Jump to content

Passwortkomplexität

datmox

Von datmox
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Hallo,

 

möglicherweise hilft das weiter http://technet.microsoft.com/de-de/magazine/2007.12.securitywatch.aspx

 

Eine Anmerkung zum Begriff "Passwortkomplexität", die Länge hat nichts mit Komplex zu tun. Komplex ist ein Kennwort wenn es enthält: alpha-numerische Zeichen und grosse und kleine Zeichen und Sonderzeichen. Die Länge allein gilt nicht als komplex.

 

Beliebte komplexe Kennwörter beginnen also mit dem Ausrufezeichen, dann kommt der Geburtstag, dann folgt der Name des Haushundes mit dem ersten grossen Zeichen, es folgt das Geburtsjahr, am Ende die Raute.

bearbeitet von lefg
Link zu diesem Kommentar
datmox Rising Star

datmox   26

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Vermutlich möchtest Du sowas? http://www.quest.com/password-manager/

Mindestabnahme: 100 Lizenzen für 5,67 €/ User (=567 € Minimum)

Ja genau sowas meine ich...

 

Setzt ihr das Tool bei euch ein? Oder verlasst ihr euch darauf, dass der User jetzt z.B. nicht Passw0rt als PW nimmt, weil es ja die Komplexitätsvoraussetzungen erfüllt?

 

Edit: Und die Passwortlänge hat für mich durchaus was mit der Komplexität des PW zu tun... ;) Steht übrigens auch in deinem Link @ lefg ;-)

 

 

Jetzt sind zum Beispiel Standardbenutzer mit einem 8-Zeichen-Kennwort und IT-Experten (die möglicherweise Administratorrechte haben) mit einem komplexeren 14-Zeichen-Kennwort möglich.

bearbeitet von datmox
Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

 

Edit: Und die Passwortlänge hat für mich durchaus was mit der Komplexität des PW zu tun..

 

Ganz wie der Kunde es wünscht; das war ein Motto im Vertrieb der alten AEG-Telefunken.

 

Du bist aber kein Elektrotechniker? Du hast nicht das Rechnen mit komplexen Werten gelernt? Hattest auch keine Mengenlehre mit den verschiedenen Zahlenräumen?

 

Komplex beinhaltet nicht allein Länge, Grösse.

 

Aber egal, wenn die einfache Länge, einfache Menge reicht, dann ist es ja gut. Ich wollte dir nur einen Hinweis geben, mehr nicht. :)

bearbeitet von lefg
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben

Ich gehe stark davon aus, dass ca. 99% wenn überhaupt dann die Windowseigene Komplexität aktivieren. Denn das was du suchst führt hier im Board und auch sonst wo regelmässig zur Diskussion, dass Passwort sowieso unsicher und auf dem absteigenden Ast ist. Kannst ja mal hier im Forum nach passfilt.dll und Passwort Komplexität suchen. ;)

 

Bye

Norbert

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

bei Kennwörtern ist die Frage nach der "Komplexität" allein nicht zielführend. Da es darum geht, einen Angreifer in den zeitaufwändigen Brute-Force-Modus zu zwingen, muss man die Zahl der nötigen Versuche in die Höhe treiben. Un das erreicht man am besten durch eine Verlängerung des Kennworts: Für jedes zusätzliche Zeichen muss er den möglichen (bzw. den wahrscheinlichen) Zeichenraum komplett durchprobieren. Da spielt es dann weniger eine Rolle, ob die Zeichenfolge "komplex ist", also den Zeichenvorrat tatsächlich ausnutzt, sondern viel mehr, dass die Zeichenfolge "komplex sein könnte", also der Zeichenraum mit gewisser Wahrscheinlichkeit bei jedem Zeichen ausgenutzt wird.

 

Im Effekt ist also ein sehr langes Kennwort, das in den jeweiligen Zeichen tatsächlich nur wenig komplex ist, schwerer (= nur mit mehr zeitlichem Aufwand) zu knacken als ein kurzes, das auf wenigen Zeichen jeweils den Zeichenvorrat intensiver variiert. Die Größenordnung von 8 bis 10 Zeichen ist heute keine sichere Dimension mehr. Man denke dabei auch an Rainbow Tables, mit denen der Angreifer nicht mehr selbst rechnen muss, weil die Werte schon vorhanden sind.

 

Aus dem Grund empfehle ich, zumindest für alle höher privilegierten Konten die oft genannte Marke von 14 Zeichen deutlich zu überschreiten. Mein Favorit sind dabei immer noch Kennwortsätze: Damit ist es tatsächlich praktikabel, 25 oder mehr Zeichen "blind" zu tippen und sich davon dann auch noch mehrere Kennwoörter zu merken.

 

Für Anwender ist sowas in der Praxis oft leider kaum durchsetzbar, weniger weil es von den Anwendern nicht zu leisten wäre, als vielmehr aufgrund reiner Nicht-Akzeptanz. Statt hier aber mit technischen Hürden für die Kennwörter zu hantieren, empfehle ich alternative Authentisierungsmethoden (z.B. Smartcards). Ja, das meine ich ernst.

 

Gruß, Nils

  • Like 1
Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Allerdings wurde mir meine eigentliche Frage noch nicht so ganz beantwortet... Wie setzt ihr eure Kennwortrichtlinien im Betrieb durch?

 

Hast Du nicht gelesen? http://technet.microsoft.com/de-de/magazine/2007.12.securitywatch.aspx

 

Oder meinst Du etwas anderes?

Man schaue gpedit, Computerkonfiguration, Sicherheitseinstellungen, Kennwortrichtlinien, Kennwort muiss Komplexitätsvorausetzungen entsprechen, Erklärung

 

 

Kennwort muss Komplexitätsvoraussetzungen entsprechen

 

Mit dieser Sicherheitseinstellung wird festgelegt, dass Kennwörter die Komplexitätsvoraussetzungen erfüllen müssen.

 

Wenn diese Richtlinie aktiviert ist, müssen Kennwörter die folgenden Mindestvoraussetzungen erfüllen:

 

Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.

Das Kennwort muss mindestens sechs Zeichen lang sein.

Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:

Großbuchstaben (A bis Z)

Kleinbuchstaben (a bis z)

Zahlen zur Basis 10 (0 bis 9)

Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)

Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.

 

 

 

Standardwert:

 

Aktiviert auf Domänencontrollern.

Deaktiviert auf eigenständigen Servern.

 

Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet.

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...