85807
Goto Top

Pro und Contra von Kennwort läuft nie ab

Hallo

Es geht um die Frage was ihr grundsätzlich bei Firmen einstellt.
Dafür spricht natürlich die einfachheit dass die Leute nie ihr Passwort ändern müssen, dass es kein Problem darstellt wenn Aussendienstmitarbeiter auf OWA zugreifen müssen (Bei diesen ist es gründsätzlich immer aktiviert)
Das man sich als Administrator dan leichter tut auf Geräte zuzugreifen zu können wenn der User nicht verfügbar ist.
Dagegen spricht die geringe Sicherheit. Und?

Also was würdet ihr befürworten und es wäre toll wenn ihr dazu noch eine Begründung anführen würdet.
Hoffentlich spalte ich hier keine Religionen :D

mfg

Content-Key: 163218

Url: https://administrator.de/contentid/163218

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: TheJoker2305
TheJoker2305 23.03.2011 um 13:57:31 Uhr
Goto Top
Ich sehe die Option "Kennwort läuft nie ab" als großes Sicherheitsrisiko. Jedoch gilt es hierbei zu bedenken:

- um welche art von Account geht es hierbei?
- welche Zugriffe sind damit möglich?

Aus Sicherheitegründen verwende ich diese Einstellung aber nie, denn die Sicherheit eines Kennwortes hängt von folgenden Fakroten ab:

- Komplexität
- Länge
- häufiger Wechsel

Mitglied: Pago159
Pago159 23.03.2011 um 14:01:19 Uhr
Goto Top
Hi,

ich kann TheJoker2305 nur zustimmen.
Wenn es um die einfachheit geht,
dann würde ich evt. überlegen auf Biometrie umsteigen.

Lg Grapper
Mitglied: DerWoWusste
DerWoWusste 23.03.2011 um 14:03:00 Uhr
Goto Top
Wenn ein Kennwort in die Hände eines anderen fällt (wie auch immer, am einfachsten sicherlich über shoulder surfing=bei der Eingabe auf die Finger schauen), kann es nur maximal für die Zeit bis zum nächsten Wechsel missbraucht werden. Auch verhinderst Du, dass Brute-Force-Angriffe ewig Zeit haben, ein KW zu knacken.
Kein wichtiges Kennwort sollte nie ablaufen.
Mitglied: 85807
85807 23.03.2011 um 14:22:24 Uhr
Goto Top
Ok.

Also User mit Administrativen Rechten und Aufgaben werde ich mal umstellen.
Was macht ihr bei normalen Usern, sprich Sekretärinnen oder Maschinene PCs. die einfach nur eine Software am Tag benutzten und gelegentlich was ausdrucken, aber auch hi und da surfen !?

P.s.:
Wenn ich die Optionen bei den Administrator auf einem SBS 2003 deaktivieren kann ich aber nicht den Zeitraum ändern wann es auslaufen soll. Dort bleibt immer "Nie" ausgewählt.
Oder sollte man dieses Kennwort doch nie auslaufen lassen!?
Mitglied: Jochem
Jochem 23.03.2011 um 14:33:05 Uhr
Goto Top
Moin,
also bei der Fragestellung in Verbindung mit Deinen Ausführungen sträuben sich bei mir die Nackenhaare in nicht unerheblichem Umfang.

Dafür spricht natürlich die einfachheit dass die Leute nie ihr Passwort ändern müssen,
Bullshit, das ist ja wohl überhaupt kein Argument!

dass es kein Problem darstellt wenn Aussendienstmitarbeiter auf OWA zugreifen müssen (Bei diesen ist es gründsätzlich immer aktiviert)
Super, ist genausowenig ein Argument und "grundsätzlich immer aktiviert" stellt natürlich überhaupt kein Sicherheitsrisiko dar bei Außendienst-MA!

Das man sich als Administrator dan leichter tut auf Geräte zuzugreifen zu können wenn der User nicht verfügbar ist.
Da hast Du als Admin zunächst mal gar nichts dran verloren. Wenn das notwendig wird, hat die Hierarchieebene über Dir das zu veranlassen.

Dagegen spricht die geringe Sicherheit. Und?
Und was? Reicht das als Argument nicht aus?

Also weil man erwachsenen Menschen nicht zumuten kann, sich ein Kennwort mit formgebundenem aber variablen Inhalt zu merken, geht man den Weg des geringsten Widerstandes und macht "ein Paßwort für alles und immer". Klasse, und wenn dann wirklich der unvorhersehbare Fall eintriit, daß dieses Paßwort bekannt wird, öffnet es einem potentiellen Angreifer Tür und Tor auf dem Rechner. Sollte dieser Rechner nun noch paßwortgestützten Zugriff auf anderen Anwendungen haben, möchte ich mir gar nicht erst ausmalen, was passiert, wenn der geneigte User aus "Einfachheit" dieses Paßwort auch noch für andere Anwendungen nutzt. Aber macht ja nichts, DU bist der Admin in dem Reich und damit verantwortlich für die Datensicherheit und -Integrität. Viel Vergnügen.

BTW: Was machst Du, wenn einer Deiner User eine sicherheitsrelevante Anwendung auf dem PC hat, und der auf einmal ein Problem mit veränderten Daten hat und zudem noch weiß, daß Du als Admin unbegrenzten Zugriff auf seinen Rechner hast? Jetzt weise mal nach, daß Du nicht an dem Rechner warst: Als Admin kannst Du ja auch Logs manipulieren oder gar löschen.

Gruß J face-smile chem
(der das auch alles kann und grundsätzlich darf, sich dafür aber immer "von Oben" das OK holt und im Zweifelsfall sich als Admin auf dem Rechner anmeldet, so daß der User
a) merkt, daß jemand an dem Rechner war (Logon verändert)
b) ein anderes Paßwort bekommen hat, weil entsprechendes "von Oben" angeordnet wurde)
Mitglied: Jochem
Jochem 23.03.2011 um 14:38:00 Uhr
Goto Top
Moin,
kann ich aber nicht den Zeitraum ändern wann es auslaufen soll.
Gibt es dan nicht so eine Routine "Kenwortablauf in x Tagen" aka GPO? Standard sind glaube ich 42 Tage.

Was unterscheidet einen User mit administrativen Rechten von einem ohne diese, wenn es um die Sicherheit geht? Nichts!

Gruß J face-smile chem
Mitglied: DerWoWusste
DerWoWusste 23.03.2011 um 14:38:49 Uhr
Goto Top
Auch Sekretärinnen finden es nicht lustig, wenn jemand Ihre Identität (=Kennwort) klaut und damit in ihrem Namen handelt (Dateien löscht, witzige Mails schreibt, Pornoseiten ansurft).
Mitglied: muftypeter
muftypeter 23.03.2011 um 14:59:35 Uhr
Goto Top
Hallo,
so viel Einigkeit im Forum ist schön. Sollte dem Fragesteller auch zu denken geben.

In der IT sehe ich das regelmäßige Ändern von PW als Pflichtübung. Nur die Frage, wie komplex das PW sein MUß sollte hier diskutiert werden. Der Haken mag für bestimmte Accounts (Gruppenaccounts = Bäh) ja recht nett sein, bei "normalen" Usern hat aber aber nicht aktiv zu sein. Wenn da etwas schief geht, kommt evtl. jemand noch auf die Idee, der Admin ist seiner Beratungsaufgabe nicht nachgekommen.

Bei Personen, die oft in Kundenkontakt stehen würde ich das PW sogar öfters ändern.

Grüße vom Peter
Mitglied: goscho
goscho 23.03.2011 um 16:24:13 Uhr
Goto Top
Hi Jungs,
ich möchte dieser Einigkeit im Forum mal entgegenwirken. face-wink

Für mich ist es überhaupt keine Pflichtübung mit dem regelmäßigen Wechsel des Kennwortes, obwohl, alle 3 Jahre ist ja auch regelmäßig. face-big-smile

Wenn überhaupt, dann ist der regelmäßige Wechsel der Kennwörter nur ein kleiner Teil einer Sicherheitsstruktur. Was bringt ein sehr häufiger Kennwortwechsel, wenn beim Verlassen des Arbeitsplatzes der Desktop nicht gesperrt wird (Richtlinie oder manuell).
Auch mache ich es von der jeweiligen Umgebung abhängig, ob die Kennwörter öfter gewechselt werden müssen oder nicht.

Das allein durch den Kennwortwechsel ein wirklicher Sicherheitsgewinn zu verzeichnen ist, möchte ich bezweifeln.
Ich kenne User, die Wechseln alle 90 Tage ihr Kennwort von 1-Wohnort auf 2-Wohnort und erfüllen damit die Voraussetzungen der Kennwortrichtlinie der Domäne

@dww
Wenn ein Kennwort in die Hände eines anderen fällt (wie auch immer, am einfachsten sicherlich über shoulder surfing=bei der Eingabe auf die Finger schauen), kann es nur maximal für die Zeit bis zum nächsten Wechsel missbraucht werden.
Das kann mal schnell, trotz vorhandener Richtlinie zum Kennwortwechsel, bis zu 90 Tage sein.
Sehr viel Zeit, um Schaden anzurichten. face-wink

BTW: over shoulder versuche ich fast vollständig zu vermeiden, da ich an den 3 von mir am häufigsten genutzten Geräten Fingerprintleser nutze. Dies dient aber mehr der Bequemlichkeit, da ich auf Grund meines ellenlangen und extrem komplexen Kennwortes sehr viele Tippfehler einbaue.
@muftypeter
Bei Personen, die oft in Kundenkontakt stehen würde ich das PW sogar öfters ändern.
Das ist auch zu pauschal. Ich habe bspw. sehr viel Kundenkontakt. Warum soll ich deshalb mein Kennwort öfter wechseln?

PS: Ich habe es vorwiegend mit KMU zu tun, die in Sicherheitsfragen (leider) meist sehr wenig sensibilisiert sind ("Passwörter brauchen wir nicht, hier vertraut jeder jedem").
Mitglied: Trixter
Trixter 23.03.2011 um 17:32:10 Uhr
Goto Top
Moin moin,

Die Option "Kennwort läuft nie ab" sollte man sicher beim Admin einstellen, aber ansonsten sollte man von dem Häckchen die Finger lassen.
Zusätzlich sollte es gewisse Kompexitätsregeln einhalten. Ich habe es bei uns vor drei Jahren eingeführt (und es gab viel Murren) aber wenn man den Usern die richtigen Argumente mitteilt (Datenschutzprüfung durch BSI, da gehört es nämlich zu den Checkpunkten) dann spielen die User auch mit. (Wichtig hierbei, hart bleiben, keine Ausnahmen)
Nach 3 Monaten hatte sich alles eingependelt und seit dem läuft es richtig gut. Wichtig hierbei ist auch, die Kennwortchronik mit einzuschalten und auf mindestens 3-6 zu setzen. Kennwortalter ist gem. BSI meines Wissens max 90 Tage. Bei uns sind es 60 und trotzdem kein Murren mehr^^

LG
Trixter