Shao-Lee 11 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 (bearbeitet) Hallo zusammen, ich hatte soeben das Thema mit den (leider unzureichenden) Passwortbenachrichtigungen auf unseren neuen Citrix-Systemen auf dem Tisch und habe hier nach Lösungen gesucht. Querverweis zum Thema: Nun kam eine ziemlich spannende Antwort vom Kollege BofH (vielen Dank nochmals!) - und um ehrlich zu sein: ich hab' von diesem revolutionären Ansatz jetzt zum ersten Mal gehört. Ich zitiere den Beitrag nach Rücksprache mit BofH hier der Einfachheit halber nochmals: vor 11 Stunden schrieb BOfH_666: Da gibt es noch eine weitere Option, die Du bisher offenbar nicht mal in Betracht ziehst. Welche bessere Gelegenheit kann es geben, ein System abzuschaffen, das die Aufgabe, für die es erdacht wurde, sowieso nicht zuverlässig erfüllt und dazu auch noch mehr Arbeit macht als es spart. Die Empfehlung, Passwörter regelmäßig zu wechseln, haben wir dem NIST zu verdanken. Und sie stammt aus der Computer-Steinzeit. Alle weiteren Empfehlung, incl. der des BSI, basierten im Prinzip darauf. ABER, und das ist ein riesen aber - angefangen mit dem NIST, haben alle relevanten Institutionen inzwischen diese Empfehlung widerrufen. Das NIST, BSI, die englische CESG, ja selbst Microsoft empfehlen inzwischen, die Passwort-Alterung zu deaktivieren, weil sie die Sicherheit nicht erhöht sondern verringert. Wenn Du dafür "Futter" für Deine Chefs oder die Administratoren oder den CSO oder CIO brauchst, brauchst Du nur danach zu suchen - Du wirst sehr schnell fündig werden. (Ich könnte auch nochmal auf die Suche gehen, wenn Dir das hilft. Also, statt wahnsinnig große Umstände zu veranstalten, die User dazu zu bewegen, ihr Passwort regelmäßig zu ändern, solltet ihr die User schulen, ein sicheres Passwort zu wählen, welches sie so lange behalten können, bis es den begründeten Verdacht gibt, dass dieses spezielle Passwort kompromittiert wurde. Und um dem ganzen Thema ein bisschen mehr Substanz zu geben, habe ich mich auf der Seite meines Landesdatenschutzbeauftragten auf die Suche begeben - ...siehe da: Zitat 6) Nur bei Kompromittierung ändern Früher wurde empfohlen, Passwörter in regelmäßigen Abständen zu ändern. Diese Empfehlung gilt heutzutage als überholt, da sie nicht zu mehr Sicherheit führt – sondern nur dazu, dass Nutzer sich diese im Klartext notieren, einfache Passwörter wählen, eine Zahl hoch zählen oder ähnliches. Daher sollten Administratoren die Nutzer nicht mehr zwingen, Passwörter in regelmäßigen Abständen zu ändern. Nur wenn es Anzeichen dafür gibt, dass Passwörter oder Passwort-Hashes in fremde Hände gelangt sind, sollten Nutzer diese ändern bzw. zu einer Änderung aufgefordert werden. Der Artikel ist knapp über ein Jahr alt. Quellennachweis: https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/ Nun zu meinem Ansinnen: Ich würde gerne ein Gefühl dafür bekommen, ob es hier Kollegen aus der IT gibt, die das bereits mit ihrem Datenschutzbeauftragten diskutiert und sogar in ihren Unternehmen umgesetzt haben. Wie ist denn die Akzeptanz bei den Mitarbeitern? Wie steht ihr grundsätzlich zum Thema? Ich würde mich freuen, wenn zum Thema ein paar Meinungsbilder kommen - vorab schonmal vielen Dank! Damit zu meiner Meinung: Auf den ersten Blick klingt die Idee ziemlich revolutionär - denn: ich hab's ja eigentlich anders gelernt. Wenn ich mir allerdings unsere User-Landschaft (...wir haben dann doch den einen oder anderen User, wo das Kennwort aus unterschiedlichen Gründen nie abläuft...) und das Führen der Passwortlisten, die mir leider auch schon hier im Team begegnet sind, vor Augen halte, dann gefällt mir der obige Ansatz besser! Liebe Grüße bearbeitet 22. April 2020 von Shao-Lee Tippfehler entdeckt. Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Moin, also ... ich predige das seit mindestens fünzehn Jahren, eher zwanzig. So richtig "revolutionär" ist das daher nicht. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 22. April 2020 Autor Melden Teilen Geschrieben 22. April 2020 (bearbeitet) vor 7 Minuten schrieb NilsK: also ... ich predige das seit mindestens fünzehn Jahren, eher zwanzig. So richtig "revolutionär" ist das daher nicht. Ahoi Nils, wie ist denn da Deine Erfahrung als Consultant? Fällt das Thema eher auf fruchtbaren Boden und wird das im Anschluss dann auch konsequenterweise umgesetzt ... oder ist eine Umsetzung da eher zurückhaltend / verhaltend? Danke Dir. bearbeitet 22. April 2020 von Shao-Lee Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Hi, vor 34 Minuten schrieb Shao-Lee: Ich würde gerne ein Gefühl dafür bekommen, ob es hier Kollegen aus der IT gibt, die das bereits mit ihrem Datenschutzbeauftragten diskutiert und sogar in ihren Unternehmen umgesetzt haben. unser DSB hat sich eine Notiz dazu gemacht und somit abgehakt. Bei Kunden gibt es DSBs die das ebenso handhaben, mit denen man sich über Sinn / Unsinn der regelmäßigen Kennwortänderung unterhalten kann oder welche die darauf beharren und auf die Unfähigkeit des ITlers hinweisen. Viele Kunden (und auch DSBs) verstehen im Gespräch, dass es Unsinn ist und verzichten drauf. Andere Kunden glauben dem DSB, der macht das ja beruflich. ;) Ebenfalls gibt es noch "Cyber-Versicherungen" die Kennwortänderungen in ihren Bedingungen haben. vor 41 Minuten schrieb Shao-Lee: Wie ist denn die Akzeptanz bei den Mitarbeitern? Die freuen sich in der Regel, dass Sie ihr Kennwort nicht mehr ändern müssen bzw. mussten das Kennwort eh nicht regelmäßig ändern. Theoretisch kann ja jeder der mag, sein Kennwort alle x-Tage trotzdem ändern. vor 42 Minuten schrieb Shao-Lee: Wie steht ihr grundsätzlich zum Thema? Langes Kennwort bzw. einen Kennwortsatz; Keine regelmäßige Änderung. Gruß Jan 1 1 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Ich sehe das nicht ganz so einfach. Der Kennwortwechsel ist ein Mittel gegen das accountsharing. Wir führen jetzt aber einfach einen zweitem Faktor ein... 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 30 Minuten schrieb magheinz: Der Kennwortwechsel ist ein Mittel gegen das accountsharing. ... und ... funktioniert das gut? Ich würde erwarten, dass Anwender, die kein Problem damit haben, ihren Account weiterzugeben, auch kein Problem damit haben, diese Weitergabe aktuell zu halten - also das neue Passwort auch wieder weiterzugeben. 1 Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor einer Stunde schrieb magheinz: Der Kennwortwechsel ist ein Mittel gegen das accountsharing. Wir führen jetzt aber einfach einen zweitem Faktor ein... Meinst du, derjenige der seine Account-Daten weitergibt, wird dann nicht bei 2FA auch den Code weitergeben bzw. blind alles absegnen? Da müsste der 2te Faktor ja schon SmartCard / Yubikey o.ä. sein, was man aber auch weiterreichen kann. Sowas lässt sich vermutlich nur organisatorisch und mit Konsequenzen abschaffen. Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 22. April 2020 Autor Melden Teilen Geschrieben 22. April 2020 vor 15 Minuten schrieb testperson: Meinst du, derjenige der seine Account-Daten weitergibt, wird dann nicht bei 2FA auch den Code weitergeben bzw. blind alles absegnen? ... Da gibt's sicherlich einige "Unverbesserliche"... Aber bei einer 2FA mit entsprechender Ansage dürfte die Hemmschwelle für eine Weitergabe dann doch deutlich größer sein? Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 4 Minuten schrieb Shao-Lee: Aber bei einer 2FA mit entsprechender Ansage dürfte die Hemmschwelle für eine Weitergabe dann doch deutlich größer sein? Ja klar, allerdings sollte dann auch eine entsprechende Ansage ohne 2FA helfen. ;) Natürlich kann man Ansagen mit was Neuem einfacher verargumentieren wie etwas zu ändern, was doch schon immer so gehandhabt wurde. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 33 Minuten schrieb testperson: Meinst du, derjenige der seine Account-Daten weitergibt, wird dann nicht bei 2FA auch den Code weitergeben bzw. blind alles absegnen? Da müsste der 2te Faktor ja schon SmartCard / Yubikey o.ä. sein, was man aber auch weiterreichen kann. Sowas lässt sich vermutlich nur organisatorisch und mit Konsequenzen abschaffen. klar. der zweite Faktor muss ein Stück Hardware sein... Zur Not muß man das mit Biometrie verbinden und einen zweiten Faktor mit Fingerabdruck nehmen. Den Stick, die Karte etc kann man ja auch nur sehr eingeschränkt weitergeben, da man ohne ja selber nicht mehr arbeiten kann. Zitieren Link zu diesem Kommentar
Sunny61 809 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 38 Minuten schrieb magheinz: klar. der zweite Faktor muss ein Stück Hardware sein... Nett wäre es, wenn das Stück Hardware auch für Türöffnungen und ein- bzw. ausstempeln benutzt wird. Das ist dann eine erweiterte Hemmschwelle. ;) 1 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 3 Minuten schrieb Sunny61: Nett wäre es, wenn das Stück Hardware auch für Türöffnungen und ein- bzw. ausstempeln benutzt wird. Das ist dann eine erweiterte Hemmschwelle. ;) genau. das wäre auch mein Ziel. Der Rechner geht dann nur an, wenn die Bürotür geöffnet wird etc. Druckerjobs abholeb, Getränkeautomat, Kaffemaschine etc Da lässt sich so viel machen. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.484 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 37 Minuten schrieb magheinz: genau. das wäre auch mein Ziel. Der Rechner geht dann nur an, wenn die Bürotür geöffnet wird etc. Druckerjobs abholeb, Getränkeautomat, Kaffemaschine etc Da lässt sich so viel machen. Ich klinke mich mal ein - erstens, weigern wir uns das Ändern der Passwörter zu erzwingen, zweites sind wir in der glücklichen Lage, das die User die Notwendigkeit sicherer Passwörter erkannt haben (bei uns 10 Zeichen, üblich Groß/klein/Sonder/Zahl) Ich sage immer schreibe lieber einen kleinen Satz als Cryptisch (In2020&meinchefkannnix) - das merkt man sich besser Zur Hardware - für Azure & Co. gibt es ja diese Token - weiß jemand, ob das auch mit anderen Dingen geht, z.B. Mifare Karten/Chips? Wir haben solche als Zugangskontrolle und Anwesenheit/Arbeitszeiterfassung Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 (bearbeitet) vor 4 Minuten schrieb Nobbyaushb: Zur Hardware - für Azure & Co. gibt es ja diese Token - weiß jemand, ob das auch mit anderen Dingen geht, z.B. Mifare Karten/Chips? Du kannst die MS Authenticator App (oder auch viele andere Authenticator Apps) verwenden. Da wäre dann - ein entsprechendes Smartphone vorausgesetzt - die Biometrie auch gleich dabei. ... funktioniert sehr gut. PS: Das Handy geben wohl noch die wenigsten einfach aus der Hand. bearbeitet 22. April 2020 von BOfH_666 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.484 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 2 Minuten schrieb BOfH_666: Du kannst die MS Authenticator App (oder auch viele andere Authenticator Apps) verwenden. Da wäre dann - ein entsprechendes Smartphone vorausgesetzt - die Biometrie auch gleich dabei. ... funktioniert sehr gut. Geht leider nicht, da nur ein eingeschränkter Personenkreis iPhones hat - und private Smartphones dürfen sich nicht mit dem Firmennetz verbinden Vorgabe Behörde - KRITS Daher unsere Idee mit den Chips, da jeder MA einen hat Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.