blowdow
Goto Top

User selber sein gesperrter Zugang oder vergessenes Passwort bei Windows 7 - Anmeldung zurücksetzen lassen?

Guten Tag zusammen

Ich hätte da mal eine Frage, die mich seit längerem brennend interessieren würde.

Bei uns in der Firma ist es so (Windows 7), dass sich jeder User mit Benutzernamen und Passwort am System anmelden muss. Habe ich (der User) mein Passwort vergessen, oder wurde ich sogar gesperrt (mehrmals falsche PW-Eingabe), so muss ich der Hotline anrufen.

Der Hotline-MA entsperrt mich, gibt mir ein neues Passwort und gut ist - ich kann mich am Win7 wieder anmelden und arbeiten.

Im Internet ist es ja so, dass ich auf diversen Websiten (z.B. Administrator.de) bei vergessenem Passwort auf "Passwort vergessen" klicken kann usw.

Nun, gibt es vielleicht eine ähnliche Variante, die eine Firma beim Windows-Anmelde-Verfahren anwenden/einführen könnte, um sein eigenes Passwort zurücksetzen zu können? Klar, per Mail geht das in den meisten Fällen ja nicht. Schliesslich muss ich mich ja zuerst am Windows anmelden, um z.B. meine Mails in Outlook abrufen zu können.

Banken haben ja zum Teil für das Online-Banking die Methode, dass der Kunde für das Login ein temporärer PIN per SMS erhält.

Vielleicht habt ihr das ja schon mal gesehen? Gibt es irgendeine Möglichkeit, wenn sich ein User beim Windows-Login gesperrt hat, oder auch sein Passwort vergessen hat, dass sich dieser dann einfach z.B. per SMS ein neues Passwort schicken lassen kann?

Mich würde interessieren, ob es solche "Systeme" überhaupt gibt. Wenn ja, wie funktionieren die genau? Oder, was haltet ihr davon aus Sicht der Security? Oder, gäbe es eine andere Möglichkeit, wie sich ein User selber sein PW zurücksetzen könnte?

Vorteil1: Der User kann sich jederzeit (auch am Wochenende oder in der Nacht) entsperren lassen.
Vorteil2: Der User muss nicht zum Telefonhörer greifen.
Vorteil 3: Die Firma spart allenfalls an MA, da weniger Hotline-Anfragen generiert werden.

Nachteil1: Security

Gruss
blowdow

Content-ID: 237258

Url: https://administrator.de/forum/user-selber-sein-gesperrter-zugang-oder-vergessenes-passwort-bei-windows-7-anmeldung-zuruecksetzen-lassen-237258.html

Ausgedruckt am: 25.12.2024 um 05:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 06.05.2014 aktualisiert um 12:21:56 Uhr
Goto Top
Moin,

Und wie willst Du sicherstellen, daß der "richtige" User das Paßwort entsperrt udn nicht lustige Kollege vom Büro nebenan, der nur einen Streich spielen will?

Gaubst du die Firmen würden das Geld ncith einsparen wollen, wenn das so ohne weiteres ginge?

Du brauch einen (zweiten) sicheren Kanal, wenn du so etwas automatisieren willst. Der ist bei Banken der Postweg und bei Internetdiensten der Weg über die (hoffentlich nicht gehackte) Email. Solange Du keine zweiten "sicheren" Kanal hast, über den Du automatisiert Zugangsdaten zukommen lassen kannst, funktioniert das nicht.

lks

PS. es hat schon seinen Grund, warum man auch für "wegwerfemailsadressen" nicht zu einfache Paßworte nehmen sollte.
blowdow
blowdow 06.05.2014 um 13:11:55 Uhr
Goto Top
Hallo

"Und wie willst Du sicherstellen, daß der "richtige" User das Paßwort entsperrt udn nicht lustige Kollege vom Büro nebenan, der nur einen Streich spielen will?":

Heute könnte ich ja auch einen Mitarbeitenden sperren lassen (einen Streich spielen) indem ich seinen Benutzernamen verwende und x-Mal ein falsches Passwort eingebe.

"Du brauch einen (zweiten) sicheren Kanal":

Als Beispiel, wenn jeweils die Handy-Nr. beim User-Account hinterlegt würden (wie bei den Banken). So könnte sich der User seine temporären Zugangsdaten zuschicken lassen. Bei seiner Anmeldung mit den temporären Zugangsdaten wird er dann aufgefordert, ein neues Passwort zu wählen.

Da könnte es halt problematisch werden, wenn einem User mit Absicht sein Handy gestohlen würde. Ob SMS eine gute Wahl ist, ist Security-Technisch sicherlich schwierig zu sagen (je nach Möglichkeit, was für einen Schaden angerichtet werden könnte.)

"Gaubst du die Firmen würden das Geld ncith einsparen wollen, wenn das so ohne weiteres ginge?":

Doch, natürlich. Das bedeutet aber nicht, dass eine Firma heute perfekt ist und alle Kostensenkenden Massnahmen auch tatsächlich anwendet. Verbessern kann sich jede Firma, heute, wie auch Morgen... Daher stellt sich vielleicht die Frage, ob und wie das umgesetzt werden könnte.

Oder würdest du/ihr mit Sicherheit sagen: Das wird 100% nie möglich sein?

Ich, jedenfalls, könnte es mir durchaus vorstellen... früher oder später...

Grüsse
nikoatit
nikoatit 06.05.2014 aktualisiert um 13:35:56 Uhr
Goto Top
Zitat von @blowdow:

Hallo
Moin
Heute könnte ich ja auch einen Mitarbeitenden sperren lassen (einen Streich spielen) indem ich seinen Benutzernamen verwende
und x-Mal ein falsches Passwort eingebe.
Dann frag ich mich ob eine Kindergärtnerin angebracht ist...
Doch, natürlich. Das bedeutet aber nicht, dass eine Firma heute perfekt ist und alle Kostensenkenden Massnahmen auch
tatsächlich anwendet. Verbessern kann sich jede Firma, heute, wie auch Morgen... Daher stellt sich vielleicht die Frage, ob
und wie das umgesetzt werden könnte.

Oder würdest du/ihr mit Sicherheit sagen: Das wird 100% nie möglich sein?

Ich, jedenfalls, könnte es mir durchaus vorstellen... früher oder später...
Es gibt andere Möglichkeiten zur Authentifizierung mit anderen Sperr-Mechaniken.
Als Beispiel: SecurID, Biometrisch, Schaubild...etc
Aber wie ein Sicherheitskonzept speziell für den jeweiligen Betrieb auszusehen muss, kann individuell entschieden werden (anhand von Kosten, wie sensibel die Daten sind, etc.).

Fazit:
Geht Einiges...Aber ist nicht immer sinnvoll bzw. nötig...
Grüsse
Gruß
Lochkartenstanzer
Lochkartenstanzer 06.05.2014 um 13:43:08 Uhr
Goto Top
Zitat von @blowdow:

Daher stellt sich vielleicht die Frage, ob
und wie das umgesetzt werden könnte.

Wie ich schon sagte: Druch einen zweiten sicheren Kanal. das kann ein verschlosserner umschlag mit einer "Reset-PIN" sein, wie z.B. die PUK bei SIMs, ein Brief, der über den internen Verteiler zugestellt wird, eine SMS, Eine Biometrische Erkennung, hinterlegte credentials, die zum Zrücksetzen benöötigt werden, etc. Diese Lösungen gibt es schon oder sie lassen sich mit ein paar Skripten relativ einfach stricken. Nur ist das Kosten-Nutzenverhältnis nicht gegeben, weil in einer normalen IT-Umgebung die Leute Ihr Passwort nciht dauernd vergessen (sollten). Außerdem reißt das potentielle Sicherheitslöcher in die Schutzmaßnahmen, so daß es das Risiko erhöht. Und wenn das zeug auch noch zusätzlich geld kostet, ist es einafcher die Mitarbeiter zu disziplinieren, als für die Senkung der Sicherheitsstandards Geld auszugeben.

Von daher wären solche verfahren nur da sinnvoll, wenn die Leute "nicht warten können". Und da gibt es andere methoden als Paßwörter.

lks
killtec
killtec 06.05.2014 um 13:51:22 Uhr
Goto Top
Hi,
wir nutzen bei uns in der Fa. ein Programm namens Specops. Evtl. hilft das weiter. Kann leider nicht mehr zu dem Tool sagen (Integration etc.).
Man registriert auf seinen User vier Fragen, womit man sich identifizieren kann.

Gruß
blowdow
blowdow 06.05.2014 um 14:37:09 Uhr
Goto Top
Vielen Dank für eure Antworten.

Da stimme ich natürlich zu, dass das Kosten-Nutzen-Verhältnis stimmen muss. Bei uns wird immer öfters am Abend und auch am Wochenende gearbeitet. Daher machte es eher Sinn, da die Hotline in dieser Zeit nicht arbeitet (wäre zu teuer). Wie ihr sicher alle richtig geschrieben habt, je nach Anwendungsfall und Dringlichkeit halt...

Merci killtec für deinen Tipp - sehr interessant. Werde ich mal googlen. Gibt es weitere Personen, welche in der Firma mit solchen (Self-Services-Tools) arbeiten?
Xaero1982
Xaero1982 06.05.2014, aktualisiert am 07.05.2014 um 12:36:11 Uhr
Goto Top
Nabend,

diese Frage stellt ich vor kurzem und es gibt dazu viele Lösungen.

Schau mal hier rein:
Was benutzt ihr für die Userverwaltung unter MS Servern?
Da sind zwei genannt und ansonsten findest du dazu viele im www.

Gruß
blowdow
blowdow 07.05.2014 um 12:28:06 Uhr
Goto Top
Hi Xaero

Habe deinen Link angeschaut. Zudem dann den genannten Link geöffnet. http://anixis.com/products/apr/default.htm - sieht doch schon mal gut aus face-smile

Danke!