Jump to content

Minimale Passwortlänge bei Admins


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Man könnte die Konten nach x Anmeldeversuchen ja sperren wenn es über BruteForce passiert. Die Frage ist eben ob kurze Passwörter in einem Zug schneller geknackt werden können z.B. wenn sie im Arbeitsspeicher oder über NTLM Hash abgegriffen werden.

Link to post

Moin,

 

bei Kennwörtern ist faktisch nur die Länge entscheidend. Wie viele Zeichen genau, ist Glaubenssache, aber 8 Zeichen gelten schon seit Jahren als zu kurz für ernst gemeinte Angriffe, insbesondere bei hochprivilegierten Konten. Meine Ansicht dazu ist: alles unter 20 Zeichen ist zu kurz für einen Account, der Schlimmes anrichten kann. Hier helfen Kennwortsätze.

 

Das mit dem Sperren würde ich lassen - das ist eine Krücke, die wenig hilft, aber viel schadet.

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

 

Und gleich noch ein Tool für lange Kennwörter, die man gut tippen kann (es gibt noch ca. 1000 andere solche Tools):

 

[Bessere Kennwörter erzeugen und merken | faq-o-matic.net]
https://www.faq-o-matic.net/2017/07/26/bessere-kennwrter-erzeugen-und-merken/

 

Gruß, Nils

 

Link to post

Und wenn man dies nur z.B. bei ServiceAccounts macht? Man muss die Policy ja nicht auf alle Accounts ausrollen. Ist nur die Frage ob es überhaupt Attacken gibt wo das Passwort am DC via Bruteforce probiert wird. 

Kenne nur das abgreifen vom NTLM Hash wo man dann Offline Tools wie Ophcrack drüber laufen lässt d.h. was dann ausserhalb vom Netzwerk stattfinden kann.

Link to post

LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden...

Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm

(Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.)

Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

 

Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht.

 

Link to post

Wie handhabt ihr denn eure eigenen Benutzerkonten? Also normaler User + extra Admin Account ist klar. Aber was ist wenn man Clients + Server + Domain verwaltet. Wieviele Konten verwendet ihr da? Sich als Domain Admin an einen PC anzumelden ist ja nicht erforderlich.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...