derwowusste
Goto Top

Interessante Methode für Leute, die in einer Windowsdomäne starke Kennwörter erzwingen wollen

https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelli ...

Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann.
Der Grundgedanke lautet: wir prüfen regelmäßig und automatisiert die Hashes der Kennwörter auf dem DC und vergleichen diese mit einer Liste geknackter Hashes. Findet sich der Hash auf der Liste, wird eine Kennwortänderung binnen x Tagen erzwungen.

Content-ID: 387050

Url: https://administrator.de/knowledge/interessante-methode-fuer-leute-die-in-einer-windowsdomaene-starke-kennwoerter-erzwingen-wollen-387050.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

emeriks
emeriks 20.09.2018 um 11:05:23 Uhr
Goto Top
Hi,
das ist ein Hammer-Ansatz!

E.
Lochkartenstanzer
Lochkartenstanzer 20.09.2018 um 12:41:41 Uhr
Goto Top
Zitat von @emeriks:

Hi,
das ist ein Hammer-Ansatz!


Da haben wir aber schon vor 20 Jahren mit nt4 und unix-Paßwörtern so ähnlich gemacht. Ein cronjob hat regdlmäßig die Hashes brute-Force zurückgerechnet und wenn irgendein Treffer war, wurde der betreffebde Account gezwungen ein neues anzulegen.

lks
DerWoWusste
DerWoWusste 20.09.2018 um 13:03:18 Uhr
Goto Top
...ich hab das schon vor 40 Jahren so geplant zu tun. Man bemerke: damals gab es noch nicht einmal Windows.
maretz
maretz 20.09.2018 um 20:28:06 Uhr
Goto Top
Dabei sollte man aber eines auch immer im Kopf haben: Natürlich kann ich beliebig kompexe Passwörter auch erzwingen - mit dem Effekt das die eh dann irgendwo aufgeschrieben und hingelegt werden (Monitor, Unter der Tastatur, Schublade,....). Und je öfter man die Anwender zwingt die zu ändern umso höher ist die Chance das es aufgeschrieben wird. Denn die meisten wollen sich einfach nicht soviele Daten merken (es ist ja nicht nur das Passwort.... PIn-Nummer Giro-Karte, PIN für Kreditkarte, relevate Termine, private Passwörter für Mail, Banking,...). Oder es gibt Passwörter die eben einfach nur "hinten hochgezählt" werden - MeinPa$$wort01, MeinPa$$wort02,.... Macht es jetzt auch nicht wirklich sicherer....

Soll natürlich nicht heissen das man generell einfache Passwörter zulässt, man sollte es aber halt im Hinterkopf haben und einen Mittelweg finden...
emeriks
emeriks 21.09.2018 um 08:29:36 Uhr
Goto Top
@maretz
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
Lochkartenstanzer
Lochkartenstanzer 21.09.2018 um 08:33:44 Uhr
Goto Top
Zitat von @emeriks:

@maretz
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?

87 (nein, keine 42) face-smile

lks

PS: Aber nur die, die ich oft genug eingeben muß. Die, die ich mal 4 Wochen nicht brauche sind relativ schnell "weg" und ich muß im Safe nachschauen.
holli.zimmi
holli.zimmi 21.09.2018 um 12:00:38 Uhr
Goto Top
HI,

beim letzten Lehrgang gab Windows 2008 Server, gab es dann die Möglichkeit für User die sich kein Password merken können, eine andere Kennwortrichtlinie zu schreiben!
- ich habe User kennengelernt, die konnten sich sowas überhaupt nicht merken!

Gruß

Holli
maretz
maretz 21.09.2018 um 17:41:38 Uhr
Goto Top
Gut, kannst du denn den Job jedes deiner Kollegen machen? Weil - die können ggf. eben gut Verkaufen, mit Kunden reden, 20 Programmiersprachen usw... Und da sagt dir doch auch keiner: DU musst das können weil die es auch können, oder?