7
Kennwort Komplexitätsvoraussetzungen ändern bzw. erhöhen
Hallo Leute,
ich müsste die Komplexitätsvoraussetzungen ändern bzw. erhöhen.
Wir haben bereits in den GPOs definiert dass jeder sein Kennwort nach 89 Tagen ändern muss,
dies funktioniert auch einwandfrei.
Wir haben nur ein kleines Problem die Komplexitätsvoraussetzungen ist erzwungen aber leider können die
User folgendes machen.
Beispiel:
Passwort1 ist Austria90+
dann wird der User zum ändern aufgefordert und dann wird sowas gewählt:
Passwort2 ist Austria90++ oder Austria91+
Ist es irgendwie möglich so gleiche Passwörter mit nur so einer kleinen Änderung im AD zu unterbinden?
Kurze Info noch wird verwenden Windows 10 bei den Clients und Windows Server2019 als Server,
es ist ein AD Service installiert.
Danke euch in Voraus!
bg
Daniel
ich müsste die Komplexitätsvoraussetzungen ändern bzw. erhöhen.
Wir haben bereits in den GPOs definiert dass jeder sein Kennwort nach 89 Tagen ändern muss,
dies funktioniert auch einwandfrei.
Wir haben nur ein kleines Problem die Komplexitätsvoraussetzungen ist erzwungen aber leider können die
User folgendes machen.
Beispiel:
Passwort1 ist Austria90+
dann wird der User zum ändern aufgefordert und dann wird sowas gewählt:
Passwort2 ist Austria90++ oder Austria91+
Ist es irgendwie möglich so gleiche Passwörter mit nur so einer kleinen Änderung im AD zu unterbinden?
Kurze Info noch wird verwenden Windows 10 bei den Clients und Windows Server2019 als Server,
es ist ein AD Service installiert.
Danke euch in Voraus!
bg
Daniel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 1327270078
Url: https://administrator.de/contentid/1327270078
Ausgedruckt am: 04.05.2024 um 07:05 Uhr
7 Kommentare
Neuester Kommentar
Hi.
Die Ähnlichkeitsprüfung ist mit Bordmitteln nicht möglich.
Dazu brauchst Du 3rd-Party-Software wie z.B. https://anixis.com/products/ppe/default.htm (recht faire Preise).
Die Ähnlichkeitsprüfung ist mit Bordmitteln nicht möglich.
Dazu brauchst Du 3rd-Party-Software wie z.B. https://anixis.com/products/ppe/default.htm (recht faire Preise).
Moin,
DWW hat dir ja schon gesagt, dass es mit Boardmitteln nicht möglich ist. Du solltest aber die Richtlinie an sich überdenken. Schon seit längerem hat das BSI seine Einschätzung geändert und empfiehlt eben nicht das regelmäßige Ändern von Kennwörtern. Übrigens aus genau dem Grund, den du anführst. Das regelmäßige Ändern führt zu weicheren unsicheren Kennwörter.
Siehe:
https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich ...
https://mybusinessfuture.com/empfehlung-bsi-regelmaessiger-passwortwechs ...
https://www.datenschutz-guru.de/passwortwechsel-zwang/
https://passwort-manager.com/neue-empfehlung-des-bsi-passwoerter-nicht-m ...
Gruß
Doskias
DWW hat dir ja schon gesagt, dass es mit Boardmitteln nicht möglich ist. Du solltest aber die Richtlinie an sich überdenken. Schon seit längerem hat das BSI seine Einschätzung geändert und empfiehlt eben nicht das regelmäßige Ändern von Kennwörtern. Übrigens aus genau dem Grund, den du anführst. Das regelmäßige Ändern führt zu weicheren unsicheren Kennwörter.
Siehe:
https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich ...
https://mybusinessfuture.com/empfehlung-bsi-regelmaessiger-passwortwechs ...
https://www.datenschutz-guru.de/passwortwechsel-zwang/
https://passwort-manager.com/neue-empfehlung-des-bsi-passwoerter-nicht-m ...
Gruß
Doskias
Ich habe noch einen Vorschlag, der sich mit Bordmitteln umsetzen lässt, auch wenn er nichts mit Ähnlichkeitsprüfung zu tun hat: Stell Dir vor, du könntest eine Liste von Kennwörtern ausschließen (Millionen von Wörtern), z.B. die Listen von https://haveibeenpwned.com/Passwords (12,5 GB!), wobei Du die Listen beliebig erweitern könntest um Kennwörter, die Du in deinem Sprachraum für einfach erratbar hältst. Wäre das eine Idee?
Das hat jemand umgesetzt: https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelli ...
Das hat jemand umgesetzt: https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelli ...
Danke schaue ich mir mal an eventuell mit 2 Faktor eine Lösung basteln.
Die 2-Faktor-Lösung der Wahl könnte sein "virtuelle SmartCard". Schau Dir Echte 2FA mit TPM-VSC (virtuelle Smartcards) an. Kostenlos.
danke
Das Problem bei der Sache wird sein das du den Frust der User zusätzlich in die Höhe treibst je besser deine Prüfung funktioniert. Das führt dann zwar zu völlig neuen Passwörtern (für deren Erstellung der User länger braucht), die dürften aber dennoch möglichst einfach aus fallen denn der User will sie sich merken können. Er wird einfach mehr Energie aufwenden um dieses Ziel zu erreichen.
Außerdem verwendet er vermutlich Passwörter an anderen Stellen um sie sich besser merken zu können.
Technisch müsstest du für so einen Vergleich zum vorhergehenden Passwort nicht nur den Hash sondern das Klartextpasswort hinterlegen. Das scheint mir angreifbar.
Außerdem verwendet er vermutlich Passwörter an anderen Stellen um sie sich besser merken zu können.
Technisch müsstest du für so einen Vergleich zum vorhergehenden Passwort nicht nur den Hash sondern das Klartextpasswort hinterlegen. Das scheint mir angreifbar.
