7
Microsoft empfiehlt: Abschaffung der Passwortablaufrichtlinie
Hallo,
habe soeben hier folgende Schalgzeile gelesen:
"Microsoft rät [...] davon ab, Passwort zu ändern"
hm.
Hat sich wirklich herausgestellt, dass mehrfach geänderte Passwörter unsicherer werden oder sind gewisse Organisationen mehrfach knapp an der 180-Tage-Grenze gescheitert?
Gruß
habe soeben hier folgende Schalgzeile gelesen:
"Microsoft rät [...] davon ab, Passwort zu ändern"
hm.
Hat sich wirklich herausgestellt, dass mehrfach geänderte Passwörter unsicherer werden oder sind gewisse Organisationen mehrfach knapp an der 180-Tage-Grenze gescheitert?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 445924
Url: https://administrator.de/contentid/445924
Printed on: April 26, 2024 at 14:04 o'clock
7 Comments
Latest comment
Wenn man dann erst mal die Kreativität der Mitarbeiter erkannt hat wie sie Passwörter "generieren" und was für ein Ergebnis dabei häufig heraus kommt, dann wird einem schnell klar, dass man sie lieber selbst vergibt und auf regelmäßige Aktualisierung verzichtet.
1
Die Presse spielt "stille Post".
MIcrosoft hat die Vorgabe, das maximale Kennwortalter auf 60 Tage festzulegen, aus seiner Vorgabe "Security baseline" entfernt. Sie empfehlen jedoch keinesfalls, diese Richtlinien zu ändern oder gar abzuschaffen, wenn ein Unternehmen sie bereits nutzt.
--
MIcrosoft hat die Vorgabe, das maximale Kennwortalter auf 60 Tage festzulegen, aus seiner Vorgabe "Security baseline" entfernt. Sie empfehlen jedoch keinesfalls, diese Richtlinien zu ändern oder gar abzuschaffen, wenn ein Unternehmen sie bereits nutzt.
--
Why are we removing password-expiration policies?
First, to try to avoid inevitable misunderstandings, we are talking here only about removing password-expiration policies – we are not proposing changing requirements for minimum password length, history, or complexity. Periodic password expiration is a defense only against the probability that a password (or hash) will be stolen during its validity interval and will be used by an unauthorized entity. If a password is never stolen, there’s no need to expire it. And if you have evidence that a password has been stolen, you would presumably act immediately rather than wait for expiration to fix the problem.
If it’s a given that a password is likely to be stolen, how many days is an acceptable length of time to continue to allow the thief to use that stolen password? The Windows default is 42 days. Doesn’t that seem like a ridiculously long time? Well, it is, and yet our current baseline says 60 days – and used to say 90 days – because forcing frequent expiration introduces its own problems. And if it’s not a given that passwords will be stolen, you acquire those problems for no benefit. Further, if your users are the kind who are willing to answer surveys in the parking lot that exchange a candy bar for their passwords, no password expiration policy will help you.
Our baselines are intended to be usable with minimal if any modification by most well-managed, security-conscious enterprises. They are also intended to serve as guidance for auditors. So, what should the recommended expiration period be? If an organization has successfully implemented banned-password lists, multi-factor authentication, detection of password-guessing attacks, and detection of anomalous logon attempts, do they need any periodic password expiration? And if they haven’t implemented modern mitigations, how much protection will they really gain from password expiration?
The results of baseline compliance scans are usually measured by how many settings are out of compliance: “How much red do we have on the chart?” It is not unusual for organizations during audit to treat compliance numbers as more important than real-world security. If a baseline recommends 60 days and an organization with advanced protections opts for 365 days – or no expiration at all – they will get dinged in an audit unnecessarily and might be compelled to adhere to the 60-day recommendation.
Periodic password expiration is an ancient and obsolete mitigation of very low value, and we don’t believe it’s worthwhile for our baseline to enforce any specific value. By removing it from our baseline rather than recommending a particular value or no expiration, organizations can choose whatever best suits their perceived needs without contradicting our guidance. At the same time, we must reiterate that we strongly recommend additional protections even though they cannot be expressed in our baselines.
First, to try to avoid inevitable misunderstandings, we are talking here only about removing password-expiration policies – we are not proposing changing requirements for minimum password length, history, or complexity. Periodic password expiration is a defense only against the probability that a password (or hash) will be stolen during its validity interval and will be used by an unauthorized entity. If a password is never stolen, there’s no need to expire it. And if you have evidence that a password has been stolen, you would presumably act immediately rather than wait for expiration to fix the problem.
If it’s a given that a password is likely to be stolen, how many days is an acceptable length of time to continue to allow the thief to use that stolen password? The Windows default is 42 days. Doesn’t that seem like a ridiculously long time? Well, it is, and yet our current baseline says 60 days – and used to say 90 days – because forcing frequent expiration introduces its own problems. And if it’s not a given that passwords will be stolen, you acquire those problems for no benefit. Further, if your users are the kind who are willing to answer surveys in the parking lot that exchange a candy bar for their passwords, no password expiration policy will help you.
Our baselines are intended to be usable with minimal if any modification by most well-managed, security-conscious enterprises. They are also intended to serve as guidance for auditors. So, what should the recommended expiration period be? If an organization has successfully implemented banned-password lists, multi-factor authentication, detection of password-guessing attacks, and detection of anomalous logon attempts, do they need any periodic password expiration? And if they haven’t implemented modern mitigations, how much protection will they really gain from password expiration?
The results of baseline compliance scans are usually measured by how many settings are out of compliance: “How much red do we have on the chart?” It is not unusual for organizations during audit to treat compliance numbers as more important than real-world security. If a baseline recommends 60 days and an organization with advanced protections opts for 365 days – or no expiration at all – they will get dinged in an audit unnecessarily and might be compelled to adhere to the 60-day recommendation.
Periodic password expiration is an ancient and obsolete mitigation of very low value, and we don’t believe it’s worthwhile for our baseline to enforce any specific value. By removing it from our baseline rather than recommending a particular value or no expiration, organizations can choose whatever best suits their perceived needs without contradicting our guidance. At the same time, we must reiterate that we strongly recommend additional protections even though they cannot be expressed in our baselines.
Das Ganze ist nicht neu, dauert wohl noch ein paar Jahre bis es auch ankommt.
Bei uns intern will das auch keiner "wagen", weil es war ja immer so ...
Kurz, heißt es, kein Abblauf mehr, dafür ein langes Passwort; keine Zeichen mehr vorschreiben.
Siehe National Institute of Standards and Technology (NIST): http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pd ...
Schneier on security: https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
Oder ein heise Kommentar: https://www.heise.de/newsticker/meldung/Kommentar-Der-Aendere-dein-Passw ...
Denn ganz ehrlich, die meisten User ändern nur ein Zeichen, oder erhöhen die hintere Zahl.
Am besten ist aber eine Multi-Faktor-Authentifizierung ...
Bei uns intern will das auch keiner "wagen", weil es war ja immer so ...
Kurz, heißt es, kein Abblauf mehr, dafür ein langes Passwort; keine Zeichen mehr vorschreiben.
Siehe National Institute of Standards and Technology (NIST): http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pd ...
Schneier on security: https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
Oder ein heise Kommentar: https://www.heise.de/newsticker/meldung/Kommentar-Der-Aendere-dein-Passw ...
Denn ganz ehrlich, die meisten User ändern nur ein Zeichen, oder erhöhen die hintere Zahl.
Am besten ist aber eine Multi-Faktor-Authentifizierung ...
Hier auch mal ein spannendes Konzept:
https://www.linkedin.com/feed/update/urn:li:activity:6523259776300838912 ...
https://www.linkedin.com/feed/update/urn:li:activity:6523259776300838912 ...
Usernamen und Kennwörter werden im Allgemeinen überbewertet... bei uns in der Firma steckt man eine Smartcard rein, tippt die Pin ein und schon bin ich drin. Und wenns mal ganz geheim wird, dann brauch ich noch ein OTP Token.
Anmeldungen hier und da (z.B. Mailserver, ERP) wird über Zertifikate geregelt - wir müssen theoretisch zwar alle 42 Tage das Kennwort ändern, und das auch nach Paßwortregeln die die User in den Wahnsinn treiben oder dazu, sich das "sichere" Kennwort aufzuschreiben... aber die Prozedur ist nur nötig damit das Konto nicht gesperrt wird. Also zweimal dieselbe Zeichensuppe eingießen und gut is.
So von wegen 4 unterschiedliche Sonderzeichen, Zahlen, Buchstaben groß und klein und 16 Stellen muß es lang sein und in keinem Dictionary enthalten sein und auch nicht in einer 5 Jahre währenden Passworthistorie... ich hab es bisher noch nicht gewagt zu fragen, ob die Kennwörte rim Klartext aufbewahrt werden oder gehasht. Mit einem deutschen Ö hab ich dann mal einen zentralen Server gekillt und die IT rätselte dann 42 Tage lang, warum ich einen bestimmten RDP Proxy - und das letzte nicht-SAML-federated Server - nach dem Kennwortprompt sich aufhing. War ein Parallels Produkt, das mag halt kein Deutsch und kein SAML
da das nächste Kennwort dann kein Ö mehr enthielt konnten wir es dann durch Probieren und Aussortieren der Sonderzeichen in dem alten Kennwort reproduzieren.
Aber die aus 8 Zahlen bestehende Pin der Smartcard hab ich die letzten 10 Jahre noch nicht einmal ändern müssen. Und für die Pin gibts keine Bedingung außer daß es 8 beliebige Zahlen sein müssen.
Anmeldungen hier und da (z.B. Mailserver, ERP) wird über Zertifikate geregelt - wir müssen theoretisch zwar alle 42 Tage das Kennwort ändern, und das auch nach Paßwortregeln die die User in den Wahnsinn treiben oder dazu, sich das "sichere" Kennwort aufzuschreiben... aber die Prozedur ist nur nötig damit das Konto nicht gesperrt wird. Also zweimal dieselbe Zeichensuppe eingießen und gut is.
So von wegen 4 unterschiedliche Sonderzeichen, Zahlen, Buchstaben groß und klein und 16 Stellen muß es lang sein und in keinem Dictionary enthalten sein und auch nicht in einer 5 Jahre währenden Passworthistorie... ich hab es bisher noch nicht gewagt zu fragen, ob die Kennwörte rim Klartext aufbewahrt werden oder gehasht. Mit einem deutschen Ö hab ich dann mal einen zentralen Server gekillt und die IT rätselte dann 42 Tage lang, warum ich einen bestimmten RDP Proxy - und das letzte nicht-SAML-federated Server - nach dem Kennwortprompt sich aufhing. War ein Parallels Produkt, das mag halt kein Deutsch und kein SAML
da das nächste Kennwort dann kein Ö mehr enthielt konnten wir es dann durch Probieren und Aussortieren der Sonderzeichen in dem alten Kennwort reproduzieren.Aber die aus 8 Zahlen bestehende Pin der Smartcard hab ich die letzten 10 Jahre noch nicht einmal ändern müssen. Und für die Pin gibts keine Bedingung außer daß es 8 beliebige Zahlen sein müssen.
Mein Vater ist Beamter, der (gemessen an der dortigen Belegschaft) durchschnittlich talentiert im Umgang mit Computern ist.
Das Kennwort dort läuft alle 60 Tage ab. Deshalb hat er einfach eine Ziffer an sein Kennwört gehängt und inkrementiert sie.
Aus meiner Sicht wird das Kennwort damit nicht sicherer, nur der Aufwand steigt bei den Administratoren, weil Nutzer ihr Kennwort geändert und dann sofort vergessen haben.
Und ein Schwank aus ebendieser Behörde:
Ich war dort vor über 10 Jahren mal während eines Praktikums in der IT.
Gelegentlich war es erforderlich, dass man mit dem Profil des Nutzers angemeldet wurde um dort etwas zu ändern oder nachzuprüfen (z.B. dass der Drucker sich anders verhält als gewollt). Optimalerweise war der jeweilige Nutzer am Platz und hat einen eben schnell machen lassen, mit etwas Pech war derjenige nicht da.
Dann konnte man etweder das Kennwort im DC zurücksetzen - oder einfach nach dem Kennwort suchen.
Die Suchreihenfolge war:
Dieses Vorgehen war in 100% aller Fälle erfolgreich und funktioniert vermutlich auch in vielen anderen Behörden oder Firmen so.
Die Sauklaue von Beamten ist zwar ein zusätzliches Sicherheitsfeature, aber mit etwas Training leicht zu knacken.
Wie man [Win] + [L] verwendet, ist dort auch niemandem klar. Ich hätte mich zuletzt beim Einwohnermeldeamt, als die Dame für mehrere Minuten das Büro verließ um ein Formular zu besorgen, wohl mit Leichtigkeit auf einen komplett neuen Namen ummelden können...
Darauf hingewiesen erntet man dann verständnislose Blicke.
Ich hätte mal sagen müssen: "Irgendwas habe ich an irgendeinem Datensatz geändert. Viel Spaß, diese Änderung zu finden". Aber dazu bin ich ja auch zu nett...
Von daher wäre eine Hardware-Lösung (Smartcard) wohl das Beste. Wenn man diese Karte dann auch benötigt, um andere Türen zu öffnen, wird sie auch automatisch mitgenommen, wenn man den Arbeitsplatz verlässt
Das Kennwort dort läuft alle 60 Tage ab. Deshalb hat er einfach eine Ziffer an sein Kennwört gehängt und inkrementiert sie.
Aus meiner Sicht wird das Kennwort damit nicht sicherer, nur der Aufwand steigt bei den Administratoren, weil Nutzer ihr Kennwort geändert und dann sofort vergessen haben.
Und ein Schwank aus ebendieser Behörde:
Ich war dort vor über 10 Jahren mal während eines Praktikums in der IT.
Gelegentlich war es erforderlich, dass man mit dem Profil des Nutzers angemeldet wurde um dort etwas zu ändern oder nachzuprüfen (z.B. dass der Drucker sich anders verhält als gewollt). Optimalerweise war der jeweilige Nutzer am Platz und hat einen eben schnell machen lassen, mit etwas Pech war derjenige nicht da.
Dann konnte man etweder das Kennwort im DC zurücksetzen - oder einfach nach dem Kennwort suchen.
Die Suchreihenfolge war:
- Bildschirm
- Tastatur
- Mauspad
- Oberste Schublade des Schreibtisches
Dieses Vorgehen war in 100% aller Fälle erfolgreich und funktioniert vermutlich auch in vielen anderen Behörden oder Firmen so.
Die Sauklaue von Beamten ist zwar ein zusätzliches Sicherheitsfeature, aber mit etwas Training leicht zu knacken.
Wie man [Win] + [L] verwendet, ist dort auch niemandem klar. Ich hätte mich zuletzt beim Einwohnermeldeamt, als die Dame für mehrere Minuten das Büro verließ um ein Formular zu besorgen, wohl mit Leichtigkeit auf einen komplett neuen Namen ummelden können...
Darauf hingewiesen erntet man dann verständnislose Blicke.
Ich hätte mal sagen müssen: "Irgendwas habe ich an irgendeinem Datensatz geändert. Viel Spaß, diese Änderung zu finden". Aber dazu bin ich ja auch zu nett...
Von daher wäre eine Hardware-Lösung (Smartcard) wohl das Beste. Wenn man diese Karte dann auch benötigt, um andere Türen zu öffnen, wird sie auch automatisch mitgenommen, wenn man den Arbeitsplatz verlässt
Moin Moin,
so etwas ähnliches hatten die Japaner bei S damals
(Vor knapp 15 Jahren..)
Also die aus dem Mutterkonzern die hier waren.
Aber Ich habe auch die aufgeschriebenen PW unterm Notebook gefunden..
Ok, manche In Kenji. Manche aber auch links vom Touchpad.
Bei den Japanern die ein deutsches NB bekommen haben.
Nachteil von NFC Chips:
Hat man sie vergessen hat man ein Problem.
Bekommt man einen Gast NFC Chip zum Öffnen der Büros und meldet sich mit diesem am Drucker an..
Ein paar Jahre später, andere Firma, dort wurden die Chips nicht gelöscht / gesperrt für die Drucker Nutzung.
Wenn jemand so einen hatte und den NFC anmeldete statt jedesmal händisch, konnte der nächste in dem Namen des gespeicherten schöne Dinger verschicken.
z.B. einen Brief ala "Ich finde sie saudoof" an den CFO und in CC seinen Vorstandsdrachen
Das fanden die meisten weniger nett, den Gedanken.
so etwas ähnliches hatten die Japaner bei S damals
(Vor knapp 15 Jahren..)
Also die aus dem Mutterkonzern die hier waren.
Aber Ich habe auch die aufgeschriebenen PW unterm Notebook gefunden..
Ok, manche In Kenji. Manche aber auch links vom Touchpad.
Bei den Japanern die ein deutsches NB bekommen haben.
Nachteil von NFC Chips:
Hat man sie vergessen hat man ein Problem.
Bekommt man einen Gast NFC Chip zum Öffnen der Büros und meldet sich mit diesem am Drucker an..
Ein paar Jahre später, andere Firma, dort wurden die Chips nicht gelöscht / gesperrt für die Drucker Nutzung.
Wenn jemand so einen hatte und den NFC anmeldete statt jedesmal händisch, konnte der nächste in dem Namen des gespeicherten schöne Dinger verschicken.
z.B. einen Brief ala "Ich finde sie saudoof" an den CFO und in CC seinen Vorstandsdrachen
Das fanden die meisten weniger nett, den Gedanken.