dirmhirn
Goto Top

Fine grained password policy - oder Alternativen?

Hi,

da jetzt doch der Wunsch nach komplexeren Passwörtern aufgekommen ist, frage ich mich ob eine Alternative zu Empfehlen ist oder die FGPPs eine gute Wahl sind.

FGPPs können zum Beispiel nicht gegen Passwortlisten checken oder spezielle Wörter.

Bei einer Alternativen Lösung hab ich etwas Bedenken, da es doch recht essenziell ins AD eingreift.

Sind diese Bedenken unbegründet? Gibt es Empfehlungen?

Sg Dirm

Content-ID: 53042234245

Url: https://administrator.de/forum/fine-grained-password-policy-oder-alternativen-53042234245.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

Kraemer
Kraemer 06.08.2024 um 10:22:24 Uhr
Goto Top
Dirmhirn
Dirmhirn 06.08.2024 um 10:27:19 Uhr
Goto Top
Hi,

Du meinst, wenn lange genug, dann reicht FGPP?

Aber wie verhindert man 3 mal den Firmennamen?

Sg Dirm
GrueneSosseMitSpeck
GrueneSosseMitSpeck 06.08.2024 um 10:28:38 Uhr
Goto Top
mit dem Aufkommen der Quantencomputer vertausendfacht sich die Rechenleistung für bestimmte Prozesse, unter anderem Brute Force Attacken.

mittelschwere Passwörter mit MFA kombinieren ist aktuell eher der Trend. User mit allzu strengen Passwordrichtlinien zu nerven treibt diese am Ende dazu, Passworter wieder aufzuschreiben oder als Barcode auszudrucken (man glaubts nicht aber schon so bei einem großen Chemiekonzern so gesehen).
DerWoWusste
DerWoWusste 06.08.2024 um 10:48:20 Uhr
Goto Top
Hier was Kostenloses, was mit aktuellen AD-Serverversionen bis 2022 funktioniert: https://github.com/lithnet/ad-password-protection
Kostenlosen Support gibt es jedoch nicht, den muss man kaufen.

Als Alternative würde ich jedem eine SmartCard+PIN nahelegen.
ThePinky777
ThePinky777 06.08.2024 um 11:52:44 Uhr
Goto Top
Also 10 Zeichen mit Komplexität im AD aktivieren.

Dann User Schulungen zur Passwort sicherheit machen.
Nedeutet auch explizit erklären warum Firmenname1234 kein sicheres PW ist.
Und per Arbeitsanweisung auch klar machen welche PWs nicht verwendet werden dürfen.
z.B. auch doof Projektnamen, Kundennamen, Produktnamen etc....

Das ganze noch abrunden mit Infos wie lange man jeweils zum hacken für welches PW braucht usw...

ODER MFA einführen, und ab da kann man auf PW ändeurngen dann auch verzichten...
Dirmhirn
Dirmhirn 06.08.2024 um 12:00:36 Uhr
Goto Top
Zitat von @DerWoWusste:
Als Alternative würde ich jedem eine SmartCard+PIN nahelegen.

Deinen Thread kenn ich und hab mich schon etwas eingelesen. Aber haben da noch größere Baustellen...

Barcode auszudrucken
Wobei die Idee ist ja fast schon cool

Ok also die Alternativen sind jetzt kein must have.

Sg Dirm
DerWoWusste
DerWoWusste 06.08.2024 um 12:14:02 Uhr
Goto Top
Als Alternative würde ich jedem eine SmartCard+PIN nahelegen.
Deinen Thread kenn ich und hab mich schon etwas eingelesen. Aber haben da noch größere Baustellen...
Benenn die ruhig, am besten Thread verlinken und dort reinschreiben. Ich hab' doch die ganze Chose hier durch und kann zur Seite stehen.