85807
23.03.2011
8012
10
0
Pro und Contra von Kennwort läuft nie ab
Hallo
Es geht um die Frage was ihr grundsätzlich bei Firmen einstellt.
Dafür spricht natürlich die einfachheit dass die Leute nie ihr Passwort ändern müssen, dass es kein Problem darstellt wenn Aussendienstmitarbeiter auf OWA zugreifen müssen (Bei diesen ist es gründsätzlich immer aktiviert)
Das man sich als Administrator dan leichter tut auf Geräte zuzugreifen zu können wenn der User nicht verfügbar ist.
Dagegen spricht die geringe Sicherheit. Und?
Also was würdet ihr befürworten und es wäre toll wenn ihr dazu noch eine Begründung anführen würdet.
Hoffentlich spalte ich hier keine Religionen :D
mfg
Es geht um die Frage was ihr grundsätzlich bei Firmen einstellt.
Dafür spricht natürlich die einfachheit dass die Leute nie ihr Passwort ändern müssen, dass es kein Problem darstellt wenn Aussendienstmitarbeiter auf OWA zugreifen müssen (Bei diesen ist es gründsätzlich immer aktiviert)
Das man sich als Administrator dan leichter tut auf Geräte zuzugreifen zu können wenn der User nicht verfügbar ist.
Dagegen spricht die geringe Sicherheit. Und?
Also was würdet ihr befürworten und es wäre toll wenn ihr dazu noch eine Begründung anführen würdet.
Hoffentlich spalte ich hier keine Religionen :D
mfg
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 163218
Url: https://administrator.de/forum/pro-und-contra-von-kennwort-laeuft-nie-ab-163218.html
Ausgedruckt am: 11.04.2025 um 13:04 Uhr
10 Kommentare
Neuester Kommentar
Ich sehe die Option "Kennwort läuft nie ab" als großes Sicherheitsrisiko. Jedoch gilt es hierbei zu bedenken:
- um welche art von Account geht es hierbei?
- welche Zugriffe sind damit möglich?
Aus Sicherheitegründen verwende ich diese Einstellung aber nie, denn die Sicherheit eines Kennwortes hängt von folgenden Fakroten ab:
- Komplexität
- Länge
- häufiger Wechsel
- um welche art von Account geht es hierbei?
- welche Zugriffe sind damit möglich?
Aus Sicherheitegründen verwende ich diese Einstellung aber nie, denn die Sicherheit eines Kennwortes hängt von folgenden Fakroten ab:
- Komplexität
- Länge
- häufiger Wechsel
Hi,
ich kann TheJoker2305 nur zustimmen.
Wenn es um die einfachheit geht,
dann würde ich evt. überlegen auf Biometrie umsteigen.
Lg Grapper
ich kann TheJoker2305 nur zustimmen.
Wenn es um die einfachheit geht,
dann würde ich evt. überlegen auf Biometrie umsteigen.
Lg Grapper
Wenn ein Kennwort in die Hände eines anderen fällt (wie auch immer, am einfachsten sicherlich über shoulder surfing=bei der Eingabe auf die Finger schauen), kann es nur maximal für die Zeit bis zum nächsten Wechsel missbraucht werden. Auch verhinderst Du, dass Brute-Force-Angriffe ewig Zeit haben, ein KW zu knacken.
Kein wichtiges Kennwort sollte nie ablaufen.
Kein wichtiges Kennwort sollte nie ablaufen.
Ok.
Also User mit Administrativen Rechten und Aufgaben werde ich mal umstellen.
Was macht ihr bei normalen Usern, sprich Sekretärinnen oder Maschinene PCs. die einfach nur eine Software am Tag benutzten und gelegentlich was ausdrucken, aber auch hi und da surfen !?
P.s.:
Wenn ich die Optionen bei den Administrator auf einem SBS 2003 deaktivieren kann ich aber nicht den Zeitraum ändern wann es auslaufen soll. Dort bleibt immer "Nie" ausgewählt.
Oder sollte man dieses Kennwort doch nie auslaufen lassen!?
Also User mit Administrativen Rechten und Aufgaben werde ich mal umstellen.
Was macht ihr bei normalen Usern, sprich Sekretärinnen oder Maschinene PCs. die einfach nur eine Software am Tag benutzten und gelegentlich was ausdrucken, aber auch hi und da surfen !?
P.s.:
Wenn ich die Optionen bei den Administrator auf einem SBS 2003 deaktivieren kann ich aber nicht den Zeitraum ändern wann es auslaufen soll. Dort bleibt immer "Nie" ausgewählt.
Oder sollte man dieses Kennwort doch nie auslaufen lassen!?
Moin,
also bei der Fragestellung in Verbindung mit Deinen Ausführungen sträuben sich bei mir die Nackenhaare in nicht unerheblichem Umfang.
Also weil man erwachsenen Menschen nicht zumuten kann, sich ein Kennwort mit formgebundenem aber variablen Inhalt zu merken, geht man den Weg des geringsten Widerstandes und macht "ein Paßwort für alles und immer". Klasse, und wenn dann wirklich der unvorhersehbare Fall eintriit, daß dieses Paßwort bekannt wird, öffnet es einem potentiellen Angreifer Tür und Tor auf dem Rechner. Sollte dieser Rechner nun noch paßwortgestützten Zugriff auf anderen Anwendungen haben, möchte ich mir gar nicht erst ausmalen, was passiert, wenn der geneigte User aus "Einfachheit" dieses Paßwort auch noch für andere Anwendungen nutzt. Aber macht ja nichts, DU bist der Admin in dem Reich und damit verantwortlich für die Datensicherheit und -Integrität. Viel Vergnügen.
BTW: Was machst Du, wenn einer Deiner User eine sicherheitsrelevante Anwendung auf dem PC hat, und der auf einmal ein Problem mit veränderten Daten hat und zudem noch weiß, daß Du als Admin unbegrenzten Zugriff auf seinen Rechner hast? Jetzt weise mal nach, daß Du nicht an dem Rechner warst: Als Admin kannst Du ja auch Logs manipulieren oder gar löschen.
Gruß J
chem
(der das auch alles kann und grundsätzlich darf, sich dafür aber immer "von Oben" das OK holt und im Zweifelsfall sich als Admin auf dem Rechner anmeldet, so daß der User
a) merkt, daß jemand an dem Rechner war (Logon verändert)
b) ein anderes Paßwort bekommen hat, weil entsprechendes "von Oben" angeordnet wurde)
also bei der Fragestellung in Verbindung mit Deinen Ausführungen sträuben sich bei mir die Nackenhaare in nicht unerheblichem Umfang.
Dafür spricht natürlich die einfachheit dass die Leute nie ihr Passwort ändern müssen,
Bullshit, das ist ja wohl überhaupt kein Argument!dass es kein Problem darstellt wenn Aussendienstmitarbeiter auf OWA zugreifen müssen (Bei diesen ist es gründsätzlich immer aktiviert)
Super, ist genausowenig ein Argument und "grundsätzlich immer aktiviert" stellt natürlich überhaupt kein Sicherheitsrisiko dar bei Außendienst-MA!Das man sich als Administrator dan leichter tut auf Geräte zuzugreifen zu können wenn der User nicht verfügbar ist.
Da hast Du als Admin zunächst mal gar nichts dran verloren. Wenn das notwendig wird, hat die Hierarchieebene über Dir das zu veranlassen.Dagegen spricht die geringe Sicherheit. Und?
Und was? Reicht das als Argument nicht aus?Also weil man erwachsenen Menschen nicht zumuten kann, sich ein Kennwort mit formgebundenem aber variablen Inhalt zu merken, geht man den Weg des geringsten Widerstandes und macht "ein Paßwort für alles und immer". Klasse, und wenn dann wirklich der unvorhersehbare Fall eintriit, daß dieses Paßwort bekannt wird, öffnet es einem potentiellen Angreifer Tür und Tor auf dem Rechner. Sollte dieser Rechner nun noch paßwortgestützten Zugriff auf anderen Anwendungen haben, möchte ich mir gar nicht erst ausmalen, was passiert, wenn der geneigte User aus "Einfachheit" dieses Paßwort auch noch für andere Anwendungen nutzt. Aber macht ja nichts, DU bist der Admin in dem Reich und damit verantwortlich für die Datensicherheit und -Integrität. Viel Vergnügen.
BTW: Was machst Du, wenn einer Deiner User eine sicherheitsrelevante Anwendung auf dem PC hat, und der auf einmal ein Problem mit veränderten Daten hat und zudem noch weiß, daß Du als Admin unbegrenzten Zugriff auf seinen Rechner hast? Jetzt weise mal nach, daß Du nicht an dem Rechner warst: Als Admin kannst Du ja auch Logs manipulieren oder gar löschen.
Gruß J
chem(der das auch alles kann und grundsätzlich darf, sich dafür aber immer "von Oben" das OK holt und im Zweifelsfall sich als Admin auf dem Rechner anmeldet, so daß der User
a) merkt, daß jemand an dem Rechner war (Logon verändert)
b) ein anderes Paßwort bekommen hat, weil entsprechendes "von Oben" angeordnet wurde)
Moin,
Was unterscheidet einen User mit administrativen Rechten von einem ohne diese, wenn es um die Sicherheit geht? Nichts!
Gruß J chem
kann ich aber nicht den Zeitraum ändern wann es auslaufen soll.
Gibt es dan nicht so eine Routine "Kenwortablauf in x Tagen" aka GPO? Standard sind glaube ich 42 Tage.Was unterscheidet einen User mit administrativen Rechten von einem ohne diese, wenn es um die Sicherheit geht? Nichts!
Gruß J
chem
Auch Sekretärinnen finden es nicht lustig, wenn jemand Ihre Identität (=Kennwort) klaut und damit in ihrem Namen handelt (Dateien löscht, witzige Mails schreibt, Pornoseiten ansurft).
Hallo,
so viel Einigkeit im Forum ist schön. Sollte dem Fragesteller auch zu denken geben.
In der IT sehe ich das regelmäßige Ändern von PW als Pflichtübung. Nur die Frage, wie komplex das PW sein MUß sollte hier diskutiert werden. Der Haken mag für bestimmte Accounts (Gruppenaccounts = Bäh) ja recht nett sein, bei "normalen" Usern hat aber aber nicht aktiv zu sein. Wenn da etwas schief geht, kommt evtl. jemand noch auf die Idee, der Admin ist seiner Beratungsaufgabe nicht nachgekommen.
Bei Personen, die oft in Kundenkontakt stehen würde ich das PW sogar öfters ändern.
Grüße vom Peter
so viel Einigkeit im Forum ist schön. Sollte dem Fragesteller auch zu denken geben.
In der IT sehe ich das regelmäßige Ändern von PW als Pflichtübung. Nur die Frage, wie komplex das PW sein MUß sollte hier diskutiert werden. Der Haken mag für bestimmte Accounts (Gruppenaccounts = Bäh) ja recht nett sein, bei "normalen" Usern hat aber aber nicht aktiv zu sein. Wenn da etwas schief geht, kommt evtl. jemand noch auf die Idee, der Admin ist seiner Beratungsaufgabe nicht nachgekommen.
Bei Personen, die oft in Kundenkontakt stehen würde ich das PW sogar öfters ändern.
Grüße vom Peter
Hi Jungs,
ich möchte dieser Einigkeit im Forum mal entgegenwirken.
Für mich ist es überhaupt keine Pflichtübung mit dem regelmäßigen Wechsel des Kennwortes, obwohl, alle 3 Jahre ist ja auch regelmäßig.
Wenn überhaupt, dann ist der regelmäßige Wechsel der Kennwörter nur ein kleiner Teil einer Sicherheitsstruktur. Was bringt ein sehr häufiger Kennwortwechsel, wenn beim Verlassen des Arbeitsplatzes der Desktop nicht gesperrt wird (Richtlinie oder manuell).
Auch mache ich es von der jeweiligen Umgebung abhängig, ob die Kennwörter öfter gewechselt werden müssen oder nicht.
Das allein durch den Kennwortwechsel ein wirklicher Sicherheitsgewinn zu verzeichnen ist, möchte ich bezweifeln.
Ich kenne User, die Wechseln alle 90 Tage ihr Kennwort von 1-Wohnort auf 2-Wohnort und erfüllen damit die Voraussetzungen der Kennwortrichtlinie der Domäne
@dww
Sehr viel Zeit, um Schaden anzurichten.
BTW: over shoulder versuche ich fast vollständig zu vermeiden, da ich an den 3 von mir am häufigsten genutzten Geräten Fingerprintleser nutze. Dies dient aber mehr der Bequemlichkeit, da ich auf Grund meines ellenlangen und extrem komplexen Kennwortes sehr viele Tippfehler einbaue.
@muftypeter
PS: Ich habe es vorwiegend mit KMU zu tun, die in Sicherheitsfragen (leider) meist sehr wenig sensibilisiert sind ("Passwörter brauchen wir nicht, hier vertraut jeder jedem").
ich möchte dieser Einigkeit im Forum mal entgegenwirken.
Für mich ist es überhaupt keine Pflichtübung mit dem regelmäßigen Wechsel des Kennwortes, obwohl, alle 3 Jahre ist ja auch regelmäßig.
Wenn überhaupt, dann ist der regelmäßige Wechsel der Kennwörter nur ein kleiner Teil einer Sicherheitsstruktur. Was bringt ein sehr häufiger Kennwortwechsel, wenn beim Verlassen des Arbeitsplatzes der Desktop nicht gesperrt wird (Richtlinie oder manuell).
Auch mache ich es von der jeweiligen Umgebung abhängig, ob die Kennwörter öfter gewechselt werden müssen oder nicht.
Das allein durch den Kennwortwechsel ein wirklicher Sicherheitsgewinn zu verzeichnen ist, möchte ich bezweifeln.
Ich kenne User, die Wechseln alle 90 Tage ihr Kennwort von 1-Wohnort auf 2-Wohnort und erfüllen damit die Voraussetzungen der Kennwortrichtlinie der Domäne
@dww
Wenn ein Kennwort in die Hände eines anderen fällt (wie auch immer, am einfachsten sicherlich über shoulder surfing=bei der Eingabe auf die Finger schauen), kann es nur maximal für die Zeit bis zum nächsten Wechsel missbraucht werden.
Das kann mal schnell, trotz vorhandener Richtlinie zum Kennwortwechsel, bis zu 90 Tage sein.Sehr viel Zeit, um Schaden anzurichten.
BTW: over shoulder versuche ich fast vollständig zu vermeiden, da ich an den 3 von mir am häufigsten genutzten Geräten Fingerprintleser nutze. Dies dient aber mehr der Bequemlichkeit, da ich auf Grund meines ellenlangen und extrem komplexen Kennwortes sehr viele Tippfehler einbaue.
@muftypeter
Bei Personen, die oft in Kundenkontakt stehen würde ich das PW sogar öfters ändern.
Das ist auch zu pauschal. Ich habe bspw. sehr viel Kundenkontakt. Warum soll ich deshalb mein Kennwort öfter wechseln?PS: Ich habe es vorwiegend mit KMU zu tun, die in Sicherheitsfragen (leider) meist sehr wenig sensibilisiert sind ("Passwörter brauchen wir nicht, hier vertraut jeder jedem").
Moin moin,
Die Option "Kennwort läuft nie ab" sollte man sicher beim Admin einstellen, aber ansonsten sollte man von dem Häckchen die Finger lassen.
Zusätzlich sollte es gewisse Kompexitätsregeln einhalten. Ich habe es bei uns vor drei Jahren eingeführt (und es gab viel Murren) aber wenn man den Usern die richtigen Argumente mitteilt (Datenschutzprüfung durch BSI, da gehört es nämlich zu den Checkpunkten) dann spielen die User auch mit. (Wichtig hierbei, hart bleiben, keine Ausnahmen)
Nach 3 Monaten hatte sich alles eingependelt und seit dem läuft es richtig gut. Wichtig hierbei ist auch, die Kennwortchronik mit einzuschalten und auf mindestens 3-6 zu setzen. Kennwortalter ist gem. BSI meines Wissens max 90 Tage. Bei uns sind es 60 und trotzdem kein Murren mehr^^
LG
Trixter
Die Option "Kennwort läuft nie ab" sollte man sicher beim Admin einstellen, aber ansonsten sollte man von dem Häckchen die Finger lassen.
Zusätzlich sollte es gewisse Kompexitätsregeln einhalten. Ich habe es bei uns vor drei Jahren eingeführt (und es gab viel Murren) aber wenn man den Usern die richtigen Argumente mitteilt (Datenschutzprüfung durch BSI, da gehört es nämlich zu den Checkpunkten) dann spielen die User auch mit. (Wichtig hierbei, hart bleiben, keine Ausnahmen)
Nach 3 Monaten hatte sich alles eingependelt und seit dem läuft es richtig gut. Wichtig hierbei ist auch, die Kennwortchronik mit einzuschalten und auf mindestens 3-6 zu setzen. Kennwortalter ist gem. BSI meines Wissens max 90 Tage. Bei uns sind es 60 und trotzdem kein Murren mehr^^
LG
Trixter
