pn-schrauber
Goto Top

Wie handhabt ihr Passwörter und Displaysperren?

Hallo,

heute mal was Off Topic.

Da bei uns derzeit einige User meinen gegen unsere Richtlinien (vorallem die der Displaysperre) rebelieren zumüssen, wollte ich euch mal fragen, wie ihr es handhabt.

So ist es bei uns

Passwort
- Rechnerpasswort alle 90 Tage ändern
- min. 8 Zeichen
- min. 1 Großbuchstabe
- min. 1 Kleinbuchstabe
- min. 1 Ziffer
- min. 1 nichtalphanummerisches Zeichen
- 1 Zeichen darf maximal 5 mal vorkommen uns nmaximal 2 mal nacheinander

Rechner
- der Bildschirm schaltet sich nach 20 Minuten aus (Energieeinstellungen)
- Reaktivierung nur mit Passwort

Dies ist weniger als Frage zu verstehen, es soll mehr ein Erfahrungsaustausch sein

Content-ID: 498166

Url: https://administrator.de/contentid/498166

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

rudeboy
rudeboy 25.09.2019 um 08:48:57 Uhr
Goto Top
Moin!

Musste das vom Mutterkonzern forcieren:

The Password requirements are as follows:
 Must be at least six characters in length
 Must use upper and lower case characters (A – Z, a - z)
 Must contain a number or special character (e.g. 0-9, @,!, $, #, % etc..)
 Must be reset every 90 days, once reset, password cannot be reset again for 24 hours
 Must not be the same as previous 24 passwords used
 Must not be similar to your username (if any 2 letters matching username appear in the same order it will be rejected)

Bildschirmsperre sollte laut Datenschutzbeauftragten auf 5 Minuten gesetzt werden.

Gruß
rudeboy
Kraemer
Kraemer 25.09.2019 um 08:49:42 Uhr
Goto Top
Moin,

es gibt Gesetzte - an die muss man sich halten,
es gibt Betriebsanweisungen - an die sollte man sich halten
und es gibt nervige Dinge - die sollte man meiden.

Will sagen: Solche automatischen Sperren sollte man nur da einrichten, wo sie wirklich gebraucht werden. Alles andere ist Gängelei. Alle 90 Tage Passwort ändern zu müssen allerdings auch.

Gruß
Kraemer
Kraemer 25.09.2019 um 08:50:44 Uhr
Goto Top
Zitat von @rudeboy:
 Must not be the same as previous 24 passwords used
boah - das ist hart für 0/8/15-Mitarbeiter
Julian94
Julian94 25.09.2019 um 08:52:16 Uhr
Goto Top
Moin!

Also ich gehöre zu denen, die nichts von einer regelmäßigen Kennwortänderung halten. Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.

Bildschirmsperre schaltet sich bei uns nach 5 Minuten Inaktivität ein. Ist eigentlich noch zu hoch, aber die Kollegen haben lange genug genörgelt..

Gruß
Julian
rana-mp
rana-mp 25.09.2019 aktualisiert um 08:58:09 Uhr
Goto Top
Das ganze fuehrt halt bei wohl 90% der Mitarbeiter zu folgenden:

P@55w0rd001
P@55w0rd002
P@55w0rd003
P@55w0rd004
P@55w0rd005

EDIT: Unsere Regeln:

Mindestens 8 Zeichen,
3 von 4: Grossbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen
Aendern nach 180 Tagen,
Passwort Historie: 5
Durch Verwendung von Hardware Token: Maximale Laenge 32 Zeichen.
Bildschirmsperre nach 15 Minuten
emeriks
emeriks 25.09.2019 um 09:01:29 Uhr
Goto Top
Hi,
Zitat von @Julian94:
Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.
Nennst Du bitte Quellen dafür?

E.
Kraemer
Kraemer 25.09.2019 aktualisiert um 09:05:03 Uhr
Goto Top
Zitat von @emeriks:

Hi,
Zitat von @Julian94:
Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.
Nennst Du bitte Quellen dafür?
Unter anderem der Landesdatenschutzbeauftrage BaWü gibt das als Empfehlung aus. Sollte man eigentlich wissen.
Die Aussage an sich ist allerdings zu kurz zitiert. Da hängen natürlich diverse abers und wenns dran.
emeriks
emeriks 25.09.2019 um 09:08:20 Uhr
Goto Top
Hi,
Zitat von @Kraemer:
Will sagen: Solche automatischen Sperren sollte man nur da einrichten, wo sie wirklich gebraucht werden. Alles andere ist Gängelei. Alle 90 Tage Passwort ändern zu müssen allerdings auch.
Solange es Dich nicht selbst betrifft.

Will sagen:
Hättest Du ein Kind und dieses würde "laufend" ein neues Freundeskind mit nach Hause bringen und diesem auch nach kurzer Zeit die PIN für eure Alarmanlage geben, damit es ins Haus kommen kann, wann will, dann würdest Du auch darauf bestehen, dass die PIN regelmäßig geändert wird, um auszuschließen, dass irgendein verflossenes Freundeskind mit der bekannten PIN weiterhin in die Wohnung kommt.

E.
emeriks
emeriks 25.09.2019 aktualisiert um 09:30:28 Uhr
Goto Top
Zitat von @Kraemer:
Unter anderem der Landesdatenschutzbeauftrage BaWü gibt das als Empfehlung aus.
Danke, aber das ist keine Quelle. Das ist nur Hörensagen.
Sollte man eigentlich wissen.
Warum sollte ich wissen müssen, was irgendein Hansel aus BaWü mal empfohlen hat?
Kraemer
Kraemer 25.09.2019 um 09:13:20 Uhr
Goto Top
Zitat von @emeriks:
Sollte man eigentlich wissen.
Warum sollte ich wissen müssen, was irgendein Hansel aus BaWü mal empfohlen hat?
entschuldige bitte - hätte gedacht, dass du liest...
emeriks
emeriks 25.09.2019 um 09:31:00 Uhr
Goto Top
Zitat von @Kraemer:
entschuldige bitte - hätte gedacht, dass du liest...
?
aqui
aqui 25.09.2019 um 09:40:50 Uhr
Goto Top
Damit hat sich das Thema Passwort ganz erledigt:
https://www.heise.de/select/ct/2019/18/1566917336782380
emeriks
emeriks 25.09.2019 um 09:51:20 Uhr
Goto Top
Zitat von @aqui:
Damit hat sich das Thema Passwort ganz erledigt:
Nein, ganz sicher nicht.
Das ist ne gute Sache. Jedoch - wie ich es verstanden habe - erstmal nur für Web-Dienste. Und auch nur für interaktive Logins.
KMUlife
KMUlife 25.09.2019 um 09:55:33 Uhr
Goto Top
Hallöle

lesen

Es gibt tonnenweise Leute die davon Abraten, nicht nur der Herrn Hansel von der BaWü. Ob du da anderer Meinung bist ist dir überlassen. Ich für mich weiss auf jedenfall, dass ich nicht alle 90Tage ein neues Login-PW erfinden will, das einfach zu merken ist und trotzdem genug Kryptisch das nicht einfach der Duden verwendet werden kann. Ich habe als IT-Admin schon genügend Passwörter bei welchen ich ohne Passwortmanager heillos überfordert wäre. - Und das Masterpasswort von einem Passwortmanager wird ja auch nicht alle 90 Tage geändert.

Wichtig ist, dass es genügend lang ist und das du es nicht für andere Dienste auch noch verwendest.
- Meine Meinung

LG
KMUlife
godlie
godlie 25.09.2019 um 09:59:02 Uhr
Goto Top
Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Lochkartenstanzer
Lochkartenstanzer 25.09.2019 aktualisiert um 13:05:32 Uhr
Goto Top
Zitat von @PN-Schrauber:

Hallo,

Da bei uns derzeit einige User meinen gegen unsere Richtlinien (vorallem die der Displaysperre) rebelieren zumüssen, wollte ich euch mal fragen, wie ihr es handhabt.


Moin

Cat9.

lks

PS: Zwangspasswortänderungen und zu viele Sonderzeichen sind kontaproduktiv. Hingegen sind Paßwortcracker, die im Erfolgsfall den Usern eine Änderung vorschreiben sinnvoller.
Lochkartenstanzer
Lochkartenstanzer 25.09.2019 um 10:04:27 Uhr
Goto Top
Zitat von @aqui:

Damit hat sich das Thema Passwort ganz erledigt:
https://www.heise.de/select/ct/2019/18/1566917336782380


Nein. Fido2 ust ein ganz anderes Szenario als in Betrieb und hat auch seine großen Macken.

Wird sich bei den DAUs als kontraproduktiv herausstellen.

lks
it-fraggle
it-fraggle 25.09.2019 um 10:08:14 Uhr
Goto Top
Das hat ein bisschen was von "Frag zwei Anwält und du erhälst drei Meinungen". Wir haben das so geregelt, dass nach 15 Minuten der Monitor schwarz wird. Passwörter ist immer so ein Ding. Unsere Erfahrung war, dass die PWs immer schlechter werden je öfter die Leute sie ändern müssen. Darum sind wir dazu übergegangen sie ein mal pro Jahr zu ändern. Dafür sind sie aber mind. 12 Zeichen lang. Wir haben dazu mal eine Schulung gemacht und den Mitarbeitern nahegelegt, dass sie sich Merksätze bilden. Das ist hier nun so gängig und scheint zu funktionieren. Na klar gibt es immer wieder diesen Einen.
emeriks
emeriks 25.09.2019 um 10:12:55 Uhr
Goto Top
Zitat von @KMUlife:
Wichtig ist, dass es genügend lang ist und das du es nicht für andere Dienste auch noch verwendest.
Korrekt!
Unabhängig von allen anderen Punkten

Ich denke, bei diesem Thema muss man klar unterscheiden zwischen
  • System- und Root-Admin-Konten
und
  • "normale" Arbeitskonten (das können auch einige Admin-Konten sein)

System- und Root-Admin-Konten
Das sehe ich auch so, dass diese nicht häufig geändert werden müssen/sollten. Solange sie "hart genug" sind.

"normale" Arbeitskonten
Unter dem Aspekt der möglichen Mitarbeiter- und/oder Zuständigkeitsfluktuation können sich hier ganz schnell entsprechende Notwendigkeiten ergeben. Das kann man unmöglich pauschalisieren und von daher auch nicht "verteufeln"
emeriks
emeriks 25.09.2019 aktualisiert um 10:17:29 Uhr
Goto Top
Zitat von @godlie:
Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Das ist dann aber ein anderes Thema.

Ich denke, wir müssen nicht darüber reden, dass man für ein Atomkraftwerk eine Zugangskontrolle benötigt. Und die Tatsache, dass ein Vollidiot die Schlüssel dafür vor dem Tor in einem Blumentopf "versteckt", würde unsere Meinung über die Notendigkeit der Zugangskontrolle nicht ändern. Aber jene über die Prügelstrafe ...
Kraemer
Kraemer 25.09.2019 um 10:23:23 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @godlie:
Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Das ist dann aber ein anderes Thema.
nein, ist es nicht. Es ist exakt das Thema! Durch zu häufige Passwortwechsel - so haben Studien ergeben - werden die Passwörter zu einfach oder kleben halt am Bildschirm oder sonst wo.
Wenn du den Schlüssel für das AKW unnötig schwer machst, dann steigt die Wahrscheinlichkeit enorm an, dass du diesen in deinem Blumentopf findest...
Looser27
Looser27 25.09.2019 um 10:28:48 Uhr
Goto Top
Hm.....

dann gehören wir wohl eher zu den Paranoiden, denn:

Unser Passwort ist min. 6 Zeichen lang, enthält Großbuchstaben, Zahl / Sonderzeichen und die letzten 12 sind gesperrt.
UND: Passwortwechsel alle 42 Tage erzwungen!

Bildschirmschoner werden nach 5min autom. aktiviert und erneuter Login nur mit Passwort.

Und was den Landesdatenschutzbeauftragten angeht: Meiner Meinung nach kann der viel erzählen....denn er muß ja nicht mit den Konsequenzen leben.

Von daher haben wir das gemeinsam mit der Geschäftsleitung so umgesetzt.
Floooh
Floooh 25.09.2019 aktualisiert um 10:41:20 Uhr
Goto Top
- kein erzwungener Passwortwechsel
- Passwort mindestens 10 Zeichen lang mit Groß/Kleinschreibung, Sonderzeichen und Ziffern
- Bildschirmsperre nach 10min + die Anweisung den Bildschirm beim verlassen des Arbeitsplatzes zu sperren (was über die Jahre bisher ganz gut geklappt hat) - danach Anmeldung mit Passwort
emeriks
emeriks 25.09.2019 um 10:41:40 Uhr
Goto Top
@Looser27
Das sehe ich genauso.
emeriks
emeriks 25.09.2019 um 10:45:25 Uhr
Goto Top
@Kraemer
OK. Für mich sind das jedoch verschiedene Themen.
  1. Die Behauptung, dass durch den erzwungenen Passwortwechsel die Sicherheit der Passwörter aus Prinzip leiden würde.
  2. Die Fahrlässigkeit von Konteninhaber beim Umgang mit Passwörtern.
  3. Die Ausreden der Administration (Technik wie Verwaltung) bei der Umsetzung der notwendigen Maßnahmen, weil die Maßnahmen ja sowieso keinen Sinn haben würden, weil ja alle anderen (i.A. die Anwender) zu doof sind, damit umzugehen.
brammer
brammer 25.09.2019 um 10:52:29 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @rudeboy:
 Must not be the same as previous 24 passwords used
boah - das ist hart für 0/8/15-Mitarbeiter

wieso?
der findige Kollege zählt dann sein Standardpassort um 25 hoch ....

meinPass-1
meinPass-2
.
.
.
meinPass-25

gängige Praxis
brammer
brammer 25.09.2019 um 10:54:56 Uhr
Goto Top
Hallo,

diesem auch nach kurzer Zeit die PIN für eure Alarmanlage geben, damit es ins Haus kommen kann, wann will, dann würdest Du auch darauf
bestehen, dass die PIN regelmäßig geändert wird, um auszuschließen, dass irgendein verflossenes Freundeskind mit der bekannten PIN weiterhin
in die Wohnung kommt.

Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,

brammer
Lochkartenstanzer
Lochkartenstanzer 25.09.2019 um 10:57:03 Uhr
Goto Top
Zitat von @brammer:

Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,


Taschengeldkürzungen sind effektiver und preiswerter. face-smile

lks
goscho
goscho 25.09.2019 um 10:57:37 Uhr
Goto Top
Moin

bei mir im Netzwerk gibt es keine Regel zur Passwortrotation alle x-Tage. Ebenso sieht es bei den meisten meiner KMU-Kunden aus.

Zitat von @emeriks:
  1. Die Ausreden der Administration (Technik wie Verwaltung) bei der Umsetzung der notwendigen Maßnahmen, weil die Maßnahmen ja sowieso keinen Sinn haben würden, weil ja alle anderen (i.A. die Anwender) zu doof sind, damit umzugehen.

Die Anwender sind nicht zu doof, sondern so intelligent, dass sie alle Anforderung beim häufigen Passwortwechsel umsetzen und dabei trotzdem Passwörter generieren, die leicht merkbar (und auch knackbar) sind.

Beispiel:

Passwortwechsel alle 90 Tage, Mindestens 8 Zeichen, Sonderzeichen, Zahlen, letzte 10 Kennwörter sind gesperrt:
Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019
Looser27
Looser27 25.09.2019 um 11:00:17 Uhr
Goto Top
Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019

Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
brammer
brammer 25.09.2019 um 11:05:20 Uhr
Goto Top
Hallo,

Die Anwender sind nicht zu doof, sondern so intelligent, dass sie alle Anforderung beim häufigen Passwortwechsel umsetzen und dabei trotzdem
Passwörter generieren, die leicht merkbar (und auch knackbar) sind.

Und genau deswegen wird eine Richtlinie für den Passwort Wechsel, egal wie Komplex, auch nie was bringen.
Das Passwort ist das schwächste Glied in der Sicherheitskette,

Da muss eine MFA oder Biometrische Sicherheit her.
Ist immer nur ein Frage was schütze ich ...
Im Privaten Umfeld aktuell wohl noch problematisch.
wobei es hier mit Fido2, wie von @aqui gepostet, oder mit Schlössern mit Fingerabdrucksensor Lösungen gibt.

Aber im Firmenumfeld definitiv ein Thema

Selbst wenn es nur um den Rechner im Lager geht damit die Stapler ihre Aufträge bekommen... dahinter hängt ein Warenwirtschaftssystem das von dort aus angreifbar sein kann.

brammer
Kraemer
Kraemer 25.09.2019 um 11:18:14 Uhr
Goto Top
Zitat von @Looser27:

Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019

Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
habe es jetzt nicht getestet - aber es sind Groß- und Kleinbuchstaben enthalten, Zahlen und ein nicht alphabetisches Zeichen. Sollte passen.
Kraemer
Kraemer 25.09.2019 um 11:20:11 Uhr
Goto Top
Zitat von @emeriks:
Warum sollte ich wissen müssen, was irgendein Hansel aus BaWü mal empfohlen hat?
ist ja nur der, der im Fall der Fälle Strafen aussprechen kann. Egal - M$ sieht es mittlerweile genau so
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baselin ...
hier eine Zusammenfassung: https://www.heise.de/security/meldung/Windows-10-1903-Microsoft-empfiehl ...
goscho
goscho 25.09.2019 um 11:22:07 Uhr
Goto Top
Zitat von @Looser27:

Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019

Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
Nur, wenn der Benutzername Winter, Frühling, Sommer oder Herbst oder eine der Jahreszahlen ist.
emeriks
emeriks 25.09.2019 um 11:22:13 Uhr
Goto Top
Zitat von @brammer:
Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,
Grundsätzlich richtig.
Aber auch genau das, was ich meine: Ablenkung vom Thema (Ausfluch), statt Lösungsansatz mit vorhandenen Mitteln.
emeriks
emeriks 25.09.2019 um 11:25:44 Uhr
Goto Top
Zitat von @brammer:
Die Anwender sind nicht zu doof, sondern so intelligent, dass sie alle Anforderung beim häufigen Passwortwechsel umsetzen und dabei trotzdem
Passwörter generieren, die leicht merkbar (und auch knackbar) sind.

Und genau deswegen wird eine Richtlinie für den Passwort Wechsel, egal wie Komplex, auch nie was bringen.
Das Passwort ist das schwächste Glied in der Sicherheitskette,
Alles richtig. Aber das faulste Glied ist hier eher der Admin!
Wenn ich es will, dann richte ich etwas ein oder lasse es einrichten, dass man als Anwender das Passwort nur nach strengen Regeln ändern kann. Und dazu gehört eben auch das Verweigern des "Hochzählens" u.ä. Das kann man schon mit Bordmitteln von Windows Server umsetzen.
emeriks
emeriks 25.09.2019 um 11:32:21 Uhr
Goto Top
Und noch mal ein anderer Ansatz:

"Blumentopf" als Passwort ist - theoretisch - relativ einfach zu merken, aber auch zu knacken.
"B1ument0pf" (oder noch mehr Leetspeak) - theoretisch - schon aufwändiger aber immer noch kein wirkliches Problem.

"HartesPasswortSuperhart123" ist - wenn es durch regelmäßige erzwungene Passwortänderungen mit "schlauem Hochzählen" zustande gekommen ist - per se unsicher.
Aber "HartesPasswortSuperhart123" ist - wenn ich es nur einmalig vergebe und in einem wunderschönen Tresor verpacke - sehr viel sicherer.
Oder wie jetzt?
emeriks
emeriks 25.09.2019 um 11:33:37 Uhr
Goto Top
Zitat von @Kraemer:
ist ja nur der, der im Fall der Fälle Strafen aussprechen kann
Ich bin kein BaWü.
SomebodyToLove
SomebodyToLove 25.09.2019 um 11:53:20 Uhr
Goto Top
Zu diesem Thema habe ich immer wieder das selbe Bild vor Augen, welches meine Ansicht etwas geändert hat: face-smile
password_strength
brammer
brammer 25.09.2019 um 11:53:48 Uhr
Goto Top
Hallo,

Und dazu gehört eben auch das Verweigern des "Hochzählens" u.ä. Das kann man schon mit Bordmitteln von Windows Server umsetzen.

da weiß ich zu wenig über die Möglichkeiten das einzuschränken...

aber user sind findig....

HartesPasswortSuperhartI
HartesPasswortSuperhartII
HartesPasswortSuperhartIII
HartesPasswortSuperhartIIII

oder

Hartes!PasswortSuperhart
Hartes!!PasswortSuperhart
Hartes!!!PasswortSuperhart

sind ja machbare "Hochzählvariationen"

brammer
SomebodyToLove
SomebodyToLove 25.09.2019 um 11:55:21 Uhr
Goto Top
Kraemer
Kraemer 25.09.2019 um 12:11:25 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Kraemer:
ist ja nur der, der im Fall der Fälle Strafen aussprechen kann
Ich bin kein BaWü.
richtig. Du bist ein ganz schlauer.
it-frosch
it-frosch 25.09.2019 um 12:52:44 Uhr
Goto Top
Hallo an alle,

um allen Seiten (Password ändern <--> User erstellt zu einfach Passwörter, da er sie sich nicht merken kann)
gerecht zu werden gäbe es noch diese Variante.

Regel 1 - Ich habe echt kein Bock mit diese bescheuerten Passwörter zu merken ----> R1-IhekBmdbPzm

Das wird ergänzt mit laufendem Jahr und laufender Nummer.

Damit wären wir fertig.

grüsse vom it-frosch
emeriks
emeriks 25.09.2019 aktualisiert um 15:07:17 Uhr
Goto Top
Zitat von @Kraemer:
richtig. Du bist ein ganz schlauer.
Das liest sich so, als würdest Du jetzt persönlich werden.
emeriks
emeriks 25.09.2019 um 12:58:51 Uhr
Goto Top
Lochkartenstanzer
Lochkartenstanzer 25.09.2019 um 13:03:55 Uhr
Goto Top
Zitat von @SomebodyToLove:

Zu diesem Thema habe ich immer wieder das selbe Bild vor Augen, welches meine Ansicht etwas geändert hat: face-smile

Sie auch Link oben. face-smile

lks
Lochkartenstanzer
Lochkartenstanzer 25.09.2019 aktualisiert um 13:11:07 Uhr
Goto Top
Zitat von @Looser27:

Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019

Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.

Nur wenn der User 2019 heißt. face-smile

Ansonsten sind solche Kombinationen ein beliebtes Paßwortschema, um "Zwangspaßwörter" zu generieren. Ich sehe das schon seit den frühen 80ern daß die User in solchen Fällen sehr kreativ sind, einfache und damit leicht zu erratende Paßwörter zu finden, die trotzdem die Richtlinien zu erfüllen.

lks
Lochkartenstanzer
Lochkartenstanzer 25.09.2019 um 13:10:25 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @emeriks:

Zitat von @godlie:
Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Das ist dann aber ein anderes Thema.
nein, ist es nicht. Es ist exakt das Thema! Durch zu häufige Passwortwechsel - so haben Studien ergeben - werden die Passwörter zu einfach oder kleben halt am Bildschirm oder sonst wo.
Wenn du den Schlüssel für das AKW unnötig schwer machst, dann steigt die Wahrscheinlichkeit enorm an, dass du diesen in deinem Blumentopf findest...

Oder ein Keil unter der Tür, damit man den Schlüssel nicht immer mitnehmen muß. face-smile

lks
SomebodyToLove
SomebodyToLove 25.09.2019 um 13:11:39 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @SomebodyToLove:

Zu diesem Thema habe ich immer wieder das selbe Bild vor Augen, welches meine Ansicht etwas geändert hat: face-smile

Sie auch Link oben. face-smile

lks

Uuuuppps, der Hyperlink war so lang, der kam mir verdächtig vor face-smile
Stefan007
Stefan007 25.09.2019 um 14:22:02 Uhr
Goto Top
Darf ich fragen, was bei euch dann unternommen wird, wenn die Rebellen nicht nachgeben? Welche Konsequenzen haben die User zu erwarten?
Ganzjahresgriller
Ganzjahresgriller 25.09.2019 um 15:05:49 Uhr
Goto Top
Ab ins Lager Boden wischen
it-frosch
it-frosch 25.09.2019 um 15:21:05 Uhr
Goto Top
Hallo Stefan007,

Darf ich fragen, was bei euch dann unternommen wird, wenn die Rebellen nicht nachgeben? Welche Konsequenzen haben die User zu erwarten?
Durch die Passwort Policy läuft sein Kennwort nach 90 Tagen ab.
Wenn er es dann nicht so ändert, dass er arbeiten kann, wird er das seinem Chef erklären müssen.

Weil wir gerade dabei sind. Wenn das Notebook > 90 Tage keinen Kontakt zum Netzwerk hat, wird der Computer im AD automatisch gelöscht.
Auch das passiert maximal 1x.

Grüße vom it-frosch
maretz
maretz 25.09.2019 um 16:31:53 Uhr
Goto Top
Ich sehe sowas recht locker...
--> Passwort-Richtlinien: Führen idR dazu das die Passwörter dann irgendwo aufgeschrieben werden und/oder eh nur hochgezählt werden... Schon hast du sowas wie Passwort!1, Passwort!2,...

--> Bildschirmschoner usw.: Das hängt arg von der Arbeit ab. Wenn die Personen z.B. zwar viel am Schreibtisch arbeiten, aber nicht immer am Rechner kann es ja sein das es Sinn macht das man sowas ganz abschaltet... Generell is aber auch da: Wenn das Passwort "normal" ist dann fällt es dem Anwender leichter den Bildschirm zu sperren als wenn der da super-komplexe Dinge eingeben soll. Was aber durchaus hilft: Wenn man einen ungesperrten Rechner sieht z.B. ne Mail an die Abteilung schicken in der der Mitarbeiter die Kollegen zum Eis einlädt, "interessante" Webseiten aufmachen... (hängt aber stark davon ab ob der-/diejenige den Spass versteht!).
Lochkartenstanzer
Lochkartenstanzer 25.09.2019 um 17:25:35 Uhr
Goto Top
Zitat von @Stefan007:

Darf ich fragen, was bei euch dann unternommen wird, wenn die Rebellen nicht nachgeben? Welche Konsequenzen haben die User zu erwarten?

cat9
Looser27
Looser27 25.09.2019 um 18:09:24 Uhr
Goto Top
und er oder sie darf sich vom Admin an###en lassen.....Das ist für die meisten schlimmer als vom Chef. Denn Den Administrator brauchen die meisten öfter....
dertowa
dertowa 25.09.2019 aktualisiert um 20:43:53 Uhr
Goto Top
Das Thema lässt sich nicht pauschal beantworten.
Habe das grundlegend mal bei uns versucht.
Durchgesetzte Regelung:
  • Beim Anmelden muss generell Benutzername & Kennwort angegeben werden, der zuletzt angemeldete Nutzer wird nicht angezeigt.
  • Kennwortlänge 6 Zeichen, 3 aus 4
  • Kennwortzwangsänderung 180 Tage

Bzgl. Bildschirmsperre haben das beinahe alle stillschweigend akzeptiert, bis dann einer Rebell gespielt hat und Zitat:
Wenn ich 5x am Tag den Platz kurz verlasse um eine Raucherpause zu machen (es wird ausgestempelt) muss ich mich 5x am Tag wieder neu anmelden (Bildschirmsperre stand auf 15 min), hinzu kommt die Zeit in denen ich im Betrieb unterwegs bin, sicherlich auch 5x am Tag.
Ergibt 10x am Tag noch mal neu anmelden, Zeitaufwand für die Firma bzw. für mich. Kosten für die Firma im Mittel 5x am Tag ~1 min x 20 Tage im Monat x 12 Monate im Jahr....
Auf die Diskussion hatte ich keine Lust und habe das abgeschaltet und eine Arbeitsanweisung rausgegeben, dass beim Verlassen des Arbeitsplatz das System gegen unberechtigten Zugriff zu sperren ist.

Ansonsten gibt es für den "gemeinen" User bei uns keine Geheimnisse, die Benutzerkennwörter liegen bei allen gefühlt offen unter der Tastatur.
PC-Schrotti
PC-Schrotti 25.09.2019 um 23:02:15 Uhr
Goto Top
Nicht ganz!
Regel 2 Für jedes System ein eigenes Passwort (oder wie in Deinem Fall ein Merksatz)
Damit wird aus Deiner "... und fertig" ganz einfach-Lösung ein nicht zu beherrschendes System, denn

back-to-topAdmin mit 10 Systemen = 10 dieser tollen Sätze umgewandelt in eine Buchstaben-Zahlen-Zechensuppe

back-to-topAdmin mit privat nochmal 10 Systemen = nochmal 10 tolle Sätze

back-to-topAdmin mit 30 Internet-Seiten, Portalen, Foren o.ä. bei denen er sich regelmäßig anmeldet = 30 weitere Sätze

back-to-topAdmin mit 20-30 Einkaufsmöglichkeiten bei verschiedenen Plattformen = nochmal 20-30 Sätze

ergibt Summasummarum ca. 70-80 solcher Sätze, an die Du Dich nach 4 Wochen Urlaub Montag morgen auch super toll erinnern kannst und sofort weißt, welcher Deiner 80 Sätze jetzt zu dem System passt, vor dem du gerade sitzt = perfect world!!!

Jetz haben wir fertig und wieder ein System, das nicht praktikabel ist, wenn man (frau) mehr als 3 System o.ä. an denen sich angemeldet wird.

Nicht das Passwort, die PIN, der Passwort-Safe oder ähnliches sind das Problem, der bequemliche Mensch ist das eigentliche Problem.
aqui
aqui 25.09.2019 aktualisiert um 23:12:39 Uhr
Goto Top
Ein Glück wenn man da KeePass hat oder besser einen FIDO2 Stick mit Bluetooth !!!
Eins aber stimmt. Die Schnittstelle Mensch und die Bequemlichkeit ist die Achillesferse von allem.