Active Directory - GPO - Passwort muss alle 4 Zeichenarten enthalten
Wie kann ich um Active Direktory dafür sorgen, das Benutzer in ihren Kennwörtern alle 4 Zeichenarten angeben MÜSSEN.
Also nicht 1, 2 oder 3 sondern alle 4 Zeichenarten müssen im Passwort enthalten sein.
mindestens ein Kleinbuchstabe
mindestens ein Großbuchstabe
mindestens eine Zahl
mindestens ein Sonderzeichen
Die Definition "Kennwort muss Komplexitätsvoraussetzungen entspechen" besagt ja nur das man 3 von 4 Zeichenarten im Passwort enthalten haben muss.
Vielen Dank für Tipps, mit Google erziele ich aktuell keinen treffer.
Also nicht 1, 2 oder 3 sondern alle 4 Zeichenarten müssen im Passwort enthalten sein.
mindestens ein Kleinbuchstabe
mindestens ein Großbuchstabe
mindestens eine Zahl
mindestens ein Sonderzeichen
Die Definition "Kennwort muss Komplexitätsvoraussetzungen entspechen" besagt ja nur das man 3 von 4 Zeichenarten im Passwort enthalten haben muss.
Vielen Dank für Tipps, mit Google erziele ich aktuell keinen treffer.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4560689354
Url: https://administrator.de/forum/active-directory-gpo-passwort-muss-alle-4-zeichenarten-enthalten-4560689354.html
Ausgedruckt am: 21.12.2024 um 18:12 Uhr
11 Kommentare
Neuester Kommentar
Indem man eigene Passwortfilter-DLLs schreibt
https://learn.microsoft.com/en-us/windows/win32/secmgmt/password-filters
Die Einstellung "je komplexer desto besser" ist lange überholt und führt zu "faulen" Passwörten.
Besser sind längere Passworter die aus verschiedenen Wörtern bestehen wie z.b.
apfel-stempel-festplatte-tasse
die kann man sich dann auch merken
Ein 8-stelliges Passwort mit 4 Zeichenarten ist in ner halben Stunde geknackt, ein 18-stelliges nur aus Kleinbuchstaben dagegen in 2 Millionen Jahren
https://learn.microsoft.com/en-us/windows/win32/secmgmt/password-filters
Die Einstellung "je komplexer desto besser" ist lange überholt und führt zu "faulen" Passwörten.
Besser sind längere Passworter die aus verschiedenen Wörtern bestehen wie z.b.
apfel-stempel-festplatte-tasse
die kann man sich dann auch merken
Ein 8-stelliges Passwort mit 4 Zeichenarten ist in ner halben Stunde geknackt, ein 18-stelliges nur aus Kleinbuchstaben dagegen in 2 Millionen Jahren
Hi.
Ich versuche mal, es dir auszureden.
Du erhöhst die Sicherheit damit nicht, nein, du verkleinerst sogar den Kennwortraum erheblich, siehe
https://openwall.info/wiki/john/policy
Somit wird brute forcing einfacher.
Beispiel: 9 Zeichen ist die geforderte Mindestlänge.
Bei 4 geforderten Gruppen hat man nur noch 53% aller mit 9 Zeichen möglichen Kennwörter zum Bruteforce zu testen.
Ich versuche mal, es dir auszureden.
Du erhöhst die Sicherheit damit nicht, nein, du verkleinerst sogar den Kennwortraum erheblich, siehe
https://openwall.info/wiki/john/policy
Somit wird brute forcing einfacher.
Beispiel: 9 Zeichen ist die geforderte Mindestlänge.
Bei 4 geforderten Gruppen hat man nur noch 53% aller mit 9 Zeichen möglichen Kennwörter zum Bruteforce zu testen.
Zitat von @LHBL2003:
Ich wollte mindestens 10 Zeichen und 4 Zeichenarten, weil dummerweise die meisten Kunden solch wünche festlegen.
Aber warscheinlich werde ich wohl "Kennwort muss Komplexitätsvoraussetzungen entspechen" also 3 Zeichenarten und mindesten 12 Zeichen festlegen. Das macht dann 200 Jahre.
@chaot1coz: Danke für die Grafik.
aber was ist mir apfel-stempel-festplatte-tasse man soll Wörter aus dem Wörterbuch meiden.
Und eine Atacke mit kleinen Wörtern und - statt Leerzeichen klingt jetzt auch nicht so komplex
Ich wollte mindestens 10 Zeichen und 4 Zeichenarten, weil dummerweise die meisten Kunden solch wünche festlegen.
Aber warscheinlich werde ich wohl "Kennwort muss Komplexitätsvoraussetzungen entspechen" also 3 Zeichenarten und mindesten 12 Zeichen festlegen. Das macht dann 200 Jahre.
@chaot1coz: Danke für die Grafik.
aber was ist mir apfel-stempel-festplatte-tasse man soll Wörter aus dem Wörterbuch meiden.
Und eine Atacke mit kleinen Wörtern und - statt Leerzeichen klingt jetzt auch nicht so komplex
doch - IST es. Denn sagen wir du hast nur 100 Wörter zur Auswahl. Du hast nur 3 Worter daraus genommen:
100*100*100 + die Anzahl der Möglichkeiten die du ZWISCHEN den Wörtern hast (z.B. apfel+stempel+festplatte vs. apfel&stempel+...). Damit wirst du per brute force nicht weit kommen. Wenn du aber jetzt deine Regel anwendest hab ich ggf. Ae&1 - und weil ichs mir ja merken muss werde ich natürlich so kurz wie möglich sein. Das macht die Chancen deutlich einfacher. Denke auch dran: Du WEISST als Angreifer nicht das ich Wörter nehme - damit hat mein Passwort ggf. 20+ Zeichen statt 6 oder 8 oder 10. Du musst also TROTZDEM weiter alles probieren, die einfache Wörterbuch-Attacke geht ja nur bei "Apfel" ODER "Tasse" ODER "Fliege" - Aber Apfel-Tasse-Fliege gibts halt nich...
Relevantes XKCD
Die Antwort auf deine eigentliche Frage steht übrigens im ersten Kommentar von mir ganz oben
Die Antwort auf deine eigentliche Frage steht übrigens im ersten Kommentar von mir ganz oben
Aber das setzt leider vorraus, das alle Notebooks ein Karten Leser haben
Nein, das tut es nicht Setze virtuelle SmartCards ein: https://learn.microsoft.com/en-us/windows/security/identity-protection/v ...Zitat von @maretz:
Ich würde auch ehrlich gesagt davon absehen... Wenn du nicht Zettel am Monitor haben willst wo das Passwort dann eh drauf steht (und wenn nich am Monitor sondern in der Schublade, unter der Tastatur,...)
Ich würde auch ehrlich gesagt davon absehen... Wenn du nicht Zettel am Monitor haben willst wo das Passwort dann eh drauf steht (und wenn nich am Monitor sondern in der Schublade, unter der Tastatur,...)
Das wäre auch für mich der beste Grund, es nicht zu übertreiben.