8
Vorgaben zur Passwortkomplexizität
Hallo,
wir haben die Vorgabe bekommen, die Kennwortsicherheit in der Domäne/Azure nach BSI-Empfehlungen/Vorgaben einzurichten.
Lt. www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.
In den GPO ist die Komplexität jedoch auf 3 von 5 Kategorien festgelegt.
learn.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements
Wenn man nach BSI-Grundschutz geht, müsste auch noch die Willkürlichkeit abgeprüft werden:
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/sichere_passwoerter_faktenblatt.pdf?__blob=publicationFile&v=4
Es gibt wohl eine Möglichkeit, indem man die passflt.dll anpasst. Das würde ich aber nach Möglichkeit zu vermeiden versuchen.
Hatte diese Anforderung schon mal jemand?
Wie kann man festlegen, dass die Anwender ausschließlich bestimmte 4 Kategorien verwenden müssen?
Dazu kommt, das Ganze müsste einer versicherungstechn. Prüfung standhalten.
wir haben die Vorgabe bekommen, die Kennwortsicherheit in der Domäne/Azure nach BSI-Empfehlungen/Vorgaben einzurichten.
Lt. www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.
In den GPO ist die Komplexität jedoch auf 3 von 5 Kategorien festgelegt.
learn.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements
Wenn man nach BSI-Grundschutz geht, müsste auch noch die Willkürlichkeit abgeprüft werden:
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/sichere_passwoerter_faktenblatt.pdf?__blob=publicationFile&v=4
Es gibt wohl eine Möglichkeit, indem man die passflt.dll anpasst. Das würde ich aber nach Möglichkeit zu vermeiden versuchen.
Hatte diese Anforderung schon mal jemand?
Wie kann man festlegen, dass die Anwender ausschließlich bestimmte 4 Kategorien verwenden müssen?
Dazu kommt, das Ganze müsste einer versicherungstechn. Prüfung standhalten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 54258331478
Url: https://administrator.de/contentid/54258331478
Printed on: April 27, 2024 at 07:04 o'clock
8 Comments
Latest comment
Hi.
Wir arbeiten auch nach BSI, schon immer.
Es ist völliger Unsinn (vom BSI), 4 Zeichengruppen zu fordern, denn Brute-Force wird dadurch nicht schwieriger, sondern leichter, denn die Menge der möglichen Kennwörter verringert sich bei 8-12 Zeichen durch diese Forderung signifikant. Aber da kommen die auch noch drauf.
Vergiss passfilt.dll, nimm ein externes Produkt, z.B. von netwrix (firmierte mal als Anixis password Policy enforcer) damit lässt sich 4 von 4 Zeichengruppen fordern.
Besser: schaffe Kennwörter ab! SmartCards rule.
Wir arbeiten auch nach BSI, schon immer.
Es ist völliger Unsinn (vom BSI), 4 Zeichengruppen zu fordern, denn Brute-Force wird dadurch nicht schwieriger, sondern leichter, denn die Menge der möglichen Kennwörter verringert sich bei 8-12 Zeichen durch diese Forderung signifikant. Aber da kommen die auch noch drauf.
Vergiss passfilt.dll, nimm ein externes Produkt, z.B. von netwrix (firmierte mal als Anixis password Policy enforcer) damit lässt sich 4 von 4 Zeichengruppen fordern.
Besser: schaffe Kennwörter ab! SmartCards rule.
Hi.
Wenn es höhere Passwortanforderungen gibt, sollte Biometrie, SmartCard oder/und 3FA zum Thema werden ...
Wenn es höhere Passwortanforderungen gibt, sollte Biometrie, SmartCard oder/und 3FA zum Thema werden ...
Moin,
Also die Strategie schlechtes Passwort. Warum?
Die normale deutsche Tastatur hat 48 Tasten für Zeichen. Davon sind alle doppelt belegt. Das macht also 96 Zeichen. 9 haben eine dritte Belegung. Das sind also insgesamt 105 Zeichen. Wenn ich nun die Vorgabe machen, dass das Passwort mindestens acht Zeichen lang sein muss, einen Großbuchstaben enthalten muss, eine Ziffer und ein Sonder- oder Satzzeichen, dann habe ich für eine Stelle 10 Möglichkeiten (Ziffern), für eine weitere 29 (Großbuchstabe) und eine weitere 27 (Sonderzeichen), für die restlichen fünf sind es die vollen 105. Das sind dann:
Ganz schön wenig. Wenn ich allerdings sage: Du musst 20 Zeichen nehmen und kannst nur Buchstaben und das Leerzeichen verwenden, dann habe ich für jede Stelle 60 Möglichkeiten (26*2 Buchstaben, 3*2 Umlaute, das ß und das Leerzeichen). Das sind dann also:
Huh! Was ist also besser? Wenn ich dann noch die Satzzeichen empfehle (nicht erzwinge), dann komme ich sogar auf
Kurz gesagt: Die Strategie, die lange und nicht "komplexe" Passwörter verlangt, ist die richtige.
my 2 cents
Erik
Zitat von @gemini:
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.
In Frage kommt hierfür nur die Strategie "Kürzeres und komplexes Passwort".
Hierfür müssen Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen verwendet werden.
Also die Strategie schlechtes Passwort. Warum?
Die normale deutsche Tastatur hat 48 Tasten für Zeichen. Davon sind alle doppelt belegt. Das macht also 96 Zeichen. 9 haben eine dritte Belegung. Das sind also insgesamt 105 Zeichen. Wenn ich nun die Vorgabe machen, dass das Passwort mindestens acht Zeichen lang sein muss, einen Großbuchstaben enthalten muss, eine Ziffer und ein Sonder- oder Satzzeichen, dann habe ich für eine Stelle 10 Möglichkeiten (Ziffern), für eine weitere 29 (Großbuchstabe) und eine weitere 27 (Sonderzeichen), für die restlichen fünf sind es die vollen 105. Das sind dann:
10*29*27*105^5*8! = 4,02929236458e+18Ganz schön wenig. Wenn ich allerdings sage: Du musst 20 Zeichen nehmen und kannst nur Buchstaben und das Leerzeichen verwenden, dann habe ich für jede Stelle 60 Möglichkeiten (26*2 Buchstaben, 3*2 Umlaute, das ß und das Leerzeichen). Das sind dann also:
60^20 = 3,656158440062976e+35Huh! Was ist also besser? Wenn ich dann noch die Satzzeichen empfehle (nicht erzwinge), dann komme ich sogar auf
66^20 = 2,4596805720250036121275867055794e+36Kurz gesagt: Die Strategie, die lange und nicht "komplexe" Passwörter verlangt, ist die richtige.
my 2 cents
Erik
Ohne in die Details zu gehen:
Ich benutze seit > 20 Jahren für jeden Dienst,/Portsl,/Forum/etc eine angepasste eMail-ALIAS-Adresse ... also weit mehr als 100 inzwischen.
Die persönlichen Basis,-Domains sind zudem bei https://haveibeenpwned.com/ zur Überwachubg eingetragen...
Resultat: Quasi Null Spam oder andere Schadmails,.
Zudem gab es in den letzten Jahren 3 Mitteilungen über gestohlene Mail-Adressrn - bekannteste Beispiele ebay und Adobe ...
Na und? Dort die Mail-Adressen geändert und gut ist ...
Bei z.B. eBay-Käufen in US oder China wird man oft von Spam geflutet: Und?: Egsl: eMail-Adresse bei eBay geändert und gut ist ...
Genauso mit anderen Portalen: Anhand der eMail-Adresse erkenne ich bei welchem Dienst die eMail-Adresse verbrannt ist und kann die dort ändern ...
Ich benutze seit > 20 Jahren für jeden Dienst,/Portsl,/Forum/etc eine angepasste eMail-ALIAS-Adresse ... also weit mehr als 100 inzwischen.
Die persönlichen Basis,-Domains sind zudem bei https://haveibeenpwned.com/ zur Überwachubg eingetragen...
Resultat: Quasi Null Spam oder andere Schadmails,.
Zudem gab es in den letzten Jahren 3 Mitteilungen über gestohlene Mail-Adressrn - bekannteste Beispiele ebay und Adobe ...
Na und? Dort die Mail-Adressen geändert und gut ist ...
Bei z.B. eBay-Käufen in US oder China wird man oft von Spam geflutet: Und?: Egsl: eMail-Adresse bei eBay geändert und gut ist ...
Genauso mit anderen Portalen: Anhand der eMail-Adresse erkenne ich bei welchem Dienst die eMail-Adresse verbrannt ist und kann die dort ändern ...
Erstmal Danke für die Hinweise.
Dass sich die Anzahl möglicher Kombinationen verringert, je mehr erzwungen wird, ist mir schon klar.
Auch dass lange Kennwörter aufgrund der schieren Anzahl an Variationen sicherer sind.
Wobei man immer auch bedenken muss, dass der Angreifer i.d.R. nicht weiß, wie lange das Kennwort ist und welche Kriterien anzulegen sind.
In den Vorgaben/Empfehlungen des BSI steht aber nun mal mind. 8 Zeichen aus 4 Zeichengruppen oder mind. 25 Zeichen aus 2 Zeichengruppen.
Da das eine Vertragsvorgabe ist, muss es durchsetzbar sein. Eine reine Empfehlung reicht eben nicht.
Wobei die Prüfung der "willkürlichen Aneinanderreihung" programmatisch sicher Spaß macht
Warum die langen Kennwörter auf wenig Gegenliebe stoßen werden?
Weil derselbe Vorschlag, aber mit weit weniger als 25 Zeichen, vor einigen Jahren schon dasselbe Schicksal erlitten hat.
Das Tool von Netwrix werde ich mir auf jeden Fall mal ansehen.
Dass sich die Anzahl möglicher Kombinationen verringert, je mehr erzwungen wird, ist mir schon klar.
Auch dass lange Kennwörter aufgrund der schieren Anzahl an Variationen sicherer sind.
Wobei man immer auch bedenken muss, dass der Angreifer i.d.R. nicht weiß, wie lange das Kennwort ist und welche Kriterien anzulegen sind.
In den Vorgaben/Empfehlungen des BSI steht aber nun mal mind. 8 Zeichen aus 4 Zeichengruppen oder mind. 25 Zeichen aus 2 Zeichengruppen.
Da das eine Vertragsvorgabe ist, muss es durchsetzbar sein. Eine reine Empfehlung reicht eben nicht.
Wobei die Prüfung der "willkürlichen Aneinanderreihung" programmatisch sicher Spaß macht
Warum die langen Kennwörter auf wenig Gegenliebe stoßen werden?
Weil derselbe Vorschlag, aber mit weit weniger als 25 Zeichen, vor einigen Jahren schon dasselbe Schicksal erlitten hat.
Das Tool von Netwrix werde ich mir auf jeden Fall mal ansehen.
Ich kann das kostenlose Tool "Lithnet" sehr empfehlen.
Über reguläre Ausdrücke kann man eine viel feinere Komplexität erzwingen. Wir geben z.b. vor, dass ein Sonderzeichen in der Mitte sein muss. Die meisten Passwörter waren sonst immer nach dem Schema "Winter22!", das lässt sich per Bruteforce zu leicht knacken. Dank Sonderzeichen in der Mitte nutzen viele nun zwei Wörter und irgendwas dazwischen.
Zusätztlich gleicht Lithnet auch noch offline mit der HIBP Datenbank ab.
https://lithnet.io/products/password-protection
https://github.com/lithnet/ad-password-protection/wiki/
Über reguläre Ausdrücke kann man eine viel feinere Komplexität erzwingen. Wir geben z.b. vor, dass ein Sonderzeichen in der Mitte sein muss. Die meisten Passwörter waren sonst immer nach dem Schema "Winter22!", das lässt sich per Bruteforce zu leicht knacken. Dank Sonderzeichen in der Mitte nutzen viele nun zwei Wörter und irgendwas dazwischen.
Zusätztlich gleicht Lithnet auch noch offline mit der HIBP Datenbank ab.
https://lithnet.io/products/password-protection
https://github.com/lithnet/ad-password-protection/wiki/
1
@Fabian82
Das sieht sehr gut aus!
Das Einzige, was mich etwas skeptisch macht: unter https://github.com/lithnet/ad-password-protection steht, dass es auf 2012R2 oder neuer funktioniert. Ich würde solche Aussagen tunlichst vermeiden und lieber konkret die getesteten Versionen eintragen. Geht hier nämlich etwas schief, dann kannst Du deine Domäne an den Nagel hängen.
Das sieht sehr gut aus!
Das Einzige, was mich etwas skeptisch macht: unter https://github.com/lithnet/ad-password-protection steht, dass es auf 2012R2 oder neuer funktioniert. Ich würde solche Aussagen tunlichst vermeiden und lieber konkret die getesteten Versionen eintragen. Geht hier nämlich etwas schief, dann kannst Du deine Domäne an den Nagel hängen.
Danke für den Tipp, Fabian.
Das werd' ich mir auf jeden Fall auch ansehen
Das werd' ich mir auf jeden Fall auch ansehen