Wie restriktiv verwaltet ihr eure Kennwortrichtlinien?

[asterisk 10]

war ein fehler bei der Thread erstellung. richtiger thread ist hier:

http://www.mcseboard.de/showthread.php?t=66307

 

@x86-64 und lefg, wäre nett, wenn ihr eure antworten unter o. g. umfrage neu posten könntet.

 

sorry!!

[x86-64 10]

also bei uns gibts es folgende kennwort richtlinien:

maximale Laufzeit: 45 Tage

minimale Laufzeit: 2 Tage (damit die User nicht 3 mal das Passwort ändern damit sie wieder das gleiche haben)

History: 3

Komplexe Passwörter: ja

 

Smartcard sind auch nicht der weißheit letzter schluss, da manchmal nach einer gewissenzeit entweder die karte nicht mehr funktioniert oder der leser die karte nicht mehr erkennt.

[lefg 276]

Hallo Kollege,

 

- ein problembehaftetes Smartcardsystem ist ein Hindernis!

- bringt ein funktionierende Smartcardsystem einen Produktivitäts-/Sicherheitgewinn?

- ist ein Smardcardsystem sogar eine Sicherheitslücke?

 

Gruß

 

Edgar

[asterisk 10]

sorry jungs, tut mir wirklich leid, habe wohl irgendwas beim erstellen des themas falsch gemacht. sollte eigentlich eine umfrage werden.

 

´wäre nett von euch, wenn ihr eure antworten unter http://www.mcseboard.de/showthread.php?t=66307 neu erstellt und dieses thema dann gelöscht wird.

 

sorry!!! :(

[grizzly999 11]

- ein problembehaftetes Smartcardsystem ist ein Hindernis!

Ja, alles was problemhaft funktioniert ist ein Hindernis.

 

- bringt ein funktionierende Smartcardsystem einen Produktivitäts-/Sicherheitgewinn?

Ja, es gilt unter Sicherheitsexperten gemeinhin als die sicherste Authentifizierungsform, noch vor Tokens

 

- ist ein Smardcardsystem sogar eine Sicherheitslücke?

wieso sollte sie eines sein (s. Antwort oben)?

 

 

grizzly999

[lefg 276]

Smartcard sind auch nicht der weißheit letzter schluss, da manchmal nach einer gewissenzeit entweder die karte nicht mehr funktioniert oder der leser die karte nicht mehr erkennt.

ein problembehaftetes Smartcardsystem ist ein Hindernis!

Ja, alles was problemhaft funktioniert ist ein Hindernis.

Existiert dieses Problem tatsächlich?

bringt ein funktionierende Smartcardsystem einen Produktivitäts-/Sicherheitgewinn?

Ja, es gilt unter Sicherheitsexperten gemeinhin als die sicherste Authentifizierungsform, noch vor Tokens

Wie ist das unter dem Aspekt Produktivitätsgewinn(beim Benutzer) zu beurteilen?

ist ein Smardcardsystem sogar eine Sicherheitslücke?

wieso sollte sie eines sein (s. Antwort oben)?

Wie ist das mit liegengelassenen Cards?

[x86-64 10]

zu smartcards:

 

als bei meinem noch arbeitgeber (einen großen Telekonikationunternehmen) wurden zu beginn meiner Ausbildung(also vor 3 Jahren) Smartcard ausgeben. Diese werden noch zusätzlich mit einem pin (4-6 stellig) abgesichert (als man kann die auch liegen lassen). Nun zu den Problemen:

 

1) In schöner Regelmässigkeit verreckten nach und nach die Kartenleser und mussten durch neue ersetzt werden (meisten durch mechanische abnützung oder durch verstaubung)

2) auch die Karten in checkkarten größe waren vom Ausfall nicht gefeilt. Meisten sah man schon nach ein paar wochen abnützung auf dem chip und irgendwann wurden die karten nicht mehr erkannt.

3) nach der 3 falsch eingabe war die karte wertlos und musste neu bestellt werden.

 

zum thema sicherheit:

 

Ich glaub nicht dass smartcards viel sicherer sind als Passwörter:

-viele meiner kollegen benutzen als pin 1234 oder ihr geburtsdatum oder die geheimzahl der ec karte

-ob ich mir jetzt ein passwört oder einen pin merken muss macht für mich keinen unterschied

- bei der lösung de bei uns eingestzt wurde musste man immer den pin über die tastatur eingeben (was wieder angriffsfläche für keylogger bietet).

- der wo unbeding zurgriff auf ein system erlangen will läst sich auch von smartcards nicht abhalten - z.B. klaut man dann einfach den geldbeutel mit der karte oder zoggt sich die karte wenn der kollege mal auf dem klo ist

- zudem braucht man immer ein pysikalischen zurgiff auf das system - bei beiden lösungen

- bei terminalserver, owa usw werden immer noch passwörter benötigt

- da ich während meiner ausbildung auch eine zeitlang bei pc service eingestzt war - liefen mir genau die gleichen sachen wie mit passwörter über den weg:

- Karte liegt unter der Tastatur

- Pin kebt am Monitor

- ist im Telefon uner smartcard eingespeichert, usw

 

Wie ist das unter dem Aspekt Produktivitätsgewinn(beim Benutzer) zu beurteilen?

 

Also die Anschaffungskosten sind erstmal sehr hoch (ca. 35 € für kartenleser + ca. 10 € pro karte) zusätzlich wird auch noch einiges an software benötigt.

 

Ich glaub weniger dass ich die Produktivität steigern lässt da die anmeldung keines falls schneller geht als mit Passwörter.

 

Zudem ist der Admintrative Aufwand sehr viel höher als bei einer normalen Passwörtlösung.

[lefg 276]

@x86-64

Danke für deinen Erfahrungsbericht.

 

Hast du etwas über die Installations- und Betriebskosten?

[dippas 10]

@lefg

@x86-64

 

ein Freund von mir (Pie, auch hier im Board) spielt gerade mit der Lösung von http://www.cryptme.com gedanklich rum.

 

ich habe mir das Ding auch mal anschauen können und muss sagen:

- Kosten gering

- Sicherheit hoch

- Handling zunächst gewöhnungsbedürftig

 

Aber:

Die Verschlüsselungskarte kostet nen Euro und die kann man auch überall liegen lassen. Die Software ist auch (vergleichsweise) spotbillig.

 

Ich werde mal seine Erfahrungen abwarten und dann berichten. Insgesamt klingt die Sache aber wirklich vielversprechend, zumal AD-einstellungen beibehalten werden können.

 

grüße

 

dippas