anywhereandnowhere
Goto Top

Fragen zu Passwortrichtlinien und Password Reset Self Service

Hallo Kollegen,

ich bin seit Anfang des Jahres in einem mittelständischen Unternehmen, wo es 1. statt AD ein Novell eDirectory gibt und zweitens sher lasche Passwortregeln.
Wir sind imMo dabei eine neue Domain mit DC und Microsoft AD aufzubauen. Bei den Passwortregeln sind ein Teil der Altkollegen der Meinung, es so einfach wie möglich zu lassen, was bis zu "Passwort läuft nicht ab" geht. Der andere Teil und ins besondere ich plädieren hier aber für eine gewisse Komplexität der Passwörter und vor allem auf einen Ablauf der Passwörter.

Meine Idee erstmal drei Gruppen

normale User: 8 Zeichen, Groß Klein Zahl Sonderzeichen Laufzeit: 6 Wochen
Admin User : 12 Zeichen, Groß Klein Zahl Sonderzeichen Laufzeit: 8 Wochen
Serviceaccount: 8 Zeichen, Groß Kleine Zahl Sonderzeichen Laufzeit: unbegrenzt

Um den Helpdesk zu entlasten, denke ich an einen Passwort Self Service. Welche Erfahrungen habt ihr in der Richtung? Ich will es für die User relativ einfach gestalten, das es auch angenommen wird.

Danke für Euer Feedback!

Content-ID: 334300

Url: https://administrator.de/forum/fragen-zu-passwortrichtlinien-und-password-reset-self-service-334300.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

DerWoWusste
DerWoWusste 06.04.2017 aktualisiert um 18:30:06 Uhr
Goto Top
Hi.

Es ist nicht mehr als ein Hinweis: "gute"/"schlechte" Kennwortrichtlinien gibt es nicht. Wenn man ein Szenario hat, vor dem man schützen will, dann kann man ansatzweise berechnen, wie lange so ein Kennwort gegen Brute Force Stand halten muss und dann wird evtl. sogar die Laufzeit wichtig.
Was Du derzeit planst mit 6/8 Wochen, ist doch sehr hart für normale Menschen.

Ich würde mir den Einsatz einer Software wie Anixis PPE überlegen (es gibt von denen auch ein Self-recovery). PPE kann bessere Komplexitäts- und Wörterbuchchecks machen als Windows. Bei Windows' eigener Methode ist ein Kennwort Hanswurst123 bereits nach Deinen Vorstellungen für Admin User geeignet - Windows kann keinen Wörterbuchcheck und auch nur maximal 3 Zeichengruppen enforcen.

Soweit zunächst einmal.
Tezzla
Tezzla 06.04.2017 aktualisiert um 18:28:30 Uhr
Goto Top
Moin moin,

bei dem Thema gehen die Meinungen oft auseinander, weil sich zu komplexe Kennwörter/Änderungszyklen meist wieder als unsicher herausstellen (Klebezettel am PC zB).

Wir lösen das Ganze mit einem Mittelweg, fast Microsoft Standard, und einem zweiten Faktor, mit dem man auch "offline" Logins bis zu einem gewissen Grad abdecken kann.

So verhindert man die klassische Ablage der Kennwörter unter der Schreibtischablage oder im Container oder macht diese wertlos.

Wir haben damit gute Erfahrungen gemacht, setzt aber den Einsatz von Drittanbietersoftware (kostenpflichtig) und einem Token voraus.

Der administrative Aufwand mit Ausnahme der Einrichtung ist verschwindend gering bei einem sehr hohen Sicherheitsniveau.

Viele Grüße
T
108012
108012 06.04.2017 um 20:07:09 Uhr
Goto Top
Hallo,

wir nutzen bei uns für die Zeiterfassung, die Zugangskontrolle (Fluren und Räumen) und für die Kontakt lose PC-Anmeldung
mittels RFID Karte auf der das Passwort gespeichert ist. Die Vorteile liegen klar auf der Hand man muss sich gar kein Passwort
mehr merken und es wird nie wieder ein Passwort falsch eingegeben und zusätzlich kann einem bei der Eingabe auch keiner mehr
zusehen! Das Passwort wird einmal auf der RFID Karte hinterlegt und es können auch Karten nachbestellt werden! Die können auch
immer wieder neu beschrieben werden oder gesperrt werden bei einem Verlust. Und dafür kann man den kleinsten Kartenleser benutzen
und dann einfach anstecken und die Software installieren, sollte einmal etwas vorfallen, kann man natürlich immer noch per Eingabe das
Passwort über die Tastatur eingeben. ReinerSCT

Gruß
Dobby