ag1 15 Geschrieben 13. März 2012 Melden Teilen Geschrieben 13. März 2012 Hallo, ich hab eine Frage: Wie handhabt ihr die Passwortgenerierung bzw. -verwaltung in einer Domäne? Folgende Situation: Bei einem Kunden ist derzeit keinerlei Struktur in den Kennwörtern. Dies soll nun sinnvollerweise geändert werden, d.h. die Kennwörter sollen u.a. sicherer werden. Die Kennwörter sollen zentral vergeben werden und nur die Geschäftsleitung und der Admin sollen Zugriff darauf haben. Kennt ihr gute Kennwortgeneratoren, die einigermaßen vernünftige Kennwörter generieren? Mit vernünftig meine ich, daß nicht unbedingt Kennwörter wie "&%co/?§" rauskommen sollten... Es sollte ja nicht so sein, daß überall kleine Notizzettel an den Monitoren kleben... Danke schon mal für eure Tipps! Grüße ag1 Zitieren Link zu diesem Kommentar
tesso 360 Geschrieben 13. März 2012 Melden Teilen Geschrieben 13. März 2012 Wir geben eine Kennwortrichtlinie vor. Die Nutzer setzen sich die Passwörter selbst. Der Admin kennt die Passwörter nicht und braucht sie auch nicht. Zitieren Link zu diesem Kommentar
wiri 10 Geschrieben 13. März 2012 Melden Teilen Geschrieben 13. März 2012 Auch wir implementieren die Passwortrichtlinien des Kunden nach dessen Vorgaben. Es wird nur bei der Erstellung des Users ein Initialpsw erstellt und mitgeteilt und bei Erstanmeldung eine Zwangsänderung dessen vorgegeben. Zu PSW Generatoren gurgel mal im Internt. Zitieren Link zu diesem Kommentar
tesso 360 Geschrieben 13. März 2012 Melden Teilen Geschrieben 13. März 2012 Stimmt, das habe ich nicht geschrieben. Der Nutzer bekommt ein Initialpasswort mit Zwang zur Änderung. Zitieren Link zu diesem Kommentar
NorbertFe 1.828 Geschrieben 13. März 2012 Melden Teilen Geschrieben 13. März 2012 Läuft hier identisch, wobei ich einige Kunden habe, die das Initialkennwort ebenfalls individuell bilden. Dazu wird dann ein für den Nutzer erkennbares Schema verwendet, so dass auch das Initialkennwort bei keinem Nutzer identisch ist. Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 ... d.h. die Kennwörter sollen u.a. sicherer werden. ..... Kennwortrichtlinie: Mindestens acht Zeichen und komplex, also alphanumerisch und ein Sonderzeichen; das ist sozusagen die "Struktur". Kennwortgenerator: Man nehme acht oder mehr Würfel, klebe Buchstaben, Zahlen und Zeichen drauf, würfle und schiebe sie dann willkürlich in eine Reihe. Man kann ein Initialkennwort natürlich auch strukturiert bilden aus Initialen, Geburtsdatum und einem Sonderzeichen in willkürlicher Anordnung. Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Ich denke, es ist auch eine Frage der Unternehmensgröße, wie das Kennwortmanagement aussieht. Wir haben die Erfahrung gemacht, dass eine komplexere Struktur und ein kurzer Änderungszyklus dazu führt, dass die Userkennwörter auf Zettel notiert werden. Da sich die User bei vergessenen Kennwortern sowieso an die Administration wenden müssen, um bei ihrer anschließenden Anmeldung dann das Initialpasswort gem. den Richtlinien zu ändern, halten ich eine weitere Individualisierung bei den Initialkennwörtern für nicht erforderlich. In der Regel läuft der Prozess eh telefonisch ab - einschließlich Neuanmeldung. Das von Norbert beschriebene Schema finde ich trotz Allem ganz interessant :D Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Richtlinie mit Komplexität (Kombination aus Groß- und Kleinschreibung, Zahlen oder Sonderzeichen müssen vorhanden sein und es dürfen nicht drei aufeinander folgende Buchstaben des Vor- oder Nachnamens und dem Benutzeranmeldenamen oder Zahlenfolgen vorkommen) und Mindestlänge 8 Zeichen. Initialkennwort wird über Freeware-Passwortgenerator vergeben, um erkennbare Schemata zu vermeiden. Hierfür verwenden wir den Extended Passwort Generator von Eugene Podkopaev, das unter der GNU GPL lizensiert ist. Die Benutzer müssen das Kennwort nach der ersten Anmeldung ändern. Neue Benutzer erhalten ein Infoblatt, in dem die Kennwortrichtlinien mit Negativ- und Positivbeispielen "anwendertauglich" erklärt werden. Wer zusätzliche Sicherheit benötigt, kann über die GPO die Kennwortdauer zeitlich beschränken und ggf. zusätzlich die Wiederverwendung der letzten X Kennwörter verhindern. Zitieren Link zu diesem Kommentar
wiri 10 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 in der Tat, sind es mittlere bis große Unternehmen die komplexe Kennwörter haben wollen, da dort die Revision ein Wort mitredet und somit Vorgaben ala DSG macht. Viele lehnen das Kennwort in der MS-Welt an die in der SAP-Welt 1:1 an. Der letzte Schrei ist aber, die AD-User im SAP anzulegen und via Transporterserver ins AD ablegen. D.h. User werden im SAP angelegt, gepflegt, gelöscht und schwubdiewupp im AD mitgeführt. Dann haben natürlich auch die Firmen wieder selber das Troubleticket mit Kennwörtern am Hals, was immer wieder zu Diskussionen führt, wer welches Ticket annimmt. Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 @wiri: Was hat Dein Beitrag jetzt mit der Ursprungsfrage des TO zu tun? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Die Kennwörter sollen zentral vergeben werden und nur die Geschäftsleitung und der Admin sollen Zugriff darauf haben. Hallo, Gibts denn Gründe für diese eher unübliche Praxis? m.E. verursacht ein solches Verfahren Mehrarbeit und Probleme, ohne einen Securityvorteil zu bringen. Passwörter gelten außerdem heutzutage generell nicht mehr als sicher. blub Zitieren Link zu diesem Kommentar
wiri 10 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 @wiri:Was hat Dein Beitrag jetzt mit der Ursprungsfrage des TO zu tun? er schrieb:"ich hab eine Frage: Wie handhabt ihr die Passwortgenerierung bzw. -verwaltung in einer Domäne?" Weiterhin wollte ich auch weitergehende Aspekte wir die Revision / DSG und andere Formen aufzeigen. Darf ich das nicht? Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Doch, sicher darfst Du das! Mir erschloss sich auf Anhieb nur nicht der Bezug, da habe ich einfach mal nachgefragt ;) Aber den Satz mit dem Passus, dass die Passwörter der GL und den Admins bekannt sein sollen, habe ich wohgl überlesen... Das halte ich persönlich aber auch für , sagen wir mal: suboptimal... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Nun, der TO ist wohl ein Dienstleister, der die Vorgaben des Auftraggebers zu umzusetzen hat. Falls der Auftraggeber die Kennwörter haben will, dann wird der Dienstleister das wohl nicht verhindern können, er wird auch seinen Auftrag nicht gefährden wollen. Zitieren Link zu diesem Kommentar
NorbertFe 1.828 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Das von Norbert beschriebene Schema finde ich trotz Allem ganz interessant :D Dann hab ich noch was für dich. ;) faq-o-matic.net » Kennwörter selbst zurücksetzen Hab ich auch bei Kunden im Einsatz und finde es "cool". Müßte bei Gelegenheit mal ne Auswertung fahren, wie das angenommen wurde. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.