Interessante Methode für Leute, die in einer Windowsdomäne starke Kennwörter erzwingen wollen
https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelli ...
Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann.
Der Grundgedanke lautet: wir prüfen regelmäßig und automatisiert die Hashes der Kennwörter auf dem DC und vergleichen diese mit einer Liste geknackter Hashes. Findet sich der Hash auf der Liste, wird eine Kennwortänderung binnen x Tagen erzwungen.
Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann.
Der Grundgedanke lautet: wir prüfen regelmäßig und automatisiert die Hashes der Kennwörter auf dem DC und vergleichen diese mit einer Liste geknackter Hashes. Findet sich der Hash auf der Liste, wird eine Kennwortänderung binnen x Tagen erzwungen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387050
Url: https://administrator.de/knowledge/interessante-methode-fuer-leute-die-in-einer-windowsdomaene-starke-kennwoerter-erzwingen-wollen-387050.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
8 Kommentare
Neuester Kommentar
Da haben wir aber schon vor 20 Jahren mit nt4 und unix-Paßwörtern so ähnlich gemacht. Ein cronjob hat regdlmäßig die Hashes brute-Force zurückgerechnet und wenn irgendein Treffer war, wurde der betreffebde Account gezwungen ein neues anzulegen.
lks
Dabei sollte man aber eines auch immer im Kopf haben: Natürlich kann ich beliebig kompexe Passwörter auch erzwingen - mit dem Effekt das die eh dann irgendwo aufgeschrieben und hingelegt werden (Monitor, Unter der Tastatur, Schublade,....). Und je öfter man die Anwender zwingt die zu ändern umso höher ist die Chance das es aufgeschrieben wird. Denn die meisten wollen sich einfach nicht soviele Daten merken (es ist ja nicht nur das Passwort.... PIn-Nummer Giro-Karte, PIN für Kreditkarte, relevate Termine, private Passwörter für Mail, Banking,...). Oder es gibt Passwörter die eben einfach nur "hinten hochgezählt" werden - MeinPa$$wort01, MeinPa$$wort02,.... Macht es jetzt auch nicht wirklich sicherer....
Soll natürlich nicht heissen das man generell einfache Passwörter zulässt, man sollte es aber halt im Hinterkopf haben und einen Mittelweg finden...
Soll natürlich nicht heissen das man generell einfache Passwörter zulässt, man sollte es aber halt im Hinterkopf haben und einen Mittelweg finden...
@maretz
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
Zitat von @emeriks:
@maretz
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
@maretz
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
87 (nein, keine 42)
lks
PS: Aber nur die, die ich oft genug eingeben muß. Die, die ich mal 4 Wochen nicht brauche sind relativ schnell "weg" und ich muß im Safe nachschauen.