Jump to content
xrated2

Minimale Passwortlänge bei Admins

Recommended Posts

Man könnte die Konten nach x Anmeldeversuchen ja sperren wenn es über BruteForce passiert. Die Frage ist eben ob kurze Passwörter in einem Zug schneller geknackt werden können z.B. wenn sie im Arbeitsspeicher oder über NTLM Hash abgegriffen werden.

Share this post


Link to post
Share on other sites

Moin,

 

bei Kennwörtern ist faktisch nur die Länge entscheidend. Wie viele Zeichen genau, ist Glaubenssache, aber 8 Zeichen gelten schon seit Jahren als zu kurz für ernst gemeinte Angriffe, insbesondere bei hochprivilegierten Konten. Meine Ansicht dazu ist: alles unter 20 Zeichen ist zu kurz für einen Account, der Schlimmes anrichten kann. Hier helfen Kennwortsätze.

 

Das mit dem Sperren würde ich lassen - das ist eine Krücke, die wenig hilft, aber viel schadet.

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

 

Und gleich noch ein Tool für lange Kennwörter, die man gut tippen kann (es gibt noch ca. 1000 andere solche Tools):

 

[Bessere Kennwörter erzeugen und merken | faq-o-matic.net]
https://www.faq-o-matic.net/2017/07/26/bessere-kennwrter-erzeugen-und-merken/

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Und wenn man dies nur z.B. bei ServiceAccounts macht? Man muss die Policy ja nicht auf alle Accounts ausrollen. Ist nur die Frage ob es überhaupt Attacken gibt wo das Passwort am DC via Bruteforce probiert wird. 

Kenne nur das abgreifen vom NTLM Hash wo man dann Offline Tools wie Ophcrack drüber laufen lässt d.h. was dann ausserhalb vom Netzwerk stattfinden kann.

Share this post


Link to post
Share on other sites

Hi,

vor 22 Minuten schrieb xrated2:

Und wenn man dies nur z.B. bei ServiceAccounts macht?

da wären Managed Service Accounts die bessere Wahl. Sofern die Applikation da keine Probleme mit hat.

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Werden die nur für Dienste oder Tasks verwendet oder kann man damit auch Applikationen wie PRTG benutzen die sich z.B. über Remote WMI anmelden?

Edited by xrated2

Share this post


Link to post
Share on other sites

LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden...

Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm

(Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.)

Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

 

Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht.

 

Share this post


Link to post
Share on other sites
vor 1 Minute schrieb daabm:

Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht.

Außer adfs hab ich in real life auch noch nie was gesehen.

Share this post


Link to post
Share on other sites

Wie handhabt ihr denn eure eigenen Benutzerkonten? Also normaler User + extra Admin Account ist klar. Aber was ist wenn man Clients + Server + Domain verwaltet. Wieviele Konten verwendet ihr da? Sich als Domain Admin an einen PC anzumelden ist ja nicht erforderlich.

Share this post


Link to post
Share on other sites

Wir haben für diverse Ebenen und dienste extra personalisierte Admin-accounts.

Z.B. domain-admin, server-admin, ws-admin, ANWENDUNG-admin.

Ich schätze ich habe so ca 10 Accounts im AD.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...