Benutzerpasswörter...

[ag1 15]

Hallo,

 

ich hab eine Frage: Wie handhabt ihr die Passwortgenerierung bzw. -verwaltung in einer Domäne?

 

Folgende Situation: Bei einem Kunden ist derzeit keinerlei Struktur in den Kennwörtern. Dies soll nun sinnvollerweise geändert werden, d.h. die Kennwörter sollen u.a. sicherer werden. Die Kennwörter sollen zentral vergeben werden und nur die Geschäftsleitung und der Admin sollen Zugriff darauf haben.

 

Kennt ihr gute Kennwortgeneratoren, die einigermaßen vernünftige Kennwörter generieren? Mit vernünftig meine ich, daß nicht unbedingt Kennwörter wie "&%co/?§" rauskommen sollten... Es sollte ja nicht so sein, daß überall kleine Notizzettel an den Monitoren kleben...

 

 

Danke schon mal für eure Tipps!

 

 

Grüße

ag1

[tesso 373]

Wir geben eine Kennwortrichtlinie vor. Die Nutzer setzen sich die Passwörter selbst. Der Admin kennt die Passwörter nicht und braucht sie auch nicht.

[wiri 10]

Auch wir implementieren die Passwortrichtlinien des Kunden nach dessen Vorgaben. Es wird nur bei der Erstellung des Users ein Initialpsw erstellt und mitgeteilt und bei Erstanmeldung eine Zwangsänderung dessen vorgegeben.

 

Zu PSW Generatoren gurgel mal im Internt.

[tesso 373]

Stimmt, das habe ich nicht geschrieben. Der Nutzer bekommt ein Initialpasswort mit Zwang zur Änderung.

[NorbertFe 2.016]

Läuft hier identisch, wobei ich einige Kunden habe, die das Initialkennwort ebenfalls individuell bilden. Dazu wird dann ein für den Nutzer erkennbares Schema verwendet, so dass auch das Initialkennwort bei keinem Nutzer identisch ist.

 

Bye

Norbert

[lefg 276]

... d.h. die Kennwörter sollen u.a. sicherer werden. .....

 

Kennwortrichtlinie: Mindestens acht Zeichen und komplex, also alphanumerisch und ein Sonderzeichen; das ist sozusagen die "Struktur".

 

Kennwortgenerator: Man nehme acht oder mehr Würfel, klebe Buchstaben, Zahlen und Zeichen drauf, würfle und schiebe sie dann willkürlich in eine Reihe.

 

Man kann ein Initialkennwort natürlich auch strukturiert bilden aus Initialen, Geburtsdatum und einem Sonderzeichen in willkürlicher Anordnung.

[Shao-Lee 11]

Ich denke, es ist auch eine Frage der Unternehmensgröße, wie das Kennwortmanagement aussieht.

Wir haben die Erfahrung gemacht, dass eine komplexere Struktur und ein kurzer Änderungszyklus dazu führt, dass die Userkennwörter auf Zettel notiert werden.

 

Da sich die User bei vergessenen Kennwortern sowieso an die Administration wenden müssen, um bei ihrer anschließenden Anmeldung dann das Initialpasswort gem. den Richtlinien zu ändern, halten ich eine weitere Individualisierung bei den Initialkennwörtern für nicht erforderlich. In der Regel läuft der Prozess eh telefonisch ab - einschließlich Neuanmeldung.

 

Das von Norbert beschriebene Schema finde ich trotz Allem ganz interessant :D

[marka 584]

Richtlinie mit Komplexität (Kombination aus Groß- und Kleinschreibung, Zahlen oder Sonderzeichen müssen vorhanden sein und es dürfen nicht drei aufeinander folgende Buchstaben des Vor- oder Nachnamens und dem Benutzeranmeldenamen oder Zahlenfolgen vorkommen)

und Mindestlänge 8 Zeichen.

Initialkennwort wird über Freeware-Passwortgenerator vergeben, um erkennbare Schemata zu vermeiden.

Hierfür verwenden wir den Extended Passwort Generator von Eugene Podkopaev, das unter der GNU GPL lizensiert ist.

 

Die Benutzer müssen das Kennwort nach der ersten Anmeldung ändern.

 

Neue Benutzer erhalten ein Infoblatt, in dem die Kennwortrichtlinien mit Negativ- und Positivbeispielen "anwendertauglich" erklärt werden.

 

 

Wer zusätzliche Sicherheit benötigt, kann über die GPO die Kennwortdauer zeitlich beschränken und ggf. zusätzlich die Wiederverwendung der letzten X Kennwörter verhindern.

[wiri 10]

in der Tat, sind es mittlere bis große Unternehmen die komplexe Kennwörter haben wollen, da dort die Revision ein Wort mitredet und somit Vorgaben ala DSG macht. Viele lehnen das Kennwort in der MS-Welt an die in der SAP-Welt 1:1 an. Der letzte Schrei ist aber, die AD-User im SAP anzulegen und via Transporterserver ins AD ablegen. D.h. User werden im SAP angelegt, gepflegt, gelöscht und schwubdiewupp im AD mitgeführt. Dann haben natürlich auch die Firmen wieder selber das Troubleticket mit Kennwörtern am Hals, was immer wieder zu Diskussionen führt, wer welches Ticket annimmt.

[marka 584]

@wiri:

Was hat Dein Beitrag jetzt mit der Ursprungsfrage des TO zu tun?

[blub 115]

Die Kennwörter sollen zentral vergeben werden und nur die Geschäftsleitung und der Admin sollen Zugriff darauf haben.

 

 

Hallo,

Gibts denn Gründe für diese eher unübliche Praxis?

m.E. verursacht ein solches Verfahren Mehrarbeit und Probleme, ohne einen Securityvorteil zu bringen.

 

Passwörter gelten außerdem heutzutage generell nicht mehr als sicher.

 

blub

[wiri 10]

@wiri:

Was hat Dein Beitrag jetzt mit der Ursprungsfrage des TO zu tun?

 

er schrieb:"ich hab eine Frage: Wie handhabt ihr die Passwortgenerierung bzw. -verwaltung in einer Domäne?"

 

Weiterhin wollte ich auch weitergehende Aspekte wir die Revision / DSG und andere Formen aufzeigen.

Darf ich das nicht?

[marka 584]

Doch, sicher darfst Du das!

Mir erschloss sich auf Anhieb nur nicht der Bezug, da habe ich einfach mal nachgefragt ;)

 

Aber den Satz mit dem Passus, dass die Passwörter der GL und den Admins bekannt sein sollen, habe ich wohgl überlesen...

Das halte ich persönlich aber auch für , sagen wir mal: suboptimal...

[lefg 276]

Nun, der TO ist wohl ein Dienstleister, der die Vorgaben des Auftraggebers zu umzusetzen hat. Falls der Auftraggeber die Kennwörter haben will, dann wird der Dienstleister das wohl nicht verhindern können, er wird auch seinen Auftrag nicht gefährden wollen.

[NorbertFe 2.016]

Das von Norbert beschriebene Schema finde ich trotz Allem ganz interessant :D

 

Dann hab ich noch was für dich. ;)

faq-o-matic.net » Kennwörter selbst zurücksetzen

 

Hab ich auch bei Kunden im Einsatz und finde es "cool". Müßte bei Gelegenheit mal ne Auswertung fahren, wie das angenommen wurde. ;)

 

Bye

Norbert