Passwortfilter

[trappa 10]

Hallo zusammen,

 

wir haben eine Domäne auf Windows Server 2012.

Wir sind gerade dabei eine Passwordpolicy zu erstellen. es geht dabei um eine so genante fineGrainedPaswordPolicy.

 

Bisher konnten wir alles mit abdecken, nun fehlt noch der punkt Passwort-Filterung.

 

Gemeint ist damit, zu verhindern das Passwörter wie folgt lauten:

 

Firma123, Vorname0815, Nachname4711

 

Gibt es sowas, wie und wo kann man sowas einstellen?

 

Wie geht Ihr damit um?

bearbeitet 9. Juli 2015 von trappa

[Dunkelmann 96]

Moin,

 

Dinge wie Namensbestandteile im Kennwort fängt die einfache Komplexitätsprüfung bereits ab.

 

Für alles Andere wird ein zusätzlicher Filter benötigt.

https://msdn.microsoft.com/de-de/library/windows/desktop/ms721766%28v=vs.85%29.aspx

 

Z.Bsp. der Filter von nFront mit Wörterbuch und viel bling.

http://nfrontsecurity.com/products/nfront-password-filter/

 

Wenn es nur um Compliance geht kann man so etwas machen. Da fragt ja keiner nach den Post-IT am Monitor oder unter der Tastatur, sondern nur nach den definierten Policies.

Soll tatsächlich und nicht nur formal das Sicherheitsniveau erhöht werden, kommt Multifaktorauthentifizierung zum Einsatz (bspw. Smart Card oder OTP Token)

[Nobbyaushb 1.471]

Moin,

das:

https://technet.microsoft.com/en-us/library/cc786468

 

;)

[blub 115]

Einem Angreifer ist es relativ egal, ob ein Password "Firma123" oder "Brmpf346" lautet. Aufwändig wird es für ihn, wenn die Passwordlänge > min. 16 Zeichen incl. Sonderzeichen ist. Privileged Accounts oder ServiceAccounts sollten sogar > min. 20 Zeichen sein.

Gib deinen Usern Keypass/ Passwordsafe etc. an die Hand, setz die Passwortlänge entsprechend hoch, das max. Passwordage für Anwender auf ca. 45 Tage und für ServiceAccounts auf max. 1 Jahr.

Dann bist du relativ sicher und kannst dir einen Filter sparen.

 

blub