eXOs 10 Geschrieben 14. März 2007 Melden Teilen Geschrieben 14. März 2007 Hi zusammen, ich mach hier ja (noch) nicht die komplette Administration und hab mich schon ein paar mal gefragt, wie sicher das hier ist wenn die Benutzer ihre PWs nie ändern müssen. Die PWs werden vergeben nach einem nicht so komplizierten schema - sprich, mit etwas zeit kann ich hier jedes PW rausfinden - und nicht nur ich sondern jeder Benutzer den der Aufbau der PWs ist gleich. Soweit noch nicht äußerst dramatisch, allerdings haben wir einen TS der ohne jegliche sicherheit, also einfach über RDP und anmeldung an der Domäne, von außen zu erreichen ist. Ehemalige MAs könnten jetzt mit dem Benutzernamen eines noch bestehenden MAs versuchen, sich anzumelden in dem er einfach den benutzernamen angibt und das PW durchprobiert. Zusätzlich habe ich mitbekommen, dass sämtliche PWs in einer Datei gespeichert werden... Wie oft müssen den bei euch die User die PWs ändern? Zitieren Link zu diesem Kommentar
WhiteGhost 10 Geschrieben 14. März 2007 Melden Teilen Geschrieben 14. März 2007 hi, das ist denke ich eine Frage wie Wichtig die Sicherheit deinem Cheff ist. Eigentlich sollte ein PW etwas sein das nur dem User bekannt ist und nur für ihn nach vollziehbar ist. Da das aber etwas mit Denken seitens der user zutun hat ist das in 95% na sagen wir lieber 98% der Fälle nicht so. Soll heissen entweder werden sie nach Schema F erstellt so wie bei dir oder sind Dinge wie Namen, Geburtsdaten, Autonummern oder etwas das auf dem Schreibtisch steht. Also könnte man sie auch gleich weg lassen :-) Wenn es deinem Cheff schnuppe ist, kann es dir auch sein wenn du ihn einen netten Zettel unterschreiben lässt auf dem steht das du ihn darauf hin gewiesen hast und du keinerlei Verantwortung übernimmest wenn die gänige Praxis mit der vergabe der PWs weiter so läuft. Aber das ist nur meine Meinung ;-) cu Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 14. März 2007 Melden Teilen Geschrieben 14. März 2007 Servus, oohhaauuuaaa.... da besteht dringend Handlungsbedarf. Bringe Deinen Usern Disziplin bei (jajaa ich weiß, sind alle resistent usw.). Wecke in ihnen das Gefühl, dass das Kennwort wie Ihr Hausschlüssel ist. Wenn Du an einem Client eine Software installierst und danach soll sich der User anmelden zum testen, drehe Dich bei seiner Kennwort-Eingabe bewusst um, damit er merkt das die Kennwort-Eingabe ein sensibler Vorgang ist. Du musst mit den Benutzern darüber reden und sie aufklären. Dann solltest Du die Kennwortrichtlinien einsetzen falls Du es noch nicht tun solltest. Dabei solltest Du auch alle Option konfigurieren, natürlich auf humane Art. Gruppenrichtlinien - Übersicht, FAQ und Tutorials Wie oft das Kennwort geändert sollte, hängt von den Anforderungen ab. Ich kenn Unternehmen die lassen wie Microsoft es empfiehlt, alle 6-8 Wochen ändern. Andere wiederum alle 3 Monate und wieder andere alle 6 Monate. Die Hauptsache ist, es wird auf alle Fälle regelmäßig geändert und entspricht einer gewissen Komplexität. Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 14. März 2007 Autor Melden Teilen Geschrieben 14. März 2007 Servus und danke für die Antworten, @WhiteGhost: Klar, da hast du wahrscheinlich schon recht. Wenn ich schätzen sollte was für PWs die User selber nehmen würden ... da graut es mir. Aber so wie es jetzt ist denke ich kann es nicht bleiben.. @Daim: In diese Richtung gehen meine Gedanken...Problem: du schreibst z.B. "Deinen Usern"... genau hier liegt der Hund begraben...Das sind nicht meine User und ich kann leider nicht einfach Dinge ändern die ewig schon so laufen...schätze mal da muss ich mal bischen rumdiskutieren. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 14. März 2007 Melden Teilen Geschrieben 14. März 2007 Dann liegt Deine Aufgabe in "Klärungsarbeit" sowie "Überzeugungsarbeit". Versuche mit Fakten den Leuten die Augen zu öffnen und wenn Du alles erläutert hast, ist es ihnen überlassen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. März 2007 Melden Teilen Geschrieben 14. März 2007 rechnerisch sind lange Passwörter wie Kennwortsätze mit z.b. 14 Zeichen minimum und einer sehr langen Lifetime deutlich sicherer, als Kennwörter mit z.b. 8 Zeichen die alle 4 Wochen geändert werden müssen. Einmal sind es 96 hoch 14 Möglichkeiten die in sagen wir 5 Jahren zu knacken wären, das andere mal 8 hoch 14 in einem Monat. Bei Änderungen alle 28 Tage kommen sicher einige User auf den Trichter mit einem Zähler zu arbeiten. Ich muss aber zugeben, ich habe mich bei uns mit diesem Vorschlag nicht durchsetzen können cu blub Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 14. März 2007 Autor Melden Teilen Geschrieben 14. März 2007 @Daim: Da werde ich wohl nicht drum herum kommen... Ich muss aber zugeben, ich habe mich bei uns mit diesem Vorschlag nicht durchsetzen können Also änder ihr die PWs alle 28Tage? Da sehe ich die gleiche gefahr wie du, dann ist das PW eben im Januar XXXXXXX1 und im Februar XXXXXXX2 und so weiter. Meine Hauptsorge geht eben in Richtung ehemaliger MAs. Wenn ich jetzt versuchen ürde mich als einer der anderen Benutzer auf dem TS anzumelden, sach ich mal in max. 5 Minuten wäre ich drin... Zitieren Link zu diesem Kommentar
schaedld 10 Geschrieben 15. März 2007 Melden Teilen Geschrieben 15. März 2007 Alle 30 Tage Es ist immer ein dafür und dagegen. Entweder man verwendet sehr starke Passwörter und lässt diese nie ändern oder man geht das Risiko ein, dass das Passwort häufig geändert werden muss und demnach eine Chronologie des Benutzers gewählt wird :thumb2: Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 15. März 2007 Melden Teilen Geschrieben 15. März 2007 Hi, wir haben derzeit noch eine recht laxe PW Richtlinie (min. 6 Zeichen, keine Komplexität, PW-Wechsel alle 60 Tage). Das wird sich demnächst ändern müssen, um Richtlinien wie Sarbanes Oxley oder Basel II gerecht werden zu können. In dem Zuge werden wir wohl auf min. 7 Zeichen und Komplexität umstellen. Dass das den Usern lästig werden dürfte, ist klar. Aber die Unternehmensrichtlinien werden dahingehend umgestellt und die User werden sich daran halten müssen. Christoph Zitieren Link zu diesem Kommentar
Cybquest 36 Geschrieben 15. März 2007 Melden Teilen Geschrieben 15. März 2007 Was m.E. auch hilfreich ist, eine max. Anzahl Anmeldeversuche zu definieren! Wenn z.B. 5x das Passwort falsch eingegeben wurde, wird der User für 30min. gesperrt. Ansonsten bin ich auch für längere Passwörter mit längeren Zeiten (6Monate) Zitieren Link zu diesem Kommentar
schaedld 10 Geschrieben 15. März 2007 Melden Teilen Geschrieben 15. März 2007 Dass das den Usern lästig werden dürfte, ist klar. Aber die Unternehmensrichtlinien werden dahingehend umgestellt und die User werden sich daran halten müssen.Dann kann man den Benutzern eigentlich nahe legen, dass Sie zum Beispiel Passwörter mit Geburtstag so versehen: Als Beispiel (#27%dritter@47). Somit hat man seinen Geburtstag in ein Strong Passwort gewechselt, welches zudem nicht innert nützlicher Frist geknackt werden kann :) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 15. März 2007 Melden Teilen Geschrieben 15. März 2007 bei einer max. Anzahl von Fehlversuchen ist man halt anfällig für DoS Attacken. Und wenn alle User sich an das Format halten (#27%dritter@47) machts das für einen Angreifer natürlich sehr bequem Zitieren Link zu diesem Kommentar
schaedld 10 Geschrieben 15. März 2007 Melden Teilen Geschrieben 15. März 2007 bei einer max. Anzahl von Fehlversuchen ist man halt anfällig für DoS Attacken. Und wenn alle User sich an das Format halten (#27%dritter@47) machts das für einen Angreifer natürlich sehr bequemWar nur ein Beispiel :) Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 15. März 2007 Autor Melden Teilen Geschrieben 15. März 2007 Unsiocher sind unsere PWs von Grund auf nicht, 7 Zeichen inkl. Sonderzeichen, Zahlen und Buchstaben, es sieht eben nur bei allen Usern gleich aus, also gleicher Aufbau Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.