Jump to content

Minimale Passwortlänge bei Admins


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

bei Kennwörtern ist faktisch nur die Länge entscheidend. Wie viele Zeichen genau, ist Glaubenssache, aber 8 Zeichen gelten schon seit Jahren als zu kurz für ernst gemeinte Angriffe, insbesondere bei hochprivilegierten Konten. Meine Ansicht dazu ist: alles unter 20 Zeichen ist zu kurz für einen Account, der Schlimmes anrichten kann. Hier helfen Kennwortsätze.

 

Das mit dem Sperren würde ich lassen - das ist eine Krücke, die wenig hilft, aber viel schadet.

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

 

Und gleich noch ein Tool für lange Kennwörter, die man gut tippen kann (es gibt noch ca. 1000 andere solche Tools):

 

[Bessere Kennwörter erzeugen und merken | faq-o-matic.net]
https://www.faq-o-matic.net/2017/07/26/bessere-kennwrter-erzeugen-und-merken/

 

Gruß, Nils

 

Link zu diesem Kommentar

Und wenn man dies nur z.B. bei ServiceAccounts macht? Man muss die Policy ja nicht auf alle Accounts ausrollen. Ist nur die Frage ob es überhaupt Attacken gibt wo das Passwort am DC via Bruteforce probiert wird. 

Kenne nur das abgreifen vom NTLM Hash wo man dann Offline Tools wie Ophcrack drüber laufen lässt d.h. was dann ausserhalb vom Netzwerk stattfinden kann.

Link zu diesem Kommentar

LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden...

Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm

(Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.)

Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

 

Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht.

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...