Anmeldung ohne Passworteingabe

[CC84 10]

Hallo zusammen,

 

kurz zur Ausgangslange:

 

In unserem Unternehmen wurde or circa 2 Monaten bei circa 200 Produktionsrechnern von einem allgemeinen Login auf ein personalisierten Login umgeschaltet.

Dies führt bei den circa 500 Mitarbeitern zu großen Problemen, da sie sich ihr Passwort nicht merken können und mit dem von unserer Unternehmenscompliance vorgeschriebenen monatlichen Passwortwechsel überfordert sind. Aus Erfahrung mit den Mtarbeitern wissen wir, dass sich das auf lange Sicht nicht bessern wird

Dies führt zu Ausfällen in der Produktion von wöchentlich mehreren tausend Euro.

 

Nun gibt es von seiten der Geschäftsführung die Anforderung den Mitarbeitern diesen Prozess zu erleichtern und trotzdem die Anforderungen der Unternehmenscompliance zu erfüllen.

 

Das Ziel soll sein: Mitarbeiter meldet sich wie auch immer ohne Passworteingabe an.

Sein Passwort wird monatlich Scriptbasiert auf ein zufällig generiertes Passwort geändert. Der Mitarbeiter bekommt von dieser Änderung nichts mit und kann einfach arbeiten. Das Scriptbasierte ändern stellt keine Herausforderung dar. 

 

Ein Abrücken von dem monatlichen Passwortwechsel ist nicht möglich. Selbst das Angebot eine fine grained Password Policy zu nutzen um die Komplexität des Passwortes zu erhöhen, um zumindest diese Anforderung abzuschwächen, wird kategorisch von der Unternehmenscompliance abgelehnt. Das Passwort muss also monatlich geändert werden.

 

Unser Technisches Umfeld:

 

Domain Functional Level 2008R2

Alle beteiligten Clients laufen unter Windows 7x64

Keine Microsoft CA

 

 

Unsere bisherigen Ansätze:

 

1. LogOn via Fingerabdruck. Problem hierbei ist, dass die Mitarbeiter an diesen 200 Rechnern keinen festen Arbeitsplatz haben und dementsprechend ihre Arbeitsplätze teilweise mehrmals täglich wechseln. Wir benötigen dementsprechend eine Software die diese Fingerabdrücke nicht lokal speichert und mit einem monatlichen Passwortwechsel "zurecht"kommt. Ziel soll wie gesagt sein, den Mitarbeiter vor einer Passworteingabe zu schützen. Da die Produktionsstätte staubig ist, könnte es hier ohnehin zu Problemen mit den Lesegeräten kommen. Desweiteren würde sich bei dieser Lösung unser Betriebsrat wohl leider "quer" stellen.

 

2. LogOn via USB Stick(rohos etc). Wir haben keine Lösung gefunden die unsere Anforderungen abdeckt(anmelden an allen Rechnern,  Umgang mit automatisiertem Passwortwechsel)

 

3. LogOn via SmartCard. Alle Lösungen die wir bei unserer ersten Recherche gefunden haben, benötigen leider eine lokale Microsoft CA, welche wir aktuell nicht haben.

 

Hat einer von euch eine ähnliche Herausforderung gehabt oder kennt ein Tool mit dem wir die Anforderungen erfüllen können?
 

 

Vielen Dank im Voraus.

[lefg 276]

Moin,

 

wie aber sollen sich die Mitarbeiter anmelden können ohne Eingabe von Benutzernamen und Passwortes und trotzdem soll ein Passwort vergeben und angewendet werden? Welcher Gedankengang bei dir? Das mit Eingeben des Benutzernamen automatisch das Kennwort eingefügt wird?

 

Könnte eine Abwandlung von AutoAdminLogon eine Überlegung sein?

 

Nun, ob solche Manipulation mit der Unternehmensrichtlinie in Einklang zu bringen ist? Letztendlich wird sie umgangen, ausgehebelt, wie es nenen will. Ob man sich da nicht Sicherheitslücken baut? Und wenn da mal was passiert, manipuliert wird? Wer könnte der Schuldige sein? Ob es einen schriftlichen Auftrag dazu gibt? Ob das so gemeint war?

 

Ob man soziale oder interlektuelle Defizite mit der IT in einen solchen Fall überspielen kann? Falls die Mitarbeiter sich wirklich keine Kennwörter merken können (oder gibt es eine Verweigerungshaltung?), dann brächten sie eigentlich eine qualifizierte Schulung mit Gedächnistraining.

 

Oder ob die Mitarbeiter das Tagesdatum kennen, oder das Monats-Jahresdatum? Oder sowas?

 

Ich hatte auch mal einen Job inmitten solcher Mitarbeiter, ich war einer davon. (mechanische Nachbearbeitung von Druckgussteilen, entgraten etc.). Und heute bin ich bei einem Bildungsanbieter tätig.

bearbeitet 4. November 2015 von lefg

[NorbertFe 2.034]

Ob man sich da nicht Sicherheitslücken baut?

:) Ja, oder war das jetzt ne Rhetorikfrage, die hier so toll hinpaßt? ;)

 

Oder ob die Mitarbeiter das Tagesdatum kennen, oder das Monats-Jahresdatum? Oder sowas?

Naja, bei dir klingts aber auch manchmal so, als wenn deine "Kollegen" das nur wissen müssen, wenn sie die Erlaubnis von oben bekommen haben. :rolleyes: Ich stimm dir ja zu, aber... ;)

 

Nix für ungut und schönen Abend.

 

Bye

Norbert

[blub 115]

Hallo CC84

 

wenn die 500 Mitarbeiter sich keine Passwörter merken können, dann werden Sie wahrscheinlich auch Smartcards oder USBsticks sehr oft im Rechner stecken lassen, diese verlieren oder untereinander austauschen. Dann bleibt ja nur eine bioemtrische Lösung übrig.

Möglich wäre z.B. die Fingerprintlösung von digital persona. Der Fingerprint wird hier verschlüsselt in der Domäne gespeichert und kann zusätzlich mit einer mehr oder weniger einfachen PIN (unabhängig vom  Passwort)  als 2.-ten Faktor abgesichert werden. Damit kann sich jeder Mitarbeiter mit seinem Finger und z.B. einer 4-stelligen PIN an jedem Rechner mit Fingerabdruckscanner anmelden. Passwortwechsel sind dann egal.
Billig ist die Lösung sicher nicht. Benötigt werden: ein hochwertiger Scanner http://www.amazon.com/DigitalPersona-U-are-U-4500HD-fingerprint-software/dp/B002S3ZSJU + Softwarelizenz + wahrscheinlich notwendige Implementierung durch ein externes Systemhaus
Ganz grob geschätzt landest du bei mindestens 125€ / User. Wenn du Interesse hast, kann ich dir Kontaktdaten zu einem Systemhaus geben, das uns bei digital persona sehr gut unterstützt hat.

 

Besonders zu Beachten ist generell der obige Hinweis auf "interlektuelle Defizite mit der IT"  ;)

[NorbertFe 2.034]

Da ist ein r Zuviel ;) Oder ich versteh den Gag nicht. Aber Leute die sich Namen und Kennworte nicht merken sollten vielleicht besser keinen Computer bedienen müssen?

 

Andererseits müßte man sich auch die Frage gefallen lassen, warum man mit personalisierten Accounts an der "Fertigungsmaschine" angemeldet werden muß. Denn offenbar lassen sich Anforderungen der GF/Compliance nicht mal eben mit Boardmitteln realisieren und somit sollte, wie oben von anderen schon geschrieben, hinterfragt werden, ob denn die Compliance Anforderung sinnvoll und realistisch oder nur idealistisch ist. In Abhängigkeit davon würde ich weitere Maßnahmen auswählen (oben stehen mindestens zwei).

 

Bye

Norbert

[lefg 276]

 

warum man mit personalisierten Accounts an der "Fertigungsmaschine" angemeldet werden muß.

 

Der TO schrieb im den Sinne, es sei umgestellt worden von einem "Sammelaccount" auf personalisierte. Die  Beschreibung über den häufigen Wechsel der Mitarbeiter zwischen Maschinen kommt mir sehr bekannt vor. Zu dokumentieren ist, wer hat wann welche Werkstücke gefertigt, wie welche Maschine ausgelastet, wieviel Teile bearbeitet.

 

Aber Leute die sich Namen und Kennworte nicht merken sollten vielleicht besser keinen Computer bedienen müssen?

 

Ja, aber darauf hat die IT meist keinen Einfluss. Ob die Leute den Computer bedienen oder die Maschine? Die Maschine eigentlich eher bestücken etc?

[daabm 1.354]

1. Eine AD-integrierte PKI wäre für so was relativ schnell aufgesetzt.

2. Bisher ist völlig unklar, was die MA hinterher mit ihrer personalisierten Anmeldung anstellen - würde mich mal interessieren. Möglicherweise gibt es ja nen ganz anderen Ansatz...

[lefg 276]

https://technet.microsoft.com/de-de/library/dn151167.aspx

[NorbertFe 2.034]

Ich denke es geht noch nicht um technische Details.

[lefg 276]

Ich gestehe, ich mir das mit PKI momentan nicht vorstellen, mir fehlt da jede Kenntnis. Meine Gedanken gingen zum Ersetzen des "Client für Microsoft Netzwerkerke" durch etwas Selbstprogrammiertes.

 

Ob das aber wirklich sinnvoll? Denn es liefe doch wohl hinaus auf eine Anmeldung nur mit Eingeben des Benutzernamens, den kann jeder beliebige Kollege kennen. Ob das eine Rolle spielt?