorstellungen für Admin User geeignet - Windows kann keinen Wörterbuchcheck und auch nur maximal 3 Zeichengruppen enforcen.
Soweit zunächst einmal.
Es ist nicht mehr als ein Hinweis: "gute"/"schlechte" Kennwortrichtlinien gibt es nicht. Wenn man ein Szenario hat, vor dem man schützen will, dann kann man ansatzweise berechnen, wie lange so ein Kennwort gegen Brute Force Stand halten muss und dann wird evtl. sogar die Laufzeit wichtig.
Was Du derzeit planst mit 6/8 Wochen, ist doch sehr hart für normale Menschen.
Ich würde mir den Einsatz einer Software wie Anixis PPE überlegen (es gibt von denen auch ein Self-recovery). PPE kann bessere Komplexitäts- und Wörterbuchchecks machen als Windows. Bei Windows' eigener Methode ist ein Kennwort Hanswurst123 bereits nach Deinen Vorstellungen für Admin User geeignet - Windows kann keinen Wörterbuchcheck und auch nur maximal 3 Zeichengruppen enforcen.
Soweit zunächst einmal.
Moin moin,
bei dem Thema gehen die Meinungen oft auseinander, weil sich zu komplexe Kennwörter/Änderungszyklen meist wieder als unsicher herausstellen (Klebezettel am PC zB).
Wir lösen das Ganze mit einem Mittelweg, fast Microsoft Standard, und einem zweiten Faktor, mit dem man auch "offline" Logins bis zu einem gewissen Grad abdecken kann.
So verhindert man die klassische Ablage der Kennwörter unter der Schreibtischablage oder im Container oder macht diese wertlos.
Wir haben damit gute Erfahrungen gemacht, setzt aber den Einsatz von Drittanbietersoftware (kostenpflichtig) und einem Token voraus.
Der administrative Aufwand mit Ausnahme der Einrichtung ist verschwindend gering bei einem sehr hohen Sicherheitsniveau.
Viele Grüße
T
bei dem Thema gehen die Meinungen oft auseinander, weil sich zu komplexe Kennwörter/Änderungszyklen meist wieder als unsicher herausstellen (Klebezettel am PC zB).
Wir lösen das Ganze mit einem Mittelweg, fast Microsoft Standard, und einem zweiten Faktor, mit dem man auch "offline" Logins bis zu einem gewissen Grad abdecken kann.
So verhindert man die klassische Ablage der Kennwörter unter der Schreibtischablage oder im Container oder macht diese wertlos.
Wir haben damit gute Erfahrungen gemacht, setzt aber den Einsatz von Drittanbietersoftware (kostenpflichtig) und einem Token voraus.
Der administrative Aufwand mit Ausnahme der Einrichtung ist verschwindend gering bei einem sehr hohen Sicherheitsniveau.
Viele Grüße
T
Hallo,
wir nutzen bei uns für die Zeiterfassung, die Zugangskontrolle (Fluren und Räumen) und für die Kontakt lose PC-Anmeldung
mittels RFID Karte auf der das Passwort gespeichert ist. Die Vorteile liegen klar auf der Hand man muss sich gar kein Passwort
mehr merken und es wird nie wieder ein Passwort falsch eingegeben und zusätzlich kann einem bei der Eingabe auch keiner mehr
zusehen! Das Passwort wird einmal auf der RFID Karte hinterlegt und es können auch Karten nachbestellt werden! Die können auch
immer wieder neu beschrieben werden oder gesperrt werden bei einem Verlust. Und dafür kann man den kleinsten Kartenleser benutzen
und dann einfach anstecken und die Software installieren, sollte einmal etwas vorfallen, kann man natürlich immer noch per Eingabe das
Passwort über die Tastatur eingeben. ReinerSCT
Gruß
Dobby
wir nutzen bei uns für die Zeiterfassung, die Zugangskontrolle (Fluren und Räumen) und für die Kontakt lose PC-Anmeldung
mittels RFID Karte auf der das Passwort gespeichert ist. Die Vorteile liegen klar auf der Hand man muss sich gar kein Passwort
mehr merken und es wird nie wieder ein Passwort falsch eingegeben und zusätzlich kann einem bei der Eingabe auch keiner mehr
zusehen! Das Passwort wird einmal auf der RFID Karte hinterlegt und es können auch Karten nachbestellt werden! Die können auch
immer wieder neu beschrieben werden oder gesperrt werden bei einem Verlust. Und dafür kann man den kleinsten Kartenleser benutzen
und dann einfach anstecken und die Software installieren, sollte einmal etwas vorfallen, kann man natürlich immer noch per Eingabe das
Passwort über die Tastatur eingeben. ReinerSCT
Gruß
Dobby
