Regelmäßige Änderungen der Passwörter erhöhen wirklich die Sicherheit?
Guten Abend zusammen,
genau die Frage stelle ich mir. Erhöht es tatsächlich den Sicherheitsfaktor, wenn die Passwörter regelmäßig geändert werden, obwohl z.B. zwischen zwei Passwörtern gewechselt wird?
Benutzer 1 hat z.B. als Benutzerpasswort: Bluemchen1856 und als zweites Passwort für Programm XY: Alice2018. Nach Ablauf der Frist werden die Passwörter 1:1 getauscht und eventuell jeweils die Zahl um eins erhöht.
Unabhängig davon, dass es kein Pleasent Password Server wie z.B. Keepass oder sonstiges gibt, bei dem Passwörter, wie z.B. Hzdshdjf&%!!#dskjafhdu generiert werden können, die sich keiner merken kann, stell ich mir die Frage, ob die Passwörter wirklich geändert werden sollten.
Im Netz lese aktuelle Artikel aus 2020 die sagen, nein. Wiederum ältere Artikel -> ja.
LG
AS.
genau die Frage stelle ich mir. Erhöht es tatsächlich den Sicherheitsfaktor, wenn die Passwörter regelmäßig geändert werden, obwohl z.B. zwischen zwei Passwörtern gewechselt wird?
Benutzer 1 hat z.B. als Benutzerpasswort: Bluemchen1856 und als zweites Passwort für Programm XY: Alice2018. Nach Ablauf der Frist werden die Passwörter 1:1 getauscht und eventuell jeweils die Zahl um eins erhöht.
Unabhängig davon, dass es kein Pleasent Password Server wie z.B. Keepass oder sonstiges gibt, bei dem Passwörter, wie z.B. Hzdshdjf&%!!#dskjafhdu generiert werden können, die sich keiner merken kann, stell ich mir die Frage, ob die Passwörter wirklich geändert werden sollten.
Im Netz lese aktuelle Artikel aus 2020 die sagen, nein. Wiederum ältere Artikel -> ja.
LG
AS.
Please also mark the comments that contributed to the solution of the article
Content-ID: 606617
Url: https://administrator.de/contentid/606617
Printed on: December 2, 2024 at 20:12 o'clock
29 Comments
Latest comment
Moin,
Das BSI empfiehlt mittlerweile eindeutig, keine zyklischen Passwortwechsel mehr anzuordnen, dafür die Kennwörter hinsichtlich der Komplexität abzusichern.
Alles aus den von dir genannten Gründen.
https://www.google.de/amp/s/www.heise.de/amp/meldung/Passwoerter-BSI-ver ...
Gruß
em-pie
Das BSI empfiehlt mittlerweile eindeutig, keine zyklischen Passwortwechsel mehr anzuordnen, dafür die Kennwörter hinsichtlich der Komplexität abzusichern.
Alles aus den von dir genannten Gründen.
https://www.google.de/amp/s/www.heise.de/amp/meldung/Passwoerter-BSI-ver ...
Gruß
em-pie
Moin,
"Zwangsänderungen" sind kontraproduktiv. Aber jahrelang dasselbe Paßwort zu recyclen ist auch nicht das Gelbe vom Ei. Sinnvoll ist Paßwörter zu wählen deren Entropie der Anwendung angemessen ist und je nach Gefahrenlage (oder Mitarbeiterwechsel) diese zu ändern.
lks
PS. Tipp zur Entropie von Paßwörtern.
"Zwangsänderungen" sind kontraproduktiv. Aber jahrelang dasselbe Paßwort zu recyclen ist auch nicht das Gelbe vom Ei. Sinnvoll ist Paßwörter zu wählen deren Entropie der Anwendung angemessen ist und je nach Gefahrenlage (oder Mitarbeiterwechsel) diese zu ändern.
lks
PS. Tipp zur Entropie von Paßwörtern.
Moin,
der ursprüngliche Erfinder der klassischen Passwortregeln (keine Lust, den Namen nachzuschlagen ) hat sich dazu vor nicht allzu langer Zeit wieder geäußert. Er hat seine eigenen Regeln als unsinnig, zu kompliziert und unsicher bezeichnet. Das betrifft alle klassischen Regeln inkl. der Regel, dass regelmäßig gewechselt werden soll. Es hat sich gezeigt, dass diese Regeln zu Passwörtern wie Abcd1234$ führen, die ja den Regeln formal entsprechen, aber dennoch sehr leicht zu erraten sind. Sein neuer Vorschlag lautet:
Auf jeden Fall lang. Je mehr Zeichen, desto besser.
Drei bis vier zusammenhanglose Wörter. Zusammenhanglos untereinander aber auch z. B. mit der Beschäftigung oder dem Privatleben des Users.
Eine solche Passphrase könnte also z. B. so aussehen:
oder
Daraus ließe sich sogar ein Merksatz bilden, den man sich leicht merken kann:
oder
Wer dann immer noch Sonderzeichen und Ziffern drin haben will, kann ja weiterhin
schreiben.
Ich halte diesen Ansatz für richtig und viel sicherer als das Bisherige. Was ich schon so an Passwörtern gesehen habe, die formal den Regeln entsprechen, ist alles andere als sicher. Da sieht man dann durchaus auch mal sowas:
Userin heißt Angelika (frei erfunden) und das Passwort lautet @ng3l1k@_01. Sieht auf den ersten Blick richtig stark aus und kriegt mit Sicherheit auch immer einen grünen Balken. Aber genauer betrachtet ...
my 2 cents
Liebe Grüße
Erik
der ursprüngliche Erfinder der klassischen Passwortregeln (keine Lust, den Namen nachzuschlagen ) hat sich dazu vor nicht allzu langer Zeit wieder geäußert. Er hat seine eigenen Regeln als unsinnig, zu kompliziert und unsicher bezeichnet. Das betrifft alle klassischen Regeln inkl. der Regel, dass regelmäßig gewechselt werden soll. Es hat sich gezeigt, dass diese Regeln zu Passwörtern wie Abcd1234$ führen, die ja den Regeln formal entsprechen, aber dennoch sehr leicht zu erraten sind. Sein neuer Vorschlag lautet:
Auf jeden Fall lang. Je mehr Zeichen, desto besser.
Drei bis vier zusammenhanglose Wörter. Zusammenhanglos untereinander aber auch z. B. mit der Beschäftigung oder dem Privatleben des Users.
Eine solche Passphrase könnte also z. B. so aussehen:
Mondrakete Katze Bierkrug
oder
Pizzabäcker Schweißfuß Fensterglas
Daraus ließe sich sogar ein Merksatz bilden, den man sich leicht merken kann:
Die Katze flog mit der Mondrakete in den Bierkrug.
oder
Der Pizzabäcker hat so starke Schweißfüße, da beschlägt sogar das Fensterglas.
Wer dann immer noch Sonderzeichen und Ziffern drin haben will, kann ja weiterhin
M0ndr@k3t3 K@tz3 B13rkrüg
schreiben.
Ich halte diesen Ansatz für richtig und viel sicherer als das Bisherige. Was ich schon so an Passwörtern gesehen habe, die formal den Regeln entsprechen, ist alles andere als sicher. Da sieht man dann durchaus auch mal sowas:
Userin heißt Angelika (frei erfunden) und das Passwort lautet @ng3l1k@_01. Sieht auf den ersten Blick richtig stark aus und kriegt mit Sicherheit auch immer einen grünen Balken. Aber genauer betrachtet ...
my 2 cents
Liebe Grüße
Erik
Du schreibst zweimal das gleiche Wort in verschiedenen Glyphen hin und behauptest das würde stark aussehen? Ich sehe da immer noch das gleiche Wort, auch auf den ersten Blick.
lks
Zitat von @Lochkartenstanzer:
Du schreibst zweimal das gleiche Wort in verschiedenen Glyphen hin und behauptest das würde stark aussehen? Ich sehe da immer noch das gleiche Wort, auch auf den ersten Blick.
Du schreibst zweimal das gleiche Wort in verschiedenen Glyphen hin und behauptest das würde stark aussehen? Ich sehe da immer noch das gleiche Wort, auch auf den ersten Blick.
Naja, das sieht nur dann stark aus, wenn man nicht weiß, dass sie Angelika heißt. Oder anders: Es ist nur formal stark aber nicht real.
Es ist da doch nich schwer sich das selbst herzuleiten. Nehmen wir an das du - natürlich ohne Passwort-Manager - von mir die Vorgabe bekommst das dein Passwort min. 20 Zeichen haben soll, kein Wörterbuch-Wort, 5 Sonderzeichen, 3 Zahlen und natürlich kleine und grosse Buchstaben. Was wirst du also tun? Entweder dir die normalen Ersetzungen schnappen (3 = E,...) oder einfach das Passwort auf nen Zettel schreiben und beim Rechner hinlegen - fertig... (Und klar - mir is schon bekannt das hier jetzt die Experten kommen und sagen das die natürlich diese Passwörter immer im Kopf haben ...)
Von daher brauchst du dir nur die Frage stellen - was ist Sicherer - ein Passwort „abc1234“ oder ein Passwort was der Benutzer direkt am Monitor kleben hat (ggf. sogar in nem öffentlichen Bereich).
Von daher brauchst du dir nur die Frage stellen - was ist Sicherer - ein Passwort „abc1234“ oder ein Passwort was der Benutzer direkt am Monitor kleben hat (ggf. sogar in nem öffentlichen Bereich).
Moin,
Oder ich mache das hier, was ich mir auch problemlos merken kann:
XszS:"Dbswb." Es:"BDDsd?" EgnhaPusabF.123
Geht alles, wenn man nur will.
Liebe Grüße
Erik
Zitat von @maretz:
Es ist da doch nich schwer sich das selbst herzuleiten. Nehmen wir an das du - natürlich ohne Passwort-Manager - von mir die Vorgabe bekommst das dein Passwort min. 20 Zeichen haben soll, kein Wörterbuch-Wort, 5 Sonderzeichen, 3 Zahlen und natürlich kleine und grosse Buchstaben. Was wirst du also tun? Entweder dir die normalen Ersetzungen schnappen (3 = E,...) oder einfach das Passwort auf nen Zettel schreiben und beim Rechner hinlegen - fertig... (Und klar - mir is schon bekannt das hier jetzt die Experten kommen und sagen das die natürlich diese Passwörter immer im Kopf haben ...)
Es ist da doch nich schwer sich das selbst herzuleiten. Nehmen wir an das du - natürlich ohne Passwort-Manager - von mir die Vorgabe bekommst das dein Passwort min. 20 Zeichen haben soll, kein Wörterbuch-Wort, 5 Sonderzeichen, 3 Zahlen und natürlich kleine und grosse Buchstaben. Was wirst du also tun? Entweder dir die normalen Ersetzungen schnappen (3 = E,...) oder einfach das Passwort auf nen Zettel schreiben und beim Rechner hinlegen - fertig... (Und klar - mir is schon bekannt das hier jetzt die Experten kommen und sagen das die natürlich diese Passwörter immer im Kopf haben ...)
Oder ich mache das hier, was ich mir auch problemlos merken kann:
XszS:"Dbswb." Es:"BDDsd?" EgnhaPusabF.123
Geht alles, wenn man nur will.
Liebe Grüße
Erik
Moin
Mal ne Frage dazu: Wie zwingt Ihr eure Benutzer, sichere Kennwörter zu verwenden?
Problem: Ich aktiviere die Komplexität in der Domäne, schalte den Ablauf aus und ein Benutzer kann dann z.B. jahrelang ein Kennwort wie Hamburg2020 verwenden. Sicher ist das ja nun mal eher nicht.
Die Empfehlung heißt ja inzwischen, mal solle das zwangsweise Ändern deaktivieren und die Benutzer sollen sichere Kennwörter benutzen. Was aber Windows von Haus aus nun einmal nicht her gibt. Die Komplexität ist ja eher ein Witz.
Setzt Ihr dafür 3rd-Party-Toools ein, vertraut Ihr darauf, dass die Benutzer schon gute Kennwörter nehmen werden oder was macht ihr???
Gruß
Mal ne Frage dazu: Wie zwingt Ihr eure Benutzer, sichere Kennwörter zu verwenden?
Problem: Ich aktiviere die Komplexität in der Domäne, schalte den Ablauf aus und ein Benutzer kann dann z.B. jahrelang ein Kennwort wie Hamburg2020 verwenden. Sicher ist das ja nun mal eher nicht.
Die Empfehlung heißt ja inzwischen, mal solle das zwangsweise Ändern deaktivieren und die Benutzer sollen sichere Kennwörter benutzen. Was aber Windows von Haus aus nun einmal nicht her gibt. Die Komplexität ist ja eher ein Witz.
Setzt Ihr dafür 3rd-Party-Toools ein, vertraut Ihr darauf, dass die Benutzer schon gute Kennwörter nehmen werden oder was macht ihr???
Gruß
Warum wusste ich das sowas kommt... Klar, wenn man WILL geht alles... genauso wie dir der Buchhalter der Firma vermutlich locker die 10 Kontonummern runterbeten kann, die Person am Empfang alle Durchwahlen im Kopf hat usw... Ich kenne Leute die merken sich über Nacht mal eben 150-200 Personennamen (im Hotelgewerbe) von Gästen die 1-2 Wochen da sind und sprechen die am nächsten Tag schon mit korrektem Namen an (und wissen so wie bei mir bereits wenn die mich nur sehen wie ich meinen Kaffee gerne mag). Wenn man WILL geht alles - aber genauso wie ich mir sicher nich an einem Tag 100 Namen merken könnte (sind ja auch Paare bei, das machts einfacher - wenn man dann weiss wer zu wem gehört) so wollen die sich eben keine Passwörter mit x Zeichen merken... Mit dem Unterschied: DIE können sich eben das Passwort am Monitor kleben - ich kenne verhältnismässig wenig Gäste die es akzeptieren würden wenn ich denen nen Post-It auf die Stirn klebe...
Zitat von @Hubert.N:
Mal ne Frage dazu: Wie zwingt Ihr eure Benutzer, sichere Kennwörter zu verwenden?
Mal ne Frage dazu: Wie zwingt Ihr eure Benutzer, sichere Kennwörter zu verwenden?
Paßwortcracker mitlaufen lassen und wenn der fündig wird, muß der User sein Paßwort ändern. Wenn das zu oft passiert, kommt Cat9 bei diesem User zum Einsatz.
lks
Hi
grundsätzlich muss man hier zwischen 2 Dingen unterscheiden:
Sicheres Passwort als Absicherung gegen simples Raten\Brutforcen\SocialEngineering beim Login. Hier ist "Sicher": Kein einfaches Wort, kein Passwort aus dem eigenen Leben, wie der Name des Kindes, Geburtsdatum etc.
Der Sinn ist simpel: Passwordspraying, stumpfes Bruteforcing, und SocialEngineering verhindern.
Das andere ist: Verhindern von Bruteforcing des Passworthashes. Wenn man das gleiche Passwort an mehreren Diensten verwendet und einer der Dienste gehacked wird, dann tragen die Hacker da im worstcase das klartextkennwort raus oder im best-case ein gehashtes + gesaltetes Passwort. Um an das richtige Kennwort zu kommen hilft da dann nur Bruteforcing. Alles bis 8 Zeichen ist quasi Sofort bis spätestens nach einem Tag entschlüsselt worden. Mit jedem Zeichen mehr steigt die Zeit massiv an. Am Ende ist aber jedes Passwort crackbar. Das heist auf deutsch: Je länger desto besser.
Auf deine Frage selbst gibt es nur eine Antwort:
OHNE 2FA: Regelmäßige Passwortänderungen helfen durchaus. Sinnvoller ist allerdings den User aufzuklären: Nutze dein Geschäftliches Kennwort nur für den Geschäftsaccount. Niemals bei irgendeinem anderen Dienst im Internet. Je länger das Kennwort, desto sicherer.
MIT 2FA: Ist eine "anlasslose" Passwortänderung nahezu unsinnig. Am besten die eigenen Passwörter gegen "known passwords" checken und beim Verdacht auf komprommitierung eines Users das Kennwort ändern.
grundsätzlich muss man hier zwischen 2 Dingen unterscheiden:
Sicheres Passwort als Absicherung gegen simples Raten\Brutforcen\SocialEngineering beim Login. Hier ist "Sicher": Kein einfaches Wort, kein Passwort aus dem eigenen Leben, wie der Name des Kindes, Geburtsdatum etc.
Der Sinn ist simpel: Passwordspraying, stumpfes Bruteforcing, und SocialEngineering verhindern.
Das andere ist: Verhindern von Bruteforcing des Passworthashes. Wenn man das gleiche Passwort an mehreren Diensten verwendet und einer der Dienste gehacked wird, dann tragen die Hacker da im worstcase das klartextkennwort raus oder im best-case ein gehashtes + gesaltetes Passwort. Um an das richtige Kennwort zu kommen hilft da dann nur Bruteforcing. Alles bis 8 Zeichen ist quasi Sofort bis spätestens nach einem Tag entschlüsselt worden. Mit jedem Zeichen mehr steigt die Zeit massiv an. Am Ende ist aber jedes Passwort crackbar. Das heist auf deutsch: Je länger desto besser.
Auf deine Frage selbst gibt es nur eine Antwort:
OHNE 2FA: Regelmäßige Passwortänderungen helfen durchaus. Sinnvoller ist allerdings den User aufzuklären: Nutze dein Geschäftliches Kennwort nur für den Geschäftsaccount. Niemals bei irgendeinem anderen Dienst im Internet. Je länger das Kennwort, desto sicherer.
MIT 2FA: Ist eine "anlasslose" Passwortänderung nahezu unsinnig. Am besten die eigenen Passwörter gegen "known passwords" checken und beim Verdacht auf komprommitierung eines Users das Kennwort ändern.
Und hier die Auflösung:
Xantippe sprach zu Sokrates: "Du bist schon wieder blau." Er sprach:"Bist Du Dir [im Original "auch" statt "Dir"] sicher des?" Er gilt noch heut als Philosoph und sie als böse Frau. (Bertolt Brecht aus dem Gedicht Alfabet)
Genau, es geht. Das geht aber nur, wenn man es den Leuten erklärt und ihnen mehrere Modelle anbietet, sich solche Passwörter zu erstellen und auch zu merken.
Moin,
Fast gar nicht. Erzwungene Maßnahmen werden umgangen. Verstandene Maßnahmen werden eingehalten. Ich würde am liebsten alle Vorgaben außer die Länge abschalten. Die Länge dafür auf 20 Zeichen erhöhen und das neue von mir oben genannte Modell schulen. Wir setzen vor allem auf Aufklärung und Sensibilisierung. Das funktioniert auch sehr gut. Sehr viel besser als Zwangsmaßnahmen, die dann wieder zu @ng3l1k@ führen. Und ich sehe auch, dass das wirkt. Die Passwörter werden immer länger und damit per se erst einmal besser.
Liebe Grüße
Erik
Zitat von @Hubert.N:
Mal ne Frage dazu: Wie zwingt Ihr eure Benutzer, sichere Kennwörter zu verwenden?
Mal ne Frage dazu: Wie zwingt Ihr eure Benutzer, sichere Kennwörter zu verwenden?
Fast gar nicht. Erzwungene Maßnahmen werden umgangen. Verstandene Maßnahmen werden eingehalten. Ich würde am liebsten alle Vorgaben außer die Länge abschalten. Die Länge dafür auf 20 Zeichen erhöhen und das neue von mir oben genannte Modell schulen. Wir setzen vor allem auf Aufklärung und Sensibilisierung. Das funktioniert auch sehr gut. Sehr viel besser als Zwangsmaßnahmen, die dann wieder zu @ng3l1k@ führen. Und ich sehe auch, dass das wirkt. Die Passwörter werden immer länger und damit per se erst einmal besser.
Liebe Grüße
Erik
Moin,
Wie massiv, zeigt eine kleine Rechnung. Wir haben, wenn ich mich nicht verzählt habe, 92 Zeichen auf der Tastatur. Also ist die Anzahl der Möglichkeiten 92^zeichenanzahl. Das macht bei vier Zeichen gerade mal 71.639.296. Wenn wir mal davon ausgehen, dass wir in einer Millisekunde zehn Kombinationen ausprobieren können, sind wir nach knapp zwei Stunden fertig und haben im Schnitt nach knapp einer Stunde einen Treffer. Bei sechs Zeichen sind es 606.355.001.344 und wir brauchen schon knapp zwei Jahre bzw. im Schnitt eins für einen Treffer. Bei acht sind es dann gigantische 5.132.188.731.375.620 oder 8131 Jahre für den durchschnittlichen Treffer. Bei zwanzig sind es 2,98967E+27 Jahre für den durchschnittlichen Treffer.
Das sind jetzt die Zahlen für einen wirklichen brute force Angriff. Aber so brute sind wir nicht. Du sagst ja, dass Du alles bis 8 Zeichen an einem Tag knackst. Dann brauchst Du aber für neun schon 92 Tage und für zehn ganze 23 Jahre. Bei elf bin ich schon auf der sicheren Seite. Das sind dann schon wieder 2133 Jahre. Dann sind meine Mails allenfalls noch von historischem Interesse. Aber die Rechner werden ja immer schneller. Habe ich aber 20, dann sind es nach heutigem Stand, wenn Du recht hast mit 8 Zeichen an einem Tag, schlappe 1*10E21 Jahre. Das reicht für ein paar Rechnergenerationen als Puffer.
Daran sieht man aber, um mal auf das Ausgangsthema zurück zu kommen, dass wenn die Passwörter dem anderen Kriterium, das Du genannt hast, entsprechen und lang genug sind, nie geändert werden müssen. Das macht sie nicht sicherer.
Liebe Grüße
Erik
Zitat von @SeaStorm:
Alles bis 8 Zeichen ist quasi Sofort bis spätestens nach einem Tag entschlüsselt worden. Mit jedem Zeichen mehr steigt die Zeit massiv an. Am Ende ist aber jedes Passwort crackbar. Das heist auf deutsch: Je länger desto besser.
Alles bis 8 Zeichen ist quasi Sofort bis spätestens nach einem Tag entschlüsselt worden. Mit jedem Zeichen mehr steigt die Zeit massiv an. Am Ende ist aber jedes Passwort crackbar. Das heist auf deutsch: Je länger desto besser.
Wie massiv, zeigt eine kleine Rechnung. Wir haben, wenn ich mich nicht verzählt habe, 92 Zeichen auf der Tastatur. Also ist die Anzahl der Möglichkeiten 92^zeichenanzahl. Das macht bei vier Zeichen gerade mal 71.639.296. Wenn wir mal davon ausgehen, dass wir in einer Millisekunde zehn Kombinationen ausprobieren können, sind wir nach knapp zwei Stunden fertig und haben im Schnitt nach knapp einer Stunde einen Treffer. Bei sechs Zeichen sind es 606.355.001.344 und wir brauchen schon knapp zwei Jahre bzw. im Schnitt eins für einen Treffer. Bei acht sind es dann gigantische 5.132.188.731.375.620 oder 8131 Jahre für den durchschnittlichen Treffer. Bei zwanzig sind es 2,98967E+27 Jahre für den durchschnittlichen Treffer.
Das sind jetzt die Zahlen für einen wirklichen brute force Angriff. Aber so brute sind wir nicht. Du sagst ja, dass Du alles bis 8 Zeichen an einem Tag knackst. Dann brauchst Du aber für neun schon 92 Tage und für zehn ganze 23 Jahre. Bei elf bin ich schon auf der sicheren Seite. Das sind dann schon wieder 2133 Jahre. Dann sind meine Mails allenfalls noch von historischem Interesse. Aber die Rechner werden ja immer schneller. Habe ich aber 20, dann sind es nach heutigem Stand, wenn Du recht hast mit 8 Zeichen an einem Tag, schlappe 1*10E21 Jahre. Das reicht für ein paar Rechnergenerationen als Puffer.
Daran sieht man aber, um mal auf das Ausgangsthema zurück zu kommen, dass wenn die Passwörter dem anderen Kriterium, das Du genannt hast, entsprechen und lang genug sind, nie geändert werden müssen. Das macht sie nicht sicherer.
Liebe Grüße
Erik
Zitat von @erikro:
Wenn wir mal davon ausgehen, dass wir in einer Millisekunde zehn Kombinationen ausprobieren können,
Eine Nvidia 2080ti macht etwa 80-90 Mio NTLM Hashes pro Sekunde! (das was z.B Windows zum hashen der Kennwörter noch immer verwendet)Wenn wir mal davon ausgehen, dass wir in einer Millisekunde zehn Kombinationen ausprobieren können,
Sha1 etwa 1,3 Mrd
Ein typisches Cracking-Rig, was viele organisierte Cracker(Banden) haben, hat 8 von denen
Was der Grund ist warum verantwortingsvolle Admins NTLM "abschalten".
lks
Wenn man in der Produktion nicht grad noch XP Gurken stehen hat
Alles ab Windows 2000 kann Kerberos
Moin,
eine Empfehlung wäre der Einsatz der HIBP-Daten die einen Abgleich gegen dein AD erlauben. Damit wirst du schon mal einiges los, was ohnehin schon bekannt ist.
https://cybersectalk.com/2019/08/19/active-directory-password-audit-usin ...
Als nächstes ist es natürlich zu empfehlen die Passwort Komplexität zu organisieren. Das funktioniert am Sinnvollsten über Hooking in die password filter DLLs:
https://docs.microsoft.com/en-us/windows/win32/secmgmt/password-filters
Beispiele dafür, gibt es hier:
https://github.com/raandree/ManagedPasswordFilter
Natürlich sollte man sowas nicht einfach blind ins AD hängen, aber man kann den Code durchaus als Einstieg verwenden. Das sollte erstmal genug input sein, damit du beschäftigt bist.
Gruß
Chris
eine Empfehlung wäre der Einsatz der HIBP-Daten die einen Abgleich gegen dein AD erlauben. Damit wirst du schon mal einiges los, was ohnehin schon bekannt ist.
https://cybersectalk.com/2019/08/19/active-directory-password-audit-usin ...
Als nächstes ist es natürlich zu empfehlen die Passwort Komplexität zu organisieren. Das funktioniert am Sinnvollsten über Hooking in die password filter DLLs:
https://docs.microsoft.com/en-us/windows/win32/secmgmt/password-filters
Beispiele dafür, gibt es hier:
https://github.com/raandree/ManagedPasswordFilter
Natürlich sollte man sowas nicht einfach blind ins AD hängen, aber man kann den Code durchaus als Einstieg verwenden. Das sollte erstmal genug input sein, damit du beschäftigt bist.
Gruß
Chris
Ich denke auch das es das wichtigste ist die Anwender aufzuklären. Denn DAMIT erreiche ich deutlich mehr als mit (sinnlosen) Vorgaben. Es wird ja kaum einer "absichtlich" nen Passwort wählen was geknackt wird - zumal es in der realität ja doch so is das die Passwörter dann gleich oder sehr ähnlich auch privat verwendet werden. Und wenn ich bei der Aufklärung dann halbwegs gute Arbeit leiste bringt mich das auch deutlich weiter weil es VERSTANDEN wird (im besten Fall, oder zumindest akzeptiert) und man den Hauptangriffspunkt beseitigt.... Wenn ich hier z.B. lese wieviele Jahre man angeblich brauch um ein Passwort zu knacken - klar, wenn man nur in der IT-Abteilung sitzt und die Welt am Monitor endet stimmt das schon... In der Praxis braucht man (leider) bei vielen Passwörtern weniger als 5 Minuten - man ruft an, stellt sich vor als "Herr x, der neue aus der IT" und man soll kurz den Rechner checken, ob die einem bitte kurz das Passwort geben. Hat ein Anwender die Idee hinterm Passwort verstanden klappt es nicht... Is es nur mal wieder die Richtlinie der "dusseligen IT" mit den 8 Sonderzeichen usw.. - dann hört man am Telefon das gemaule kurz an, hält noch 3-5 Min Smalltalk ("ja, ich weiss, nervt mich auch etwas, aber is leider die Firmenvorgabe... wir sind aber bereits dran uns da was anderes zu überlegen... aber das is ja der Grund warum ich anrufe, ich weiss ja natürlich nicht welche Zeichen Sie verwendet haben....") und schon gibts einfach die Passwörter "frei haus". Ganz ohne Rechenleistung...
hurra die Freitagsfrage. Als mein Vater ins Rechenzentrum der Finanzbehörde wollte um da was zu programmieren (das ist so um die 45-50 Jahre her) hatten sie schon ein 3-Faktor-MFA. Um in den Raum mit den Terminals reinzukommen. Dabei waren auf den damals gebräuchlichen VT52 Terminals noch nicht mal Benutzernamen obligatorisch aber seinerzeit galten Beamte noch als unbestechlich, kriegten zinslose Kredite wo jedermann sonst 6% bezahlt hat und bei jeder Wohnungsbesichtigung eine Zusage, sogar wenn man da mit 3 Kindern auftaucht.
Ansonten setzt sich bei den "großen" Providern wie ATOS, EDS u.s.w. seit letztem Jahr Erkenntnis durch, daß komplexe Paßwörter mit 12 Zeichen nur alle 6 Monate gewechselt werden müssen, wenn man die wichtigsten Systeme mit einer Smartcard und Pin zusätzlich absichert.
Bei beiden wird (jedenfalls für meinen Arbeitgeber) die Prüfung auf Einhaltung der Komplexitätsregeln von externen Systemen gemacht, in die z.B. auch latinisierte Wörterbücher aus aller Herren Länder importiert wurden sowie sämtliche Paßworthashes von sämtlichen Mitarbeitern während ihre gesamten Firmenzugehörigkeit. Na nicht aller Herren Länder, zwei, drei Fremdsprachen hattn sie nicht, wäre also ein Ansporn, Altaiisch oder Inuit-Sprache zu lernen wenn man sich keine sinnlosen Phrasen auswendiglernen will. Leider hat der Lerneffekt abgenommen, seitdem das monatliche Paßortwechseln auf einen 6-Monatszyklus umgestellt wurde. Bin nach 12 Jahren Firmenzugehörigkeit gerade bei Paßwort 105 ... bis zur Rente werden es nur noch 30 mehr, aber das Gedächtnis läßt ja auch nach
Edit Heutzutage verlangt man nicht mehr eine gewisse Komplexität sondern eine "Entropie" des Kennwortes und Windows berechnet keine Paßwortentropien deshalb sollte man das an externe Systeme auslagern.
Ansonten setzt sich bei den "großen" Providern wie ATOS, EDS u.s.w. seit letztem Jahr Erkenntnis durch, daß komplexe Paßwörter mit 12 Zeichen nur alle 6 Monate gewechselt werden müssen, wenn man die wichtigsten Systeme mit einer Smartcard und Pin zusätzlich absichert.
Bei beiden wird (jedenfalls für meinen Arbeitgeber) die Prüfung auf Einhaltung der Komplexitätsregeln von externen Systemen gemacht, in die z.B. auch latinisierte Wörterbücher aus aller Herren Länder importiert wurden sowie sämtliche Paßworthashes von sämtlichen Mitarbeitern während ihre gesamten Firmenzugehörigkeit. Na nicht aller Herren Länder, zwei, drei Fremdsprachen hattn sie nicht, wäre also ein Ansporn, Altaiisch oder Inuit-Sprache zu lernen wenn man sich keine sinnlosen Phrasen auswendiglernen will. Leider hat der Lerneffekt abgenommen, seitdem das monatliche Paßortwechseln auf einen 6-Monatszyklus umgestellt wurde. Bin nach 12 Jahren Firmenzugehörigkeit gerade bei Paßwort 105 ... bis zur Rente werden es nur noch 30 mehr, aber das Gedächtnis läßt ja auch nach
Edit Heutzutage verlangt man nicht mehr eine gewisse Komplexität sondern eine "Entropie" des Kennwortes und Windows berechnet keine Paßwortentropien deshalb sollte man das an externe Systeme auslagern.
Moin,
Da war doch was. Mit Passwortlängen.
https://xkcd.com/936/
Auch wenn's noch nicht ganz richtig ist, wegen der Wörter aus Wörterbüchern...
aber die Länge passt schon mal.
Gruß
Komplexität
Da war doch was. Mit Passwortlängen.
https://xkcd.com/936/
Auch wenn's noch nicht ganz richtig ist, wegen der Wörter aus Wörterbüchern...
aber die Länge passt schon mal.
Gruß
Zitat von @SeaStorm:
Sha1 etwa 1,3 Mrd
Ein typisches Cracking-Rig, was viele organisierte Cracker(Banden) haben, hat 8 von denen
Zitat von @erikro:
Wenn wir mal davon ausgehen, dass wir in einer Millisekunde zehn Kombinationen ausprobieren können,
Eine Nvidia 2080ti macht etwa 80-90 Mio NTLM Hashes pro Sekunde! (das was z.B Windows zum hashen der Kennwörter noch immer verwendet)Wenn wir mal davon ausgehen, dass wir in einer Millisekunde zehn Kombinationen ausprobieren können,
Sha1 etwa 1,3 Mrd
Ein typisches Cracking-Rig, was viele organisierte Cracker(Banden) haben, hat 8 von denen
Es ging mir letztlich ja um die Dimensionen. Klar, die Technik wird immer besser und die Rechner immer schneller. Das ist ja der Grund, warum heute 8 Zeichen nicht mehr ausreichen, sondern mindestens 10, besser 12 oder eben noch besser 20 vorgeschrieben werden sollten.
Wenn jemand dein Kennwort kennt, dann bewirkt eine Änderung, dass er es nicht mehr kennt - erhöht das "den Sicherheitsfaktor"?
Entschuldige, aber das Thema ist etwas komplexer und du bietest Steilvorlagen für endlose Diskussionen.
Frag Dich "gegen welches Szenario möchte ich schützen und wie setze ich das um".
Wenn dabei konkrete Frage aufkommen, dann stell' diese. Dein obige Frage ist definitiv nicht konkret gestellt, da sämtliche Details fehlen und du es verrührst mit dem Szenario "es gibt keine Ähnlichkeitsprüfung".
Diese Ähnlichkeitsprüfung ist beispielsweise von Windows gar nicht vorgesehen und muss mit 3rd-Party-Software nachgerüstet werden. Ich finde das sinnvoll.
Entschuldige, aber das Thema ist etwas komplexer und du bietest Steilvorlagen für endlose Diskussionen.
Frag Dich "gegen welches Szenario möchte ich schützen und wie setze ich das um".
Wenn dabei konkrete Frage aufkommen, dann stell' diese. Dein obige Frage ist definitiv nicht konkret gestellt, da sämtliche Details fehlen und du es verrührst mit dem Szenario "es gibt keine Ähnlichkeitsprüfung".
Diese Ähnlichkeitsprüfung ist beispielsweise von Windows gar nicht vorgesehen und muss mit 3rd-Party-Software nachgerüstet werden. Ich finde das sinnvoll.
Naja - auch da ist halt immer die Frage in wiefern das Sinnvoll ist - und da kommt es natürlich umso mehr auf die Umgebung an. Da kann es eben sicherer sein wenn man simple Passwörter hat die sich die Mitarbeiter eben merken statt die aufm Zettel unterm Monitor zu kleben... Andersrum gibts genauso natürlich Bereiche bei denen man das zumindest HOFFEN würde - Banken, Krankenhäuser (die kein Citrix nutzen ;) ), Polizei (die mal kein Filesharing auf Dienstrechnern macht),....
Ich würde halt immer überlegen was man erreichen will und welche Umgebung. Nicht anders wie auf ner normalen Baustelle: Da KANN nen 10KG-Hammer durchaus das richtige Werkzeug sein - hilft aber auch nich viel wenn man ne Schraube in die Wand drehen muss ;). Ggf. bietet sich ja auch die Möglichkeit z.B. Biometrische Dinge (Fingerabdruck,...) zu nutzen. Wenn ich z.B. an meinem (privaten) Rechner einfach kurz den Finger auflege und nur nach nem kompletten Reboot mal das Passwort eingeben muss hab ich natürlich auch weniger Probleme mit einem langen Passwort als wenn ich den alle 5 Min entsperren müsste und ggf. sogar weil ich dabei telefoniere mit einer Hand schreiben "darf"...
Ich würde halt immer überlegen was man erreichen will und welche Umgebung. Nicht anders wie auf ner normalen Baustelle: Da KANN nen 10KG-Hammer durchaus das richtige Werkzeug sein - hilft aber auch nich viel wenn man ne Schraube in die Wand drehen muss ;). Ggf. bietet sich ja auch die Möglichkeit z.B. Biometrische Dinge (Fingerabdruck,...) zu nutzen. Wenn ich z.B. an meinem (privaten) Rechner einfach kurz den Finger auflege und nur nach nem kompletten Reboot mal das Passwort eingeben muss hab ich natürlich auch weniger Probleme mit einem langen Passwort als wenn ich den alle 5 Min entsperren müsste und ggf. sogar weil ich dabei telefoniere mit einer Hand schreiben "darf"...
Hier musst du auf jeden Fall beachten für was der User verwendet wird. Wenn der nur an der Maschine oder im Lager genutzt wird und von aussen nicht verwendet werden kann: Lass ihn in Ruhe.
Ist das ein Benutzer mit von aussen abrufbaren Exchange oder ähnliches, dann braucht's ein Kennwort mit gewisser Komplexität und/oder 2FA
Ist das ein Benutzer mit von aussen abrufbaren Exchange oder ähnliches, dann braucht's ein Kennwort mit gewisser Komplexität und/oder 2FA
Nun - dann überlege mal bei dir selbst. Und zwar machen wir es mal einfach - nämlich nich in DEINEM Fachgebiet - sondern setze dich doch mal nen Tag lang in die Küche der Firmenkantine. Und dann versuchst du mal die Bestellungen für 1-2 Wochen im Vorfeld zu machen -> für den Küchenchef is das schließlich auch kein Problem. Der weiss halt auch das da der Feiertag X kommt, dafür aber Freitags beim Steak ggf. auch mehr Salat sein muss,... Du weisst das nicht vorher und kannst nich vorher bestimmen was wohl eingekauft werden muss damit da nich kiloweise Essen in die Tonne geht (was ja auch Geld ist)? Ok, ist ja auch nich dein Job... und jetzt überleg mal warum der Küchenchef sich wohl kein komplexes Passwort merken WILL (grad wenn der eben nur interne Systeme hat).
Wenn du jetzt also meinst du musst da die ganzen tollen Richtlinien durchsetzen - was wird passieren? Guck mal bei diesen Rechnern neben die Tastatur oder an der Wand dahinter - da steht das Passwort üblicherweise (oft sogar mit ganzen Listen von Benutzern wenn die sich z.B. für die Arbeitszeiterfassung anmelden müssen - weil sich dann einer anmeldet und die eben durchtippt während die anderen schon arbeiten). Ist das jetzt also für dich sicherer als ein Passwort „Blume1999“?
Ich denke du musst halt nen vernünftigen Mittelweg finden - und das geht halt normal nich das die IT sagt „machen wir jetzt so“... Selbst wenn du es durchsetzt schaffst du es nur das „die IT im Elfenbeinturm“ sitzt. Und zumindest in MEINER Erfahrung ist der grösste Sicherheitsgewinn dadurch zu erzielen das die Kollegen eben mit einem SPRECHEN und eben auch mal sagen was so auffällt... Und nich das man eben nur „die nummer am Telefon“ is - die immer mit so komischen Ideen um die Ecke kommen..
Wenn du jetzt also meinst du musst da die ganzen tollen Richtlinien durchsetzen - was wird passieren? Guck mal bei diesen Rechnern neben die Tastatur oder an der Wand dahinter - da steht das Passwort üblicherweise (oft sogar mit ganzen Listen von Benutzern wenn die sich z.B. für die Arbeitszeiterfassung anmelden müssen - weil sich dann einer anmeldet und die eben durchtippt während die anderen schon arbeiten). Ist das jetzt also für dich sicherer als ein Passwort „Blume1999“?
Ich denke du musst halt nen vernünftigen Mittelweg finden - und das geht halt normal nich das die IT sagt „machen wir jetzt so“... Selbst wenn du es durchsetzt schaffst du es nur das „die IT im Elfenbeinturm“ sitzt. Und zumindest in MEINER Erfahrung ist der grösste Sicherheitsgewinn dadurch zu erzielen das die Kollegen eben mit einem SPRECHEN und eben auch mal sagen was so auffällt... Und nich das man eben nur „die nummer am Telefon“ is - die immer mit so komischen Ideen um die Ecke kommen..