d.mayer
Goto Top

Kennwort Komplexitätsvoraussetzungen ändern bzw. erhöhen

Hallo Leute,

ich müsste die Komplexitätsvoraussetzungen ändern bzw. erhöhen.
Wir haben bereits in den GPOs definiert dass jeder sein Kennwort nach 89 Tagen ändern muss,
dies funktioniert auch einwandfrei.

Wir haben nur ein kleines Problem die Komplexitätsvoraussetzungen ist erzwungen aber leider können die
User folgendes machen.

Beispiel:
Passwort1 ist Austria90+
dann wird der User zum ändern aufgefordert und dann wird sowas gewählt:
Passwort2 ist Austria90++ oder Austria91+

Ist es irgendwie möglich so gleiche Passwörter mit nur so einer kleinen Änderung im AD zu unterbinden?

Kurze Info noch wird verwenden Windows 10 bei den Clients und Windows Server2019 als Server,
es ist ein AD Service installiert.


Danke euch in Voraus!

bg
Daniel

Content-Key: 1327270078

Url: https://administrator.de/contentid/1327270078

Printed on: January 30, 2023 at 02:01 o'clock

Member: DerWoWusste
DerWoWusste Sep 30, 2021 at 11:26:00 (UTC)
Goto Top
Hi.

Die Ähnlichkeitsprüfung ist mit Bordmitteln nicht möglich.
Dazu brauchst Du 3rd-Party-Software wie z.B. https://anixis.com/products/ppe/default.htm (recht faire Preise).
Member: Doskias
Solution Doskias Sep 30, 2021 at 11:35:08 (UTC)
Goto Top
Moin,

DWW hat dir ja schon gesagt, dass es mit Boardmitteln nicht möglich ist. Du solltest aber die Richtlinie an sich überdenken. Schon seit längerem hat das BSI seine Einschätzung geändert und empfiehlt eben nicht das regelmäßige Ändern von Kennwörtern. Übrigens aus genau dem Grund, den du anführst. Das regelmäßige Ändern führt zu weicheren unsicheren Kennwörter.

Siehe:
https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich ...
https://mybusinessfuture.com/empfehlung-bsi-regelmaessiger-passwortwechs ...
https://www.datenschutz-guru.de/passwortwechsel-zwang/
https://passwort-manager.com/neue-empfehlung-des-bsi-passwoerter-nicht-m ...

Gruß
Doskias
Member: DerWoWusste
DerWoWusste Sep 30, 2021 at 11:50:38 (UTC)
Goto Top
Ich habe noch einen Vorschlag, der sich mit Bordmitteln umsetzen lässt, auch wenn er nichts mit Ähnlichkeitsprüfung zu tun hat: Stell Dir vor, du könntest eine Liste von Kennwörtern ausschließen (Millionen von Wörtern), z.B. die Listen von https://haveibeenpwned.com/Passwords (12,5 GB!), wobei Du die Listen beliebig erweitern könntest um Kennwörter, die Du in deinem Sprachraum für einfach erratbar hältst. Wäre das eine Idee?

Das hat jemand umgesetzt: https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelli ...
Member: d.mayer
d.mayer Sep 30, 2021 at 12:35:37 (UTC)
Goto Top
Danke schaue ich mir mal an eventuell mit 2 Faktor eine Lösung basteln.
Member: DerWoWusste
DerWoWusste Sep 30, 2021 at 12:40:23 (UTC)
Goto Top
Die 2-Faktor-Lösung der Wahl könnte sein "virtuelle SmartCard". Schau Dir https://administrator.de/tutorial/echte-2fa-mit-tpm-vsc-virtuelle-smartc ... an. Kostenlos.
Member: d.mayer
d.mayer Sep 30, 2021 at 12:50:13 (UTC)
Goto Top
danke
Member: ukulele-7
ukulele-7 Oct 01, 2021 at 06:29:18 (UTC)
Goto Top
Das Problem bei der Sache wird sein das du den Frust der User zusätzlich in die Höhe treibst je besser deine Prüfung funktioniert. Das führt dann zwar zu völlig neuen Passwörtern (für deren Erstellung der User länger braucht), die dürften aber dennoch möglichst einfach aus fallen denn der User will sie sich merken können. Er wird einfach mehr Energie aufwenden um dieses Ziel zu erreichen.

Außerdem verwendet er vermutlich Passwörter an anderen Stellen um sie sich besser merken zu können.

Technisch müsstest du für so einen Vergleich zum vorhergehenden Passwort nicht nur den Hash sondern das Klartextpasswort hinterlegen. Das scheint mir angreifbar.