Jump to content

Minimale Passwortlänge bei Admins

xrated2

Von xrated2
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

xrated2 Experienced

xrated2   15

Geschrieben
  • Autor
Geschrieben

Man könnte die Konten nach x Anmeldeversuchen ja sperren wenn es über BruteForce passiert. Die Frage ist eben ob kurze Passwörter in einem Zug schneller geknackt werden können z.B. wenn sie im Arbeitsspeicher oder über NTLM Hash abgegriffen werden.

NilsK Grand Master

NilsK   2.978

Geschrieben
Geschrieben

Moin,

 

bei Kennwörtern ist faktisch nur die Länge entscheidend. Wie viele Zeichen genau, ist Glaubenssache, aber 8 Zeichen gelten schon seit Jahren als zu kurz für ernst gemeinte Angriffe, insbesondere bei hochprivilegierten Konten. Meine Ansicht dazu ist: alles unter 20 Zeichen ist zu kurz für einen Account, der Schlimmes anrichten kann. Hier helfen Kennwortsätze.

 

Das mit dem Sperren würde ich lassen - das ist eine Krücke, die wenig hilft, aber viel schadet.

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

 

Und gleich noch ein Tool für lange Kennwörter, die man gut tippen kann (es gibt noch ca. 1000 andere solche Tools):

 

[Bessere Kennwörter erzeugen und merken | faq-o-matic.net]
https://www.faq-o-matic.net/2017/07/26/bessere-kennwrter-erzeugen-und-merken/

 

Gruß, Nils

 

xrated2 Experienced

xrated2   15

Geschrieben
  • Autor
Geschrieben

Und wenn man dies nur z.B. bei ServiceAccounts macht? Man muss die Policy ja nicht auf alle Accounts ausrollen. Ist nur die Frage ob es überhaupt Attacken gibt wo das Passwort am DC via Bruteforce probiert wird. 

Kenne nur das abgreifen vom NTLM Hash wo man dann Offline Tools wie Ophcrack drüber laufen lässt d.h. was dann ausserhalb vom Netzwerk stattfinden kann.

daabm Grand Master

daabm   1.386

Geschrieben
Geschrieben

LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden...

Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm

(Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.)

Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

 

Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht.

 

xrated2 Experienced

xrated2   15

Geschrieben
  • Autor
Geschrieben

Wie handhabt ihr denn eure eigenen Benutzerkonten? Also normaler User + extra Admin Account ist klar. Aber was ist wenn man Clients + Server + Domain verwaltet. Wieviele Konten verwendet ihr da? Sich als Domain Admin an einen PC anzumelden ist ja nicht erforderlich.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...