Vorgaben zur Passwortkomplexizität
Hallo,
wir haben die Vorgabe bekommen, die Kennwortsicherheit in der Domäne/Azure nach BSI-Empfehlungen/Vorgaben einzurichten.
Lt. www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.
In den GPO ist die Komplexität jedoch auf 3 von 5 Kategorien festgelegt.
learn.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements
Wenn man nach BSI-Grundschutz geht, müsste auch noch die Willkürlichkeit abgeprüft werden:
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/sichere_passwoerter_faktenblatt.pdf?__blob=publicationFile&v=4
Es gibt wohl eine Möglichkeit, indem man die passflt.dll anpasst. Das würde ich aber nach Möglichkeit zu vermeiden versuchen.
Hatte diese Anforderung schon mal jemand?
Wie kann man festlegen, dass die Anwender ausschließlich bestimmte 4 Kategorien verwenden müssen?
Dazu kommt, das Ganze müsste einer versicherungstechn. Prüfung standhalten.
wir haben die Vorgabe bekommen, die Kennwortsicherheit in der Domäne/Azure nach BSI-Empfehlungen/Vorgaben einzurichten.
Lt. www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.
In den GPO ist die Komplexität jedoch auf 3 von 5 Kategorien festgelegt.
learn.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements
Wenn man nach BSI-Grundschutz geht, müsste auch noch die Willkürlichkeit abgeprüft werden:
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/sichere_passwoerter_faktenblatt.pdf?__blob=publicationFile&v=4
Es gibt wohl eine Möglichkeit, indem man die passflt.dll anpasst. Das würde ich aber nach Möglichkeit zu vermeiden versuchen.
Hatte diese Anforderung schon mal jemand?
Wie kann man festlegen, dass die Anwender ausschließlich bestimmte 4 Kategorien verwenden müssen?
Dazu kommt, das Ganze müsste einer versicherungstechn. Prüfung standhalten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 54258331478
Url: https://administrator.de/forum/vorgaben-zur-passwortkomplexizitaet-54258331478.html
Ausgedruckt am: 26.12.2024 um 21:12 Uhr
8 Kommentare
Neuester Kommentar
Hi.
Wir arbeiten auch nach BSI, schon immer.
Es ist völliger Unsinn (vom BSI), 4 Zeichengruppen zu fordern, denn Brute-Force wird dadurch nicht schwieriger, sondern leichter, denn die Menge der möglichen Kennwörter verringert sich bei 8-12 Zeichen durch diese Forderung signifikant. Aber da kommen die auch noch drauf.
Vergiss passfilt.dll, nimm ein externes Produkt, z.B. von netwrix (firmierte mal als Anixis password Policy enforcer) damit lässt sich 4 von 4 Zeichengruppen fordern.
Besser: schaffe Kennwörter ab! SmartCards rule.
Wir arbeiten auch nach BSI, schon immer.
Es ist völliger Unsinn (vom BSI), 4 Zeichengruppen zu fordern, denn Brute-Force wird dadurch nicht schwieriger, sondern leichter, denn die Menge der möglichen Kennwörter verringert sich bei 8-12 Zeichen durch diese Forderung signifikant. Aber da kommen die auch noch drauf.
Vergiss passfilt.dll, nimm ein externes Produkt, z.B. von netwrix (firmierte mal als Anixis password Policy enforcer) damit lässt sich 4 von 4 Zeichengruppen fordern.
Besser: schaffe Kennwörter ab! SmartCards rule.
Moin,
Also die Strategie schlechtes Passwort. Warum?
Die normale deutsche Tastatur hat 48 Tasten für Zeichen. Davon sind alle doppelt belegt. Das macht also 96 Zeichen. 9 haben eine dritte Belegung. Das sind also insgesamt 105 Zeichen. Wenn ich nun die Vorgabe machen, dass das Passwort mindestens acht Zeichen lang sein muss, einen Großbuchstaben enthalten muss, eine Ziffer und ein Sonder- oder Satzzeichen, dann habe ich für eine Stelle 10 Möglichkeiten (Ziffern), für eine weitere 29 (Großbuchstabe) und eine weitere 27 (Sonderzeichen), für die restlichen fünf sind es die vollen 105. Das sind dann:
Ganz schön wenig. Wenn ich allerdings sage: Du musst 20 Zeichen nehmen und kannst nur Buchstaben und das Leerzeichen verwenden, dann habe ich für jede Stelle 60 Möglichkeiten (26*2 Buchstaben, 3*2 Umlaute, das ß und das Leerzeichen). Das sind dann also:
Huh! Was ist also besser? Wenn ich dann noch die Satzzeichen empfehle (nicht erzwinge), dann komme ich sogar auf
Kurz gesagt: Die Strategie, die lange und nicht "komplexe" Passwörter verlangt, ist die richtige.
my 2 cents
Erik
Zitat von @gemini:
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.
Also die Strategie schlechtes Passwort. Warum?
Die normale deutsche Tastatur hat 48 Tasten für Zeichen. Davon sind alle doppelt belegt. Das macht also 96 Zeichen. 9 haben eine dritte Belegung. Das sind also insgesamt 105 Zeichen. Wenn ich nun die Vorgabe machen, dass das Passwort mindestens acht Zeichen lang sein muss, einen Großbuchstaben enthalten muss, eine Ziffer und ein Sonder- oder Satzzeichen, dann habe ich für eine Stelle 10 Möglichkeiten (Ziffern), für eine weitere 29 (Großbuchstabe) und eine weitere 27 (Sonderzeichen), für die restlichen fünf sind es die vollen 105. Das sind dann:
10*29*27*105^5*8! = 4,02929236458e+18
Ganz schön wenig. Wenn ich allerdings sage: Du musst 20 Zeichen nehmen und kannst nur Buchstaben und das Leerzeichen verwenden, dann habe ich für jede Stelle 60 Möglichkeiten (26*2 Buchstaben, 3*2 Umlaute, das ß und das Leerzeichen). Das sind dann also:
60^20 = 3,656158440062976e+35
Huh! Was ist also besser? Wenn ich dann noch die Satzzeichen empfehle (nicht erzwinge), dann komme ich sogar auf
66^20 = 2,4596805720250036121275867055794e+36
Kurz gesagt: Die Strategie, die lange und nicht "komplexe" Passwörter verlangt, ist die richtige.
my 2 cents
Erik
Ohne in die Details zu gehen:
Ich benutze seit > 20 Jahren für jeden Dienst,/Portsl,/Forum/etc eine angepasste eMail-ALIAS-Adresse ... also weit mehr als 100 inzwischen.
Die persönlichen Basis,-Domains sind zudem bei https://haveibeenpwned.com/ zur Überwachubg eingetragen...
Resultat: Quasi Null Spam oder andere Schadmails,.
Zudem gab es in den letzten Jahren 3 Mitteilungen über gestohlene Mail-Adressrn - bekannteste Beispiele ebay und Adobe ...
Na und? Dort die Mail-Adressen geändert und gut ist ...
Bei z.B. eBay-Käufen in US oder China wird man oft von Spam geflutet: Und?: Egsl: eMail-Adresse bei eBay geändert und gut ist ...
Genauso mit anderen Portalen: Anhand der eMail-Adresse erkenne ich bei welchem Dienst die eMail-Adresse verbrannt ist und kann die dort ändern ...
Ich benutze seit > 20 Jahren für jeden Dienst,/Portsl,/Forum/etc eine angepasste eMail-ALIAS-Adresse ... also weit mehr als 100 inzwischen.
Die persönlichen Basis,-Domains sind zudem bei https://haveibeenpwned.com/ zur Überwachubg eingetragen...
Resultat: Quasi Null Spam oder andere Schadmails,.
Zudem gab es in den letzten Jahren 3 Mitteilungen über gestohlene Mail-Adressrn - bekannteste Beispiele ebay und Adobe ...
Na und? Dort die Mail-Adressen geändert und gut ist ...
Bei z.B. eBay-Käufen in US oder China wird man oft von Spam geflutet: Und?: Egsl: eMail-Adresse bei eBay geändert und gut ist ...
Genauso mit anderen Portalen: Anhand der eMail-Adresse erkenne ich bei welchem Dienst die eMail-Adresse verbrannt ist und kann die dort ändern ...
Ich kann das kostenlose Tool "Lithnet" sehr empfehlen.
Über reguläre Ausdrücke kann man eine viel feinere Komplexität erzwingen. Wir geben z.b. vor, dass ein Sonderzeichen in der Mitte sein muss. Die meisten Passwörter waren sonst immer nach dem Schema "Winter22!", das lässt sich per Bruteforce zu leicht knacken. Dank Sonderzeichen in der Mitte nutzen viele nun zwei Wörter und irgendwas dazwischen.
Zusätztlich gleicht Lithnet auch noch offline mit der HIBP Datenbank ab.
https://lithnet.io/products/password-protection
https://github.com/lithnet/ad-password-protection/wiki/
Über reguläre Ausdrücke kann man eine viel feinere Komplexität erzwingen. Wir geben z.b. vor, dass ein Sonderzeichen in der Mitte sein muss. Die meisten Passwörter waren sonst immer nach dem Schema "Winter22!", das lässt sich per Bruteforce zu leicht knacken. Dank Sonderzeichen in der Mitte nutzen viele nun zwei Wörter und irgendwas dazwischen.
Zusätztlich gleicht Lithnet auch noch offline mit der HIBP Datenbank ab.
https://lithnet.io/products/password-protection
https://github.com/lithnet/ad-password-protection/wiki/
@Fabian82
Das sieht sehr gut aus!
Das Einzige, was mich etwas skeptisch macht: unter https://github.com/lithnet/ad-password-protection steht, dass es auf 2012R2 oder neuer funktioniert. Ich würde solche Aussagen tunlichst vermeiden und lieber konkret die getesteten Versionen eintragen. Geht hier nämlich etwas schief, dann kannst Du deine Domäne an den Nagel hängen.
Das sieht sehr gut aus!
Das Einzige, was mich etwas skeptisch macht: unter https://github.com/lithnet/ad-password-protection steht, dass es auf 2012R2 oder neuer funktioniert. Ich würde solche Aussagen tunlichst vermeiden und lieber konkret die getesteten Versionen eintragen. Geht hier nämlich etwas schief, dann kannst Du deine Domäne an den Nagel hängen.