gemini
Goto Top

Vorgaben zur Passwortkomplexizität

Hallo,

wir haben die Vorgabe bekommen, die Kennwortsicherheit in der Domäne/Azure nach BSI-Empfehlungen/Vorgaben einzurichten.
Lt. www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html

In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.

In den GPO ist die Komplexität jedoch auf 3 von 5 Kategorien festgelegt.
learn.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements

Wenn man nach BSI-Grundschutz geht, müsste auch noch die Willkürlichkeit abgeprüft werden:
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/sichere_passwoerter_faktenblatt.pdf?__blob=publicationFile&v=4

Es gibt wohl eine Möglichkeit, indem man die passflt.dll anpasst. Das würde ich aber nach Möglichkeit zu vermeiden versuchen.

Hatte diese Anforderung schon mal jemand?
Wie kann man festlegen, dass die Anwender ausschließlich bestimmte 4 Kategorien verwenden müssen?
Dazu kommt, das Ganze müsste einer versicherungstechn. Prüfung standhalten.

Content-ID: 54258331478

Url: https://administrator.de/contentid/54258331478

Ausgedruckt am: 13.11.2024 um 09:11 Uhr

DerWoWusste
DerWoWusste 11.10.2023 aktualisiert um 14:32:46 Uhr
Goto Top
Hi.

Wir arbeiten auch nach BSI, schon immer.
Es ist völliger Unsinn (vom BSI), 4 Zeichengruppen zu fordern, denn Brute-Force wird dadurch nicht schwieriger, sondern leichter, denn die Menge der möglichen Kennwörter verringert sich bei 8-12 Zeichen durch diese Forderung signifikant. Aber da kommen die auch noch drauf.

Vergiss passfilt.dll, nimm ein externes Produkt, z.B. von netwrix (firmierte mal als Anixis password Policy enforcer) damit lässt sich 4 von 4 Zeichengruppen fordern.

Besser: schaffe Kennwörter ab! SmartCards rule.
MirkoKR
MirkoKR 11.10.2023 um 15:11:20 Uhr
Goto Top
Hi.

Wenn es höhere Passwortanforderungen gibt, sollte Biometrie, SmartCard oder/und 3FA zum Thema werden ...
erikro
erikro 11.10.2023 um 16:11:06 Uhr
Goto Top
Moin,

Zitat von @gemini:
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.

Also die Strategie schlechtes Passwort. Warum?

Die normale deutsche Tastatur hat 48 Tasten für Zeichen. Davon sind alle doppelt belegt. Das macht also 96 Zeichen. 9 haben eine dritte Belegung. Das sind also insgesamt 105 Zeichen. Wenn ich nun die Vorgabe machen, dass das Passwort mindestens acht Zeichen lang sein muss, einen Großbuchstaben enthalten muss, eine Ziffer und ein Sonder- oder Satzzeichen, dann habe ich für eine Stelle 10 Möglichkeiten (Ziffern), für eine weitere 29 (Großbuchstabe) und eine weitere 27 (Sonderzeichen), für die restlichen fünf sind es die vollen 105. Das sind dann:

10*29*27*105^5*8! = 4,02929236458e+18

Ganz schön wenig. Wenn ich allerdings sage: Du musst 20 Zeichen nehmen und kannst nur Buchstaben und das Leerzeichen verwenden, dann habe ich für jede Stelle 60 Möglichkeiten (26*2 Buchstaben, 3*2 Umlaute, das ß und das Leerzeichen). Das sind dann also:

60^20 = 3,656158440062976e+35

Huh! Was ist also besser? Wenn ich dann noch die Satzzeichen empfehle (nicht erzwinge), dann komme ich sogar auf

66^20 = 2,4596805720250036121275867055794e+36

Kurz gesagt: Die Strategie, die lange und nicht "komplexe" Passwörter verlangt, ist die richtige.

my 2 cents

Erik
MirkoKR
MirkoKR 11.10.2023 um 16:29:39 Uhr
Goto Top
Ohne in die Details zu gehen:
Ich benutze seit > 20 Jahren für jeden Dienst,/Portsl,/Forum/etc eine angepasste eMail-ALIAS-Adresse ... also weit mehr als 100 inzwischen.

Die persönlichen Basis,-Domains sind zudem bei https://haveibeenpwned.com/ zur Überwachubg eingetragen...

Resultat: Quasi Null Spam oder andere Schadmails,.

Zudem gab es in den letzten Jahren 3 Mitteilungen über gestohlene Mail-Adressrn - bekannteste Beispiele ebay und Adobe ...

Na und? Dort die Mail-Adressen geändert und gut ist ...

Bei z.B. eBay-Käufen in US oder China wird man oft von Spam geflutet: Und?: Egsl: eMail-Adresse bei eBay geändert und gut ist ...

Genauso mit anderen Portalen: Anhand der eMail-Adresse erkenne ich bei welchem Dienst die eMail-Adresse verbrannt ist und kann die dort ändern ...
gemini
gemini 11.10.2023, aktualisiert am 16.10.2023 um 19:48:35 Uhr
Goto Top
Erstmal Danke für die Hinweise.

Dass sich die Anzahl möglicher Kombinationen verringert, je mehr erzwungen wird, ist mir schon klar.
Auch dass lange Kennwörter aufgrund der schieren Anzahl an Variationen sicherer sind.
Wobei man immer auch bedenken muss, dass der Angreifer i.d.R. nicht weiß, wie lange das Kennwort ist und welche Kriterien anzulegen sind.

In den Vorgaben/Empfehlungen des BSI steht aber nun mal mind. 8 Zeichen aus 4 Zeichengruppen oder mind. 25 Zeichen aus 2 Zeichengruppen.
Da das eine Vertragsvorgabe ist, muss es durchsetzbar sein. Eine reine Empfehlung reicht eben nicht.
Wobei die Prüfung der "willkürlichen Aneinanderreihung" programmatisch sicher Spaß macht face-wink

Warum die langen Kennwörter auf wenig Gegenliebe stoßen werden?
Weil derselbe Vorschlag, aber mit weit weniger als 25 Zeichen, vor einigen Jahren schon dasselbe Schicksal erlitten hat.

Das Tool von Netwrix werde ich mir auf jeden Fall mal ansehen.
Fabian82
Fabian82 16.10.2023 um 13:39:26 Uhr
Goto Top
Ich kann das kostenlose Tool "Lithnet" sehr empfehlen.

Über reguläre Ausdrücke kann man eine viel feinere Komplexität erzwingen. Wir geben z.b. vor, dass ein Sonderzeichen in der Mitte sein muss. Die meisten Passwörter waren sonst immer nach dem Schema "Winter22!", das lässt sich per Bruteforce zu leicht knacken. Dank Sonderzeichen in der Mitte nutzen viele nun zwei Wörter und irgendwas dazwischen.

Zusätztlich gleicht Lithnet auch noch offline mit der HIBP Datenbank ab.

https://lithnet.io/products/password-protection
https://github.com/lithnet/ad-password-protection/wiki/
DerWoWusste
DerWoWusste 16.10.2023 um 13:56:21 Uhr
Goto Top
@Fabian82
Das sieht sehr gut aus!
Das Einzige, was mich etwas skeptisch macht: unter https://github.com/lithnet/ad-password-protection steht, dass es auf 2012R2 oder neuer funktioniert. Ich würde solche Aussagen tunlichst vermeiden und lieber konkret die getesteten Versionen eintragen. Geht hier nämlich etwas schief, dann kannst Du deine Domäne an den Nagel hängen.
gemini
gemini 16.10.2023 um 19:47:52 Uhr
Goto Top
Danke für den Tipp, Fabian.
Das werd' ich mir auf jeden Fall auch ansehen