5
Regelmässige Passwortänderung auf allen Geräten ohne Kontensperrung?
Moin Zusammen,
ich habe ein kleines Problem mit unserer regelmässigen Passwortänderung in einer 2008 Domäne und die Vielzahl der einzelnen Geräte (PC, Laptop, Tablet und Smartphone) die EIN User mittlerweile hat.
Bei uns muss ein User alle 90 Tage sein Passwort ändern, jedoch passiert es häufig das der User dann auch vergißt dieses neue Passwort auf allen seinen Geräten (Smartphone und Tablet) einzugeben. Nach drei falschen Versuchen ist dann Schluss und das Konto muss wieder frei gegeben werden.
Wie geht ihr damit um oder gibt es dafür einen Workaround?
Gruß
Gunter
ich habe ein kleines Problem mit unserer regelmässigen Passwortänderung in einer 2008 Domäne und die Vielzahl der einzelnen Geräte (PC, Laptop, Tablet und Smartphone) die EIN User mittlerweile hat.
Bei uns muss ein User alle 90 Tage sein Passwort ändern, jedoch passiert es häufig das der User dann auch vergißt dieses neue Passwort auf allen seinen Geräten (Smartphone und Tablet) einzugeben. Nach drei falschen Versuchen ist dann Schluss und das Konto muss wieder frei gegeben werden.
Wie geht ihr damit um oder gibt es dafür einen Workaround?
Gruß
Gunter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 223520
Url: https://administrator.de/contentid/223520
Printed on: April 26, 2024 at 18:04 o'clock
5 Comments
Latest comment
Moin Zusammen,
Moin,
ich habe ein kleines Problem mit unserer regelmässigen Passwortänderung in einer 2008 Domäne und die Vielzahl der
einzelnen Geräte (PC, Laptop, Tablet und Smartphone) die EIN User mittlerweile hat.
Bei uns muss ein User alle 90 Tage sein Passwort ändern, jedoch passiert es häufig das der User dann auch vergißt
dieses neue Passwort auf allen seinen Geräten (Smartphone und Tablet) einzugeben. Nach drei falschen Versuchen ist dann
Schluss und das Konto muss wieder frei gegeben werden.
Wie geht ihr damit um oder gibt es dafür einen Workaround?
einzelnen Geräte (PC, Laptop, Tablet und Smartphone) die EIN User mittlerweile hat.
Bei uns muss ein User alle 90 Tage sein Passwort ändern, jedoch passiert es häufig das der User dann auch vergißt
dieses neue Passwort auf allen seinen Geräten (Smartphone und Tablet) einzugeben. Nach drei falschen Versuchen ist dann
Schluss und das Konto muss wieder frei gegeben werden.
Wie geht ihr damit um oder gibt es dafür einen Workaround?
Da frage ich mich (oder dich), was dir wichtiger ist: Die Sicherheit deiner Benutzerkonten oder die Bequemlichkeit der Benutzer oder des Administrators?
Löschst du den Passwort-Reset dann hat ein User so lange das selbe Passwort bis du ihm ein Neues zuweist/er sich ein Neues erstellen muss. --> PW wird auf allen Endgeräten gespeichert und somit im Verlustfall des Geräts zugänglich für alle Anderen (vor allem: Denkst du der Benutzer wird sich sein Passwort in diesem Fall überhaupt noch merken?). Diese Methode wäre aber natürlich der geringere Administrationsaufwand.
Dann gäbe es ja noch die Möglichkeit die Einloggversuche zu erhöhen. Weiß nicht was das bringen soll aber naja. Dem Einen fällts halt vielleicht erst nach dem fünften mal ein :P.
Lässt du alles wie es ist, muss der Benutzer halt mal seine grauen Zellen anstrengen und sich sein Passwort merken, ist es aber dann auf dem Gerät gespeichert, hat wieder jeder, der das Gerät in die Finger bekommt, Zugriff auf private Daten.
Mein Favorit:
Lass es so wie es ist, oder setz den Reset sogar noch runter auf 60 oder 30 Tage. Muss der Benutzer halt mal seine grauen Zellen anstrengen, ist das zu viel verlangt? Zusätzlich solltest du irgendwas dagegen tun, dass das Passwort nicht auf dem Endgerät gespeichert wird. Sonst hast du wieder das Problem --> Gerät weg? --> Daten public. Letztendlich kannst du nicht verhindern, dass der Benutzer das Passwort irgendwo auf seinen Endgeräten speichert, daher solltest du dich diesbezüglich absichern.
Falls ich irgendwas falsch verstanden habe und dir meine Ansätze garnicht passen, dann klär mich bitte auf ;). Waren nur so ein paar spontane Ansätze die mir eingefallen sind.
Abschließend noch eine Frage:
oder gibt es dafür einen Workaround?
Hä? Für was genau: Für das vergessen eines Passworts? Stift und Papier oder Gehirnzellen. Für das Freigeben des Kontos? Ich denke nicht, sonst bräuchte man kein Administrator.Was genau willst du da bezwecken?
Gruß Ohio
Hallo Ohio,
danke dir für dein ausführliche Antwort.
Das Passwörter auf den Entgeräten gespeichert werden ist klar aber was ich meine. Ändert ein User sein Passwort und ändert es dann nicht auch gleich auf seinem Smartphone oder Tablet und versucht dann z.B. Mails vom Smartzphhone oder Tablet abzurufen (hier ja noch mit dem alten Passwort) ist das Konto gleich gesperrt.
Hier wollte ich wissen wie ihr mit den ganzen Endgeräten eines Benutzers umgeht damit das Konto nach einer Passwortänderung nicht gleich gesperrt wird.
Das die Passwörter 90 Tage alt werden ist so gewünscht dafür ist es recht lang und muss 4 Kriterien enthalten.
Gruß
Gunter
danke dir für dein ausführliche Antwort.
Das Passwörter auf den Entgeräten gespeichert werden ist klar aber was ich meine. Ändert ein User sein Passwort und ändert es dann nicht auch gleich auf seinem Smartphone oder Tablet und versucht dann z.B. Mails vom Smartzphhone oder Tablet abzurufen (hier ja noch mit dem alten Passwort) ist das Konto gleich gesperrt.
Hier wollte ich wissen wie ihr mit den ganzen Endgeräten eines Benutzers umgeht damit das Konto nach einer Passwortänderung nicht gleich gesperrt wird.
Das die Passwörter 90 Tage alt werden ist so gewünscht dafür ist es recht lang und muss 4 Kriterien enthalten.
Gruß
Gunter
Das ändert natürlich die komplette Denk- und Sichtweise, da lag ich ja ganz falsch :D.
Ich denke mal wir reden hier von der ganz normalen Active Directory Authentifizierung?
Also wenn das Passwort im Gerät gespeichert ist/wird, kann wohl nur der Benutzer entgegenwirken, dass das Programm sich nicht mit dem falschen Passwort authentifiziert und zwar indem er es nicht speichert. Eine andere umständliche Möglichkeit wäre das Trennen der Verbindung zum Netzwerk, so dass es garnicht zur Authentifizierung kommen kann. Dann das Passwort ändern und die Verbinung neu aufbauen. Das Active Directory kann ja nicht unterscheiden ob sich der Benutzer von einer Workstation, einem Tablet, einem Smartphone oder oder anmeldet und dementsprechend entscheiden ob das Konto gesperrt wird oder nicht.
Stellst du die Geräte zur Verfügung oder gehören die den Benutzern?
Mit was wird sich wo angemeldet?
Gruß
Ich denke mal wir reden hier von der ganz normalen Active Directory Authentifizierung?
Also wenn das Passwort im Gerät gespeichert ist/wird, kann wohl nur der Benutzer entgegenwirken, dass das Programm sich nicht mit dem falschen Passwort authentifiziert und zwar indem er es nicht speichert. Eine andere umständliche Möglichkeit wäre das Trennen der Verbindung zum Netzwerk, so dass es garnicht zur Authentifizierung kommen kann. Dann das Passwort ändern und die Verbinung neu aufbauen. Das Active Directory kann ja nicht unterscheiden ob sich der Benutzer von einer Workstation, einem Tablet, einem Smartphone oder oder anmeldet und dementsprechend entscheiden ob das Konto gesperrt wird oder nicht.
Stellst du die Geräte zur Verfügung oder gehören die den Benutzern?
Mit was wird sich wo angemeldet?
Gruß
Hi.
Ein paar Gedanken dazu:
Wenn es am Smartphone/Tablet eingespeichert wird, dann muss es neu eingespeichert werden - dazu musst Du die Leute erziehen und Du wirst sehen, die beste Erziehung ist hier "lernen durch Schmerzen" :|
Du könntest zur Entsperrung ein Self-Service-Portal einrichten: https://anixis.com/products/apr/default.htm Anixis Password Reset. Auch Anixis' Password Policy Enforcer ist sehr gut und wäre eine Überlegung wert, schlage ich vor. Denn ein sichereres Kennwort anstelle von kürzerem Änderungsintervall kommt sicher besser an.
Ein paar Gedanken dazu:
Wenn es am Smartphone/Tablet eingespeichert wird, dann muss es neu eingespeichert werden - dazu musst Du die Leute erziehen und Du wirst sehen, die beste Erziehung ist hier "lernen durch Schmerzen" :|
Du könntest zur Entsperrung ein Self-Service-Portal einrichten: https://anixis.com/products/apr/default.htm Anixis Password Reset. Auch Anixis' Password Policy Enforcer ist sehr gut und wäre eine Überlegung wert, schlage ich vor. Denn ein sichereres Kennwort anstelle von kürzerem Änderungsintervall kommt sicher besser an.
1
Hallo,
ein gewisser "Pragmatismus" im Umgang mit der Anzahl der zugelassenen Fehlerversuche lässt sich nicht immer vermeiden. Der Nutzer _kann_ die Kennwörter ja gar nicht alle _gleichzeitig_ ändern, und manche Geräte sind so geschickt, dann gleich mal fünf Fehlversuche zu verbraten, bevor sie den Nutzer einmal nach dem Kennwort fragen - siehe etwa http://www.blackberry.com/btsc/KB34272. Meiner Meinung nach liegt Fehler hier auch ganz klar nicht beim Anwender, sondern in der Implementierung der Gerätesoftware. Da hilft es auch nichts, wenn man den Anwender durch "schmerzen" "erziehen" will.
Und mal ehrlich: um wie viel steigt denn das Risiko an, wenn man den Wert von 3 auf 10 erhöht. Und jetzt schreibe bitte nicht "um das 3,333-fache", ein ordentliches Kennwort sollte in 10 Versuchen genauso unmöglich zu erraten sein, wie in einem.
Grüße
Filipp
ein gewisser "Pragmatismus" im Umgang mit der Anzahl der zugelassenen Fehlerversuche lässt sich nicht immer vermeiden. Der Nutzer _kann_ die Kennwörter ja gar nicht alle _gleichzeitig_ ändern, und manche Geräte sind so geschickt, dann gleich mal fünf Fehlversuche zu verbraten, bevor sie den Nutzer einmal nach dem Kennwort fragen - siehe etwa http://www.blackberry.com/btsc/KB34272. Meiner Meinung nach liegt Fehler hier auch ganz klar nicht beim Anwender, sondern in der Implementierung der Gerätesoftware. Da hilft es auch nichts, wenn man den Anwender durch "schmerzen" "erziehen" will.
Und mal ehrlich: um wie viel steigt denn das Risiko an, wenn man den Wert von 3 auf 10 erhöht. Und jetzt schreibe bitte nicht "um das 3,333-fache", ein ordentliches Kennwort sollte in 10 Versuchen genauso unmöglich zu erraten sein, wie in einem.
Grüße
Filipp