Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Microsoft empfiehlt: Abschaffung der Passwortablaufrichtlinie

Mitglied: Dilbert-MD

Dilbert-MD (Level 2) - Jetzt verbinden

29.04.2019 um 22:28 Uhr, 1239 Aufrufe, 7 Kommentare, 3 Danke

Hallo,

habe soeben hier folgende Schalgzeile gelesen:

"Microsoft rät [...] davon ab, Passwort zu ändern"

hm.

Hat sich wirklich herausgestellt, dass mehrfach geänderte Passwörter unsicherer werden oder sind gewisse Organisationen mehrfach knapp an der 180-Tage-Grenze gescheitert?

Gruß
Mitglied: it-fraggle
30.04.2019 um 07:33 Uhr
Wenn man dann erst mal die Kreativität der Mitarbeiter erkannt hat wie sie Passwörter "generieren" und was für ein Ergebnis dabei häufig heraus kommt, dann wird einem schnell klar, dass man sie lieber selbst vergibt und auf regelmäßige Aktualisierung verzichtet.
Bitte warten ..
Mitglied: DerWoWusste
30.04.2019, aktualisiert um 13:05 Uhr
Die Presse spielt "stille Post".
MIcrosoft hat die Vorgabe, das maximale Kennwortalter auf 60 Tage festzulegen, aus seiner Vorgabe "Security baseline" entfernt. Sie empfehlen jedoch keinesfalls, diese Richtlinien zu ändern oder gar abzuschaffen, wenn ein Unternehmen sie bereits nutzt.
--
Why are we removing password-expiration policies?
First, to try to avoid inevitable misunderstandings, we are talking here only about removing password-expiration policies – we are not proposing changing requirements for minimum password length, history, or complexity. Periodic password expiration is a defense only against the probability that a password (or hash) will be stolen during its validity interval and will be used by an unauthorized entity. If a password is never stolen, there’s no need to expire it. And if you have evidence that a password has been stolen, you would presumably act immediately rather than wait for expiration to fix the problem.
If it’s a given that a password is likely to be stolen, how many days is an acceptable length of time to continue to allow the thief to use that stolen password? The Windows default is 42 days. Doesn’t that seem like a ridiculously long time? Well, it is, and yet our current baseline says 60 days – and used to say 90 days – because forcing frequent expiration introduces its own problems. And if it’s not a given that passwords will be stolen, you acquire those problems for no benefit. Further, if your users are the kind who are willing to answer surveys in the parking lot that exchange a candy bar for their passwords, no password expiration policy will help you.
Our baselines are intended to be usable with minimal if any modification by most well-managed, security-conscious enterprises. They are also intended to serve as guidance for auditors. So, what should the recommended expiration period be? If an organization has successfully implemented banned-password lists, multi-factor authentication, detection of password-guessing attacks, and detection of anomalous logon attempts, do they need any periodic password expiration? And if they haven’t implemented modern mitigations, how much protection will they really gain from password expiration?
The results of baseline compliance scans are usually measured by how many settings are out of compliance: “How much red do we have on the chart?” It is not unusual for organizations during audit to treat compliance numbers as more important than real-world security. If a baseline recommends 60 days and an organization with advanced protections opts for 365 days – or no expiration at all – they will get dinged in an audit unnecessarily and might be compelled to adhere to the 60-day recommendation.
Periodic password expiration is an ancient and obsolete mitigation of very low value, and we don’t believe it’s worthwhile for our baseline to enforce any specific value. By removing it from our baseline rather than recommending a particular value or no expiration, organizations can choose whatever best suits their perceived needs without contradicting our guidance. At the same time, we must reiterate that we strongly recommend additional protections even though they cannot be expressed in our baselines.
Bitte warten ..
Mitglied: Deepsys
02.05.2019, aktualisiert um 21:24 Uhr
Das Ganze ist nicht neu, dauert wohl noch ein paar Jahre bis es auch ankommt.
Bei uns intern will das auch keiner "wagen", weil es war ja immer so ...

Kurz, heißt es, kein Abblauf mehr, dafür ein langes Passwort; keine Zeichen mehr vorschreiben.

Siehe National Institute of Standards and Technology (NIST): http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pd ...
Schneier on security: https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
Oder ein heise Kommentar: https://www.heise.de/newsticker/meldung/Kommentar-Der-Aendere-dein-Passw ...

Denn ganz ehrlich, die meisten User ändern nur ein Zeichen, oder erhöhen die hintere Zahl.

Am besten ist aber eine Multi-Faktor-Authentifizierung ...
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
03.05.2019, aktualisiert um 14:57 Uhr
Usernamen und Kennwörter werden im Allgemeinen überbewertet... bei uns in der Firma steckt man eine Smartcard rein, tippt die Pin ein und schon bin ich drin. Und wenns mal ganz geheim wird, dann brauch ich noch ein OTP Token.

Anmeldungen hier und da (z.B. Mailserver, ERP) wird über Zertifikate geregelt - wir müssen theoretisch zwar alle 42 Tage das Kennwort ändern, und das auch nach Paßwortregeln die die User in den Wahnsinn treiben oder dazu, sich das "sichere" Kennwort aufzuschreiben... aber die Prozedur ist nur nötig damit das Konto nicht gesperrt wird. Also zweimal dieselbe Zeichensuppe eingießen und gut is.

So von wegen 4 unterschiedliche Sonderzeichen, Zahlen, Buchstaben groß und klein und 16 Stellen muß es lang sein und in keinem Dictionary enthalten sein und auch nicht in einer 5 Jahre währenden Passworthistorie... ich hab es bisher noch nicht gewagt zu fragen, ob die Kennwörte rim Klartext aufbewahrt werden oder gehasht. Mit einem deutschen Ö hab ich dann mal einen zentralen Server gekillt und die IT rätselte dann 42 Tage lang, warum ich einen bestimmten RDP Proxy - und das letzte nicht-SAML-federated Server - nach dem Kennwortprompt sich aufhing. War ein Parallels Produkt, das mag halt kein Deutsch und kein SAML da das nächste Kennwort dann kein Ö mehr enthielt konnten wir es dann durch Probieren und Aussortieren der Sonderzeichen in dem alten Kennwort reproduzieren.

Aber die aus 8 Zahlen bestehende Pin der Smartcard hab ich die letzten 10 Jahre noch nicht einmal ändern müssen. Und für die Pin gibts keine Bedingung außer daß es 8 beliebige Zahlen sein müssen.
Bitte warten ..
Mitglied: LordGurke
05.05.2019, aktualisiert um 16:36 Uhr
Mein Vater ist Beamter, der (gemessen an der dortigen Belegschaft) durchschnittlich talentiert im Umgang mit Computern ist.
Das Kennwort dort läuft alle 60 Tage ab. Deshalb hat er einfach eine Ziffer an sein Kennwört gehängt und inkrementiert sie.
Aus meiner Sicht wird das Kennwort damit nicht sicherer, nur der Aufwand steigt bei den Administratoren, weil Nutzer ihr Kennwort geändert und dann sofort vergessen haben.

Und ein Schwank aus ebendieser Behörde:
Ich war dort vor über 10 Jahren mal während eines Praktikums in der IT.
Gelegentlich war es erforderlich, dass man mit dem Profil des Nutzers angemeldet wurde um dort etwas zu ändern oder nachzuprüfen (z.B. dass der Drucker sich anders verhält als gewollt). Optimalerweise war der jeweilige Nutzer am Platz und hat einen eben schnell machen lassen, mit etwas Pech war derjenige nicht da.
Dann konnte man etweder das Kennwort im DC zurücksetzen - oder einfach nach dem Kennwort suchen.
Die Suchreihenfolge war:
    • Bildschirm
    • Tastatur
    • Mauspad
    • Oberste Schublade des Schreibtisches

Dieses Vorgehen war in 100% aller Fälle erfolgreich und funktioniert vermutlich auch in vielen anderen Behörden oder Firmen so.
Die Sauklaue von Beamten ist zwar ein zusätzliches Sicherheitsfeature, aber mit etwas Training leicht zu knacken.

Wie man [Win] + [L] verwendet, ist dort auch niemandem klar. Ich hätte mich zuletzt beim Einwohnermeldeamt, als die Dame für mehrere Minuten das Büro verließ um ein Formular zu besorgen, wohl mit Leichtigkeit auf einen komplett neuen Namen ummelden können...
Darauf hingewiesen erntet man dann verständnislose Blicke.
Ich hätte mal sagen müssen: "Irgendwas habe ich an irgendeinem Datensatz geändert. Viel Spaß, diese Änderung zu finden". Aber dazu bin ich ja auch zu nett...

Von daher wäre eine Hardware-Lösung (Smartcard) wohl das Beste. Wenn man diese Karte dann auch benötigt, um andere Türen zu öffnen, wird sie auch automatisch mitgenommen, wenn man den Arbeitsplatz verlässt
Bitte warten ..
Mitglied: TomTomBon
06.05.2019 um 10:25 Uhr
Moin Moin,

so etwas ähnliches hatten die Japaner bei S damals
(Vor knapp 15 Jahren..)
Also die aus dem Mutterkonzern die hier waren.

Aber Ich habe auch die aufgeschriebenen PW unterm Notebook gefunden..
Ok, manche In Kenji. Manche aber auch links vom Touchpad.
Bei den Japanern die ein deutsches NB bekommen haben.

Nachteil von NFC Chips:
Hat man sie vergessen hat man ein Problem.
Bekommt man einen Gast NFC Chip zum Öffnen der Büros und meldet sich mit diesem am Drucker an..

Ein paar Jahre später, andere Firma, dort wurden die Chips nicht gelöscht / gesperrt für die Drucker Nutzung.
Wenn jemand so einen hatte und den NFC anmeldete statt jedesmal händisch, konnte der nächste in dem Namen des gespeicherten schöne Dinger verschicken.
z.B. einen Brief ala "Ich finde sie saudoof" an den CFO und in CC seinen Vorstandsdrachen

Das fanden die meisten weniger nett, den Gedanken.
Bitte warten ..
Ähnliche Inhalte
Humor (lol)
Der Windows 10-Fan empfiehlt
Information von tomolpiHumor (lol)7 Kommentare

Musste grade doch herzlich lachen, als ich folgenden "Rezensionen" in der neusten Windows 10 Werbungsmail gelesen habe :-D Wenn ...

Microsoft
Microsoft Telefonaktivierungs App
Tipp von alik47Microsoft31 Kommentare

Hallo zusammen, ich möchte euch den MPActivator vorstellen. Es ist eine App mit der man die Telefonaktivierung speziell von ...

Humor (lol)
Mail von Microsoft (angeblich)
Information von StefanKittelHumor (lol)5 Kommentare

Moin, diese "Perle" habe ich eben erhalten: Übersetzt:

Sicherheit
Ein weiterer Microsoft-Stirnklatscher
Information von DerWoWussteSicherheit11 Kommentare

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist. Es ...

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 7 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1018 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server15 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell14 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...