Kennwort Komplexitätsvoraussetzungen ändern bzw. erhöhen

Hallo Leute,

ich müsste die Komplexitätsvoraussetzungen ändern bzw. erhöhen.
Wir haben bereits in den GPOs definiert dass jeder sein Kennwort nach 89 Tagen ändern muss,
dies funktioniert auch einwandfrei.

Wir haben nur ein kleines Problem die Komplexitätsvoraussetzungen ist erzwungen aber leider können die
User folgendes machen.

Beispiel:
Passwort1 ist Austria90+
dann wird der User zum ändern aufgefordert und dann wird sowas gewählt:
Passwort2 ist Austria90++ oder Austria91+

Ist es irgendwie möglich so gleiche Passwörter mit nur so einer kleinen Änderung im AD zu unterbinden?

Kurze Info noch wird verwenden Windows 10 bei den Clients und Windows Server2019 als Server,
es ist ein AD Service installiert.


Danke euch in Voraus!

bg
Daniel

Content-Key: 1327270078

Url: https://administrator.de/contentid/1327270078

Ausgedruckt am: 23.01.2022 um 04:01 Uhr

Mitglied: DerWoWusste
DerWoWusste 30.09.2021 um 13:26:00 Uhr
Goto Top
Hi.

Die Ähnlichkeitsprüfung ist mit Bordmitteln nicht möglich.
Dazu brauchst Du 3rd-Party-Software wie z.B. https://anixis.com/products/ppe/default.htm (recht faire Preise).
Mitglied: Doskias
Lösung Doskias 30.09.2021 um 13:35:08 Uhr
Goto Top
Moin,

DWW hat dir ja schon gesagt, dass es mit Boardmitteln nicht möglich ist. Du solltest aber die Richtlinie an sich überdenken. Schon seit längerem hat das BSI seine Einschätzung geändert und empfiehlt eben nicht das regelmäßige Ändern von Kennwörtern. Übrigens aus genau dem Grund, den du anführst. Das regelmäßige Ändern führt zu weicheren unsicheren Kennwörter.

Siehe:
https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich ...
https://mybusinessfuture.com/empfehlung-bsi-regelmaessiger-passwortwechs ...
https://www.datenschutz-guru.de/passwortwechsel-zwang/
https://passwort-manager.com/neue-empfehlung-des-bsi-passwoerter-nicht-m ...

Gruß
Doskias
Mitglied: DerWoWusste
DerWoWusste 30.09.2021 um 13:50:38 Uhr
Goto Top
Ich habe noch einen Vorschlag, der sich mit Bordmitteln umsetzen lässt, auch wenn er nichts mit Ähnlichkeitsprüfung zu tun hat: Stell Dir vor, du könntest eine Liste von Kennwörtern ausschließen (Millionen von Wörtern), z.B. die Listen von https://haveibeenpwned.com/Passwords (12,5 GB!), wobei Du die Listen beliebig erweitern könntest um Kennwörter, die Du in deinem Sprachraum für einfach erratbar hältst. Wäre das eine Idee?

Das hat jemand umgesetzt: https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelli ...
Mitglied: d.mayer
d.mayer 30.09.2021 um 14:35:37 Uhr
Goto Top
Danke schaue ich mir mal an eventuell mit 2 Faktor eine Lösung basteln.
Mitglied: DerWoWusste
DerWoWusste 30.09.2021 um 14:40:23 Uhr
Goto Top
Die 2-Faktor-Lösung der Wahl könnte sein "virtuelle SmartCard". Schau Dir https://administrator.de/tutorial/echte-2fa-mit-tpm-vsc-virtuelle-smartc ... an. Kostenlos.
Mitglied: d.mayer
d.mayer 30.09.2021 um 14:50:13 Uhr
Goto Top
danke
Mitglied: ukulele-7
ukulele-7 01.10.2021 um 08:29:18 Uhr
Goto Top
Das Problem bei der Sache wird sein das du den Frust der User zusätzlich in die Höhe treibst je besser deine Prüfung funktioniert. Das führt dann zwar zu völlig neuen Passwörtern (für deren Erstellung der User länger braucht), die dürften aber dennoch möglichst einfach aus fallen denn der User will sie sich merken können. Er wird einfach mehr Energie aufwenden um dieses Ziel zu erreichen.

Außerdem verwendet er vermutlich Passwörter an anderen Stellen um sie sich besser merken zu können.

Technisch müsstest du für so einen Vergleich zum vorhergehenden Passwort nicht nur den Hash sondern das Klartextpasswort hinterlegen. Das scheint mir angreifbar.
Heiß diskutierte Beiträge
general
Liste von URLs in wininet.dllFennek11Vor 1 TagAllgemeinInternet13 Kommentare

Hallo, die Frage ist zugleich enrsthaft und Satire: Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die ...

question
2 Faktor Authentifizierung generell abschaltenratzekahl1Vor 1 TagFrageGoogle Android9 Kommentare

Hallo zusammen, ich habe eine Frage: Kann ich in Google die 2 Faktor Authentifizierzung generell abschalten? Wenn ich ein Gerät als vertrauenswürdig hinzugefügt habe, ja, ...

question
Netzwerk Grafisch darstellen?FireWorldVor 1 TagFrageInternet8 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Fritz Repeater 1750E "verloren"reksierpVor 1 TagFrageHardware9 Kommentare

Hallo, ich habe ein 150 Jahre altes Haus (ehemaliger Dorf-Bahnhof), sehr verwinkelt, viele Räume, mit Anbau, 2 Kriech-Dachböden. Vor mehreren Jahren hab ich einige Repeater ...

question
Tablet-Display defekt: wie Zugriff auf DatenMahstarDVor 1 TagFrageGoogle Android6 Kommentare

Guten Abend, ich habe ein Tablet überreicht bekommen mit der Bitte um den Versuch einer Datenrettung. Tablet: Samsung Galaxy Tab-A (2016, SM-T585) Das Display ist ...

info
SonicWall Bootloop seit letzter NachtSt-AndreasVor 1 TagInformationFirewall2 Kommentare

Sonicwall Gen 7 spielen Bootloop seit letzter Nacht. Hilfe dazu hier ...

question
Verständnisproblem SubnettingKarolaVor 19 StundenFrageNetzwerkgrundlagen6 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...