Jump to content
speer

AD-User passwordlastset auslesen und vergleichen

Empfohlene Beiträge

Moin,

 

Weißt du ab welcher Regelmäßigkeit die Sicherheit reduziert wird? 30 Tage, 90 Tage oder 1x pro Jahr?

 

rhetorische Frage, gell?

 

Das ist natürlich keine Frage des Intervalls, sondern des Prinzips. Einen Zwang zum Kennwortwechsel sollte es nur dann geben, wenn es den Verdacht gibt, dass das Kennwort nicht mehr sicher ist. Ein turnusmäßiger Wechsel erhöht die Sicherheit eines Kennworts nicht, wenn es nicht "geknackt" wurde und nicht leicht zu knacken ist. Die Sicherheit eines schwachen Kennworts erhöht man durch einen turnusmäßigen Wechsel auch nicht. Bei schwachen Kennwörtern tritt hingegen beobachtbar ein Effekt ein, der dauerhaft für schwache Kennwörter sorgt: Die User suchen nach einfachen Auswegen und hängen meist eine Ziffer an, die sie schlicht hochzählen.

 

Wobei das alles ja nicht neu ist.

 

https://helgeklein.com/blog/2009/06/how-forcing-password-changes-actually-weakens-security/

https://www.faq-o-matic.net/2017/09/20/nist-kennwortrichtlinien-runterschrauben/

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

 

rhetorische Frage, gell?

 

Das ist natürlich keine Frage des Intervalls, sondern des Prinzips. Einen Zwang zum Kennwortwechsel sollte es nur dann geben, wenn es den Verdacht gibt, dass das Kennwort nicht mehr sicher ist. Ein turnusmäßiger Wechsel erhöht die Sicherheit eines Kennworts nicht, wenn es nicht "geknackt" wurde und nicht leicht zu knacken ist. Die Sicherheit eines schwachen Kennworts erhöht man durch einen turnusmäßigen Wechsel auch nicht. Bei schwachen Kennwörtern tritt hingegen beobachtbar ein Effekt ein, der dauerhaft für schwache Kennwörter sorgt: Die User suchen nach einfachen Auswegen und hängen meist eine Ziffer an, die sie schlicht hochzählen.

 

Wobei das alles ja nicht neu ist.

 

https://helgeklein.com/blog/2009/06/how-forcing-password-changes-actually-weakens-security/

https://www.faq-o-matic.net/2017/09/20/nist-kennwortrichtlinien-runterschrauben/

 

Gruß, Nils

 

Rhetorisch? Jain  ;) 

 

Ich dachte das du da evtl. noch eine Abstufung kennst. Wir fordern unsere Benutzer auch nicht auf. Danke nochmal für die Links und den Hinweis.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@NilsK

Sehe ich auch so. Habe es leider aber auch schon erlebt, dass dann mit der Wirtschaftprüfung auch ein IT-Audit gemacht wurde und dann heißt es "Vorgablen laut xyz, Sie müssen das Kennwort mindestens alle 90 Tage ändern". Echt traurig sowas. Gruß John

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

über Empfehlungen von Wirtschaftsprüfern usw. kann man sich mit Begründung ja auch hinwegsetzen. Da habe ich auch schon wirklich hanebüchene Dinge gesehen ...

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×