lhbl2003
Goto Top

Active Directory - GPO - Passwort muss alle 4 Zeichenarten enthalten

Wie kann ich um Active Direktory dafür sorgen, das Benutzer in ihren Kennwörtern alle 4 Zeichenarten angeben MÜSSEN.

Also nicht 1, 2 oder 3 sondern alle 4 Zeichenarten müssen im Passwort enthalten sein.

mindestens ein Kleinbuchstabe
mindestens ein Großbuchstabe
mindestens eine Zahl
mindestens ein Sonderzeichen

Die Definition "Kennwort muss Komplexitätsvoraussetzungen entspechen" besagt ja nur das man 3 von 4 Zeichenarten im Passwort enthalten haben muss.

Vielen Dank für Tipps, mit Google erziele ich aktuell keinen treffer.

Content-ID: 4560689354

Url: https://administrator.de/forum/active-directory-gpo-passwort-muss-alle-4-zeichenarten-enthalten-4560689354.html

Ausgedruckt am: 21.12.2024 um 18:12 Uhr

3063370895
Lösung 3063370895 09.11.2022 aktualisiert um 13:26:51 Uhr
Goto Top
Indem man eigene Passwortfilter-DLLs schreibt
https://learn.microsoft.com/en-us/windows/win32/secmgmt/password-filters

Die Einstellung "je komplexer desto besser" ist lange überholt und führt zu "faulen" Passwörten.
Besser sind längere Passworter die aus verschiedenen Wörtern bestehen wie z.b.

apfel-stempel-festplatte-tasse

die kann man sich dann auch merken face-smile

Ein 8-stelliges Passwort mit 4 Zeichenarten ist in ner halben Stunde geknackt, ein 18-stelliges nur aus Kleinbuchstaben dagegen in 2 Millionen Jahren

hive-systems-password-table-1-770x346
DerWoWusste
Lösung DerWoWusste 09.11.2022 aktualisiert um 13:26:37 Uhr
Goto Top
Hi.

Ich versuche mal, es dir auszureden.
Du erhöhst die Sicherheit damit nicht, nein, du verkleinerst sogar den Kennwortraum erheblich, siehe
https://openwall.info/wiki/john/policy
Somit wird brute forcing einfacher.
Beispiel: 9 Zeichen ist die geforderte Mindestlänge.
Bei 4 geforderten Gruppen hat man nur noch 53% aller mit 9 Zeichen möglichen Kennwörter zum Bruteforce zu testen.
maretz
maretz 09.11.2022 um 13:27:24 Uhr
Goto Top
Ich würde auch ehrlich gesagt davon absehen... Wenn du nicht Zettel am Monitor haben willst wo das Passwort dann eh drauf steht (und wenn nich am Monitor sondern in der Schublade, unter der Tastatur,...)
NordicMike
NordicMike 09.11.2022 um 14:33:45 Uhr
Goto Top
Du erhöhst die Sicherheit damit nicht, nein, du verkleinerst sogar den Kennwortraum erheblich

Und sorgst dafür, dass die komplexen Passwörter als Zettel unter der Tastatur liegen.
LHBL2003
LHBL2003 09.11.2022 aktualisiert um 15:39:14 Uhr
Goto Top
Ich wollte mindestens 10 Zeichen und 4 Zeichenarten, weil dummerweise die meisten Kunden solch wünche festlegen.

Aber warscheinlich werde ich wohl "Kennwort muss Komplexitätsvoraussetzungen entspechen" also 3 Zeichenarten und mindesten 12 Zeichen festlegen. Das macht dann 200 Jahre.

@chaot1coz: Danke für die Grafik.

aber was ist mir apfel-stempel-festplatte-tasse man soll Wörter aus dem Wörterbuch meiden.

Und eine Atacke mit kleinen Wörtern und - statt Leerzeichen klingt jetzt auch nicht so komplex
maretz
Lösung maretz 09.11.2022 um 15:56:45 Uhr
Goto Top
Zitat von @LHBL2003:

Ich wollte mindestens 10 Zeichen und 4 Zeichenarten, weil dummerweise die meisten Kunden solch wünche festlegen.

Aber warscheinlich werde ich wohl "Kennwort muss Komplexitätsvoraussetzungen entspechen" also 3 Zeichenarten und mindesten 12 Zeichen festlegen. Das macht dann 200 Jahre.

@chaot1coz: Danke für die Grafik.

aber was ist mir apfel-stempel-festplatte-tasse man soll Wörter aus dem Wörterbuch meiden.

Und eine Atacke mit kleinen Wörtern und - statt Leerzeichen klingt jetzt auch nicht so komplex

doch - IST es. Denn sagen wir du hast nur 100 Wörter zur Auswahl. Du hast nur 3 Worter daraus genommen:
100*100*100 + die Anzahl der Möglichkeiten die du ZWISCHEN den Wörtern hast (z.B. apfel+stempel+festplatte vs. apfel&stempel+...). Damit wirst du per brute force nicht weit kommen. Wenn du aber jetzt deine Regel anwendest hab ich ggf. Ae&1 - und weil ichs mir ja merken muss werde ich natürlich so kurz wie möglich sein. Das macht die Chancen deutlich einfacher. Denke auch dran: Du WEISST als Angreifer nicht das ich Wörter nehme - damit hat mein Passwort ggf. 20+ Zeichen statt 6 oder 8 oder 10. Du musst also TROTZDEM weiter alles probieren, die einfache Wörterbuch-Attacke geht ja nur bei "Apfel" ODER "Tasse" ODER "Fliege" - Aber Apfel-Tasse-Fliege gibts halt nich...
DerWoWusste
DerWoWusste 09.11.2022 um 15:57:20 Uhr
Goto Top
Man kann da sehr viel philosophieren.

Mein Vorschlag: lass die Kennwörter ganz bleiben. Nimm SmartCards, Problem gegessen.
3063370895
Lösung 3063370895 09.11.2022 aktualisiert um 16:01:26 Uhr
Goto Top
Relevantes XKCD

Die Antwort auf deine eigentliche Frage steht übrigens im ersten Kommentar von mir ganz oben face-smile
LHBL2003
LHBL2003 09.11.2022 um 17:41:25 Uhr
Goto Top
@maretz & @chaot1coz

Danke für die Info. Zwar habe ich über Phrasen zwar schon gelesen, dass diese einen guten Schutz bieten. Aber das hatte sich immer Mit dem Thema Wörterbuch gebissen. Jetzt habe ich aber mal einen verständlichen Ansatz dazu.

@DerWoWusste: Der Klasiker bei S i e m e n s, ist die einzuge Firma wo ich das bisher gesehen habe. face-smile
Aber das setzt leider vorraus, das alle Notebooks ein Karten Leser haben. (Ohne mit USB Kartenlesern zu arbeiten face-smile

Ich Danke euch allen für die konstruktive Unterhaltung.
DerWoWusste
DerWoWusste 09.11.2022 um 17:55:12 Uhr
Goto Top
Aber das setzt leider vorraus, das alle Notebooks ein Karten Leser haben
Nein, das tut es nicht face-smile Setze virtuelle SmartCards ein: https://learn.microsoft.com/en-us/windows/security/identity-protection/v ...
beidermachtvongreyscull
beidermachtvongreyscull 10.11.2022 um 19:31:48 Uhr
Goto Top
Zitat von @maretz:

Ich würde auch ehrlich gesagt davon absehen... Wenn du nicht Zettel am Monitor haben willst wo das Passwort dann eh drauf steht (und wenn nich am Monitor sondern in der Schublade, unter der Tastatur,...)

Das wäre auch für mich der beste Grund, es nicht zu übertreiben.