BOfH_666 577 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 (bearbeitet) Ich bin nur neugierig. Die Empfehlung aus dem Mutterland der unsinnigen Passwort-Regeln, sehen das ja schon ein paar Jahre lang vor - jetzt kommen auch immer öfter entsprechende Empfehlungen von Experten aus Deutschland. Siehe diese Heise Meldung. Trotzdem scheint es (gefühlt) niemanden zu geben, der diese Empfehlung wirklich umgesetzt hat. Oder irre ich mich? Gibt es bei einem von Euch, oder bei einem Eurer Kunden, schon eine allgemeine Passwort-Regel, die diesen Empfehlungen folgt und kein Maximal-Alter für Passwörter festzurrt? bearbeitet 25. Juni 2020 von BOfH_666 Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 Hi, wir setzen das schon länger entsprechend bei uns(eren) Kunden um. Ab und an finden Kunden das nicht gut, sind aber nach einem Gespräch meistens mit diesem Weg einverstanden. Ebenfalls kommen manchmal DSBs oder Versicherungen um die Ecke, dass Kennwörter regelmäßig geändert werden müssen. Wenn der Kunde sich dann für den Weg des DSBs entscheidet oder die Versicherung es als Bedingung hat, setzen wir das halt um. Im Rahmen von "Cross Selling" haben das fremd Dienstleister unseren Kunden auch schon als "unverantwortlich" verkauft. Gruß Jan 1 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 vor 20 Minuten schrieb BOfH_666: Ich bin nur neugierig. Die Empfehlung aus dem Mutterland der unsinnigen Passwort-Regeln, sehen das ja schon ein paar Jahre lang vor - jetzt kommen auch immer öfter entsprechende Empfehlungen von Experten aus Deutschland. Siehe diese Heise Meldung. Trotzdem scheint es (gefühlt) niemanden zu geben, der diese Empfehlung wirklich umgesetzt hat. Oder irre ich mich? Gibt es bei einem von Euch, oder bei einem Eurer Kunden, schon eine allgemeine Passwort-Regel, die diesen Empfehlungen folgt und kein Maximal-Alter für Passwörter festzurrt Wir überlegen. Aber wenn, dann nur mit der gleichzeitigen Einführung eines zweiten Faktors... 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 25. Juni 2020 Autor Melden Teilen Geschrieben 25. Juni 2020 vor 9 Minuten schrieb testperson: wir setzen das schon länger entsprechend bei uns(eren) Kunden um. Ab und an finden Kunden das nicht gut, sind aber nach einem Gespräch meistens mit diesem Weg einverstanden. Cool. Gibt es da ein "Killer-Argument", was den entscheidenden Ausschlag gibt oder kommt die Einsicht einfach so und benutzt Ihr welche von den Studien oder White-Paper, die es dazu gibt? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 Moin, ich rede mir zu solchen Themen seit über 15 Jahren den Mund fusselig. Habe dabei auch Erfolg. Allerdings nur in homöopathischem Umfang. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 25. Juni 2020 Autor Melden Teilen Geschrieben 25. Juni 2020 vor 12 Minuten schrieb magheinz: Wir überlegen. Aber wenn, dann nur mit der gleichzeitigen Einführung eines zweiten Faktors... MFA? Für normale Büro-Täter? Wow. ... für unsere administrativen Accounts haben wir das ja auch schon, aber für die normaler Anwender finde ich das echt ambitioniert. Doppel-Cool!! Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 Gerade eben schrieb BOfH_666: MFA? Für normale Büro-Täter? Wow. ... für unsere administrativen Accounts haben wir das ja auch schon, aber für die normaler Anwender finde ich das echt ambitioniert. Doppel-Cool!! Da wir gerade auf citrix umstellen ziehen wir das komplett durch. Fürs homeoffice soll es eh Pflicht werden und wenn die einmal drann gewöhnt sind... Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 25. Juni 2020 Autor Melden Teilen Geschrieben 25. Juni 2020 vor 2 Minuten schrieb NilsK: ... Allerdings nur in homöopathischem Umfang. ... hah .... die Eichhörnchen-Geschichte .... das kenn ich. vor 1 Minute schrieb magheinz: Da wir gerade auf citrix umstellen ziehen wir das komplett durch. Respekt. vor 1 Minute schrieb magheinz: Fürs homeoffice soll es eh Pflicht werden und wenn die einmal drann gewöhnt sind... Als zweiten Faktor dann Smartphone-Apps oder etwa noch so'ne kleinen RSA-Tokens? Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 vor 20 Minuten schrieb BOfH_666: Cool. Gibt es da ein "Killer-Argument", was den entscheidenden Ausschlag gibt oder kommt die Einsicht einfach so und benutzt Ihr welche von den Studien oder White-Paper, die es dazu gibt? Da reicht häufig ein "Wir raten davon ab.". Ansonsten eben kurze, komplexe Passwörter werden irgendwo aufgeschrieben und sind nicht so sicher wie lange, nicht komplexe Kennwörter bzw. werden die komplexen PWs "hochgezählt". Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 25. Juni 2020 Autor Melden Teilen Geschrieben 25. Juni 2020 vor 48 Minuten schrieb testperson: Da reicht häufig ein "Wir raten davon ab." Das werd ich mal probieren. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 vor 41 Minuten schrieb BOfH_666: Das werd ich mal probieren. Als Externer funktioniert das übrigens besser als wenn das ein interner ITler sagt... vor 2 Stunden schrieb BOfH_666: Als zweiten Faktor dann Smartphone-Apps oder etwa noch so'ne kleinen RSA-Tokens? Wir wollen die Tokens. Smartphones sind zweite Wahl und irgendeine dritte Variante gibt es auch noch. In unserem Umfeld sind private Smartphones nicht so weit verbreitet und es hat nicht jeder ein Diensthandy. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 vor 3 Stunden schrieb magheinz: Wir wollen die Tokens. Smartphones sind zweite Wahl und irgendeine dritte Variante gibt es auch noch. Naja das bieten aber inzwischen eigentlich fast alle Hersteller solcher Lösungen. Dritte Variante ist meist ein Rückruf. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 (bearbeitet) vor 1 Minute schrieb NorbertFe: Naja das bieten aber inzwischen eigentlich fast alle Hersteller solcher Lösungen. Dritte Variante ist meist ein Rückruf. gibt noch sowas wie "Wischmuster" bei Android. Rückruf geht natürlich auch. SMS ist technisch auch noch möglich. Es läuft aber zu 80 auf die tokens hinaus. Die bekommen dann auch die externen Dienstleister wenn sie remotezugänge bei uns haben. bearbeitet 25. Juni 2020 von magheinz Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 Als externer Dienstleister hab ich gern sowas wie ein OTP Soft-Token, sonst hat man irgendwann 17 solche Dongles in der Tasche. ;) Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 25. Juni 2020 Melden Teilen Geschrieben 25. Juni 2020 vor 5 Minuten schrieb NorbertFe: Als externer Dienstleister hab ich gern sowas wie ein OTP Soft-Token, sonst hat man irgendwann 17 solche Dongles in der Tasche. ;) Is klar. Deswegen haben wir da auch eine Anzahl mitbestellt, oder die sind eh inklusive oder so. Die Möglichkeit ist ja vorhanden. Wir haben aber auch Dienstleister, die nicht einfach was auf dem Handy installieren dürfen. Da hängen ja teilweise BSI-Zertifizierungen etc mit dran oder auch eigene Firmenregeln. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.