Jump to content

Umfrage/Diskussion: "Passwörter mit/ohne Ablaufdatum"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 4 Minuten schrieb Nobbyaushb:

Geht leider nicht, da nur ein eingeschränkter Personenkreis iPhones hat - und private Smartphones dürfen sich nicht mit dem Firmennetz verbinden

Vorgabe Behörde - KRITS

Daher unsere Idee mit den Chips, da jeder MA einen hat

ECOS hat eine BSI-Zulassung zumindest für NfD.

Die Bootssticks von denen haben eine smartcard und man muss eine PIN eingeben=2 Faktoren.

 

Und für Bundesbehörden: man kann sie über das KdB beziehen!

bearbeitet von magheinz
Link zu diesem Kommentar
vor 14 Minuten schrieb Nobbyaushb:

Geht leider nicht, da nur ein eingeschränkter Personenkreis iPhones hat - und private Smartphones dürfen sich nicht mit dem Firmennetz verbinden

Es gibt mehrere Möglichkeiten, so eine Authenticator App zu benutzen - z.B. kann man sich einen Zahlencode erzeugen lassen. Das ist dann das gleiche wie ein Hardware-Token ... nur eben in Software. Oder man lässt den Authentifizierungsprovider (MS) beim Smartphone anfragen, ob eine gerade anstehende Autorisierung genehmigt werden soll. Das ist etwas komfortabler, da man auf dem Phone nur noch - nach Entsperrung (gegebenenfalls mit Fingerabdruck) - bestätigen muss. Aber  das Smartphone verbindet sich nicht mit dem Firmennetz. 

Aber wenn's sooo spezielle Anforderungen gibt, isses dann vielleicht nix für Euch.  ;-)

bearbeitet von BOfH_666
Link zu diesem Kommentar
vor 31 Minuten schrieb BOfH_666:

Das ist etwas komfortabler, da man auf dem Phone nur noch - nach Entsperrung (gegebenenfalls mit Fingerabdruck) - bestätigen muss.

Und dann kommt die "Duo Bypass App" um die Ecke: https://blog.workinghardinit.work/2019/11/13/the-darwin-award-with-mfa-push-notifications/ oder der User bestätigt eben jede Anfrage :-D

Link zu diesem Kommentar

Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln weil sie einen Verdacht haben, dass es kompromitiert sein könnte - dann wäre das Passwort bis zur Rente/Pension identisch. (Die meisten müssten wohl erst nachschlagen, was überhaupt mit kompromittiert gemeint ist). Evtl. schnappt das Passwort mal ein Arbeitskollege auf und der Benutzer merkt es nicht. In der Regel würde das von den Endanwendern bei uns kein Schwein merken, wenn sein PW weg ist, da gehe ich jede Wette ein. Oder aber der User nutzt zum Beispiel Remotezugänge/Anwendungen vom Privatgerät aus. Wer weiß wo der überall die selben Zugangsdaten verwendet...da kann es schon hilfreich sein, wenn das Passwort nach Zeitraum x gewechselt werden muss. Das mag in Unternehmen mit fitten Leuten ja klappen es nicht zu wechseln und komplexer zu gestalten, aber im ÖD Leute mit technischem Verständnis zu finden und für diese Änderungen den nötigen Rückhalt in der Verwaltung zu bekommen - der Horror! Bei den jungen Leuten gehts ja (oft, aber nicht immer), aber der Altersdurchschnitt ist halt leider recht hoch.

Link zu diesem Kommentar

@daabm ...."Danke für's Stöckchen" :lol: ;-) Hab' jetzt mal gegoogelt - meintest Du den folgenden Artikel? Danke Dir :victory:
https://docs.microsoft.com/de-de/archive/blogs/secguide/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903

<=> https://redmondmag.com/articles/2019/04/26/microsoft-password-expirations-windows-security.aspx

 

 

An Alle:

Ich freu' mich ja grundsätzlich über eine rege Diskussionsteilnahme.... - über Beiträge,  die zu meinem Eingangspost passen, freue ich mich aber noch mehr ;-)

 

Link zu diesem Kommentar
vor 8 Stunden schrieb CoNtAcT2000:

Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln weil sie einen Verdacht haben, dass es kompromitiert sein könnte - dann wäre das Passwort bis zur Rente/Pension identisch. (Die meisten müssten wohl erst nachschlagen, was überhaupt mit kompromittiert gemeint ist). Evtl. schnappt das Passwort mal ein Arbeitskollege auf und der Benutzer merkt es nicht. In der Regel würde das von den Endanwendern bei uns kein Schwein merken, wenn sein PW weg ist, da gehe ich jede Wette ein. Oder aber der User nutzt zum Beispiel Remotezugänge/Anwendungen vom Privatgerät aus. Wer weiß wo der überall die selben Zugangsdaten verwendet...da kann es schon hilfreich sein, wenn das Passwort nach Zeitraum x gewechselt werden muss. Das mag in Unternehmen mit fitten Leuten ja klappen es nicht zu wechseln und komplexer zu gestalten, aber im ÖD Leute mit technischem Verständnis zu finden und für diese Änderungen den nötigen Rückhalt in der Verwaltung zu bekommen - der Horror! Bei den jungen Leuten gehts ja (oft, aber nicht immer), aber der Altersdurchschnitt ist halt leider recht hoch.

Dem kann man ja mit einem zweiten Faktor (Smartcard / Yubikey / Token) entgegen wirken. Ebenfalls gibt es Möglichkeiten zu überwachen, von wo eine Anmeldung versucht wird / erfolgt. Sollten bei einer Behörde dann Anmeldeversuche / Anmeldungen aus China o.ä erfolgen, dann ist wohl was faul im Staate Dänemark Deutschland. ;)

Link zu diesem Kommentar
vor 37 Minuten schrieb testperson:

entgegen wirken

Ist im ÖD aber eben auch nicht immer so einfach. ;) Wieviele Kunden kennst du denn, die derzeit für interne Verwendung (Anmeldung am PC) einen zweiten Faktor nutzen? Ich hab zwar haufenweise Kunden die das für Clouddienste oder bspw. Citrix und VPN nutzen, aber bisher keinen der das für die PC Anmeldung nutzt.

Link zu diesem Kommentar
vor 27 Minuten schrieb NorbertFe:

Wieviele Kunden kennst du denn, die derzeit für interne Verwendung (Anmeldung am PC) einen zweiten Faktor nutzen?

Es sind max. ein bis zwei Hände voll. Da ist es halt praktisch, dass viele unserer Kunden so oder so alle eine Smartcard von DATEV haben, mit der man das eben umsetzen kann. Ein Kunde testet das grade mit RCDevs und Softtoken. 

Link zu diesem Kommentar

Das entspricht nicht zu 100% dem Thema aber vielleicht dennoch interessant.
Wie geht ihr mit Passwortablauf im Bezug auf Home-Office um? Es soll ja Mitarbeiter geben, die nahezu permanent außerhalb des Firmennetzwerks mit Notebooks arbeiten.
Das Weiterarbeiten mit dem Notebook außerhalb des Netzes ist dann weiterhin möglich wenn das Passwort abläuft (cached Credentials) aber die meisten nutzen die AD Daten ebenfalls für Office365, VPN, und weitere Anwendungen. Da kann sich der Benutzer dann nicht mehr authentifizieren.

Link zu diesem Kommentar
vor 1 Stunde schrieb falkebo:

Das entspricht nicht zu 100% dem Thema aber vielleicht dennoch interessant.
Wie geht ihr mit Passwortablauf im Bezug auf Home-Office um? Es soll ja Mitarbeiter geben, die nahezu permanent außerhalb des Firmennetzwerks mit Notebooks arbeiten.
Das Weiterarbeiten mit dem Notebook außerhalb des Netzes ist dann weiterhin möglich wenn das Passwort abläuft (cached Credentials) aber die meisten nutzen die AD Daten ebenfalls für Office365, VPN, und weitere Anwendungen. Da kann sich der Benutzer dann nicht mehr authentifizieren. 

 

Für die Nutzer die bei uns Home Office machen, haben wir die zwanghafte Passwortänderung derzeit außer Kraft gesetzt.
Wollten da nicht noch unnötig in Probleme stolpern, hatten aktuell genug mit anderen Dingen zu tun.

Link zu diesem Kommentar

Moin moin, 

 

also wir hatten bei uns auch immer Passwörter ohne Ablaufdatum. 2019 haben wir uns dazu entschlossen eine Cyberrisiko-Versicherung abzuschließen. Damit sind folgende Punkte abgedeckt: 

 

  • Cyber-Spionage
  • Cyber-Vertrauensschadendeckung
  • Cyber-Betriebsunterbrechung bei Cloud-Ausfall
  • Cyber-Betriebsunterbrechung bei Systemausfall und technischen Problemen

Grundvorraussetzung für diese Versicherung ist eine Passwortrichtlinie:

 

Zitat

Obliegenheit: Passwortrichtlinie für individuelle und komplexe Passwörter


Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen eine Passwortrichtlinie angewendet wird,
die sicherstellt, dass alle Mitarbeiter individuelle und komplexe Passwörter verwenden. Wenn eine solche
Passwortrichtlinie noch nicht eingerichtet ist, müssen Sie dieses innerhalb eines Monats nach Vertragsbeginn
nachholen.


Was beinhaltet eine Passwortrichtlinie beispielsweise?
• Vorgaben zur Komplexität von zulässigen Passwörtern (mind. 8-stellig, Groß- und Kleinbuchstaben, Zahlen und
Sonderzeichen, keine Namen etc.).
• Vorgaben dazu, dass das Passwort nicht mehrfach (für andere Accounts) verwendet werden darf.
• Vorgaben, dass alle herstellerseitig voreingestellten Passwörter innerhalb Ihres IT-Systems (z.B. von Routern,
IP-Kameras, Druckern, etc.) geändert wurden und durch komplexe Passwörter ersetzt wurden.


Obliegenheit: Sichere Aufbewahrung der Datensicherung


Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen die aktuellste, sowie die beiden letzten
Datensicherungen auf einem vom Ursprungsspeicherort räumlich getrennten Medium aufbewahrt werden, so dass
diese Datensicherungen bei einem Schadenfall der Originaldaten voraussichtlich nicht gleichzeitig betroffen sein
können. Wenn eine sichere Aufbewahrung der Datensicherungen bisher nicht eingerichtet ist, muss diese innerhalb
eines Monats nach Vertragsbeginn eingerichtet werden.


Obliegenheit: Regelmäßige Datensicherung aller versicherten Daten


Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen eine mindestens wöchentliche
Datensicherung aller versicherten Daten durchgeführt wird. Wenn eine solche regelmäßige Datensicherung noch nicht
eingerichtet ist, muss innerhalb eines Monats nach Vertragsbeginn eine solche Datensicherung eingerichtet werden.


Obliegenheit: Test der Wiederherstellung wichtiger IT-Infrastruktur


Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen die Wiederherstellung wichtiger
IT-Infrastruktur, z.B. von Servern oder Datenbanken aus den gesicherten Daten regelmäßig (aber mindestens einmal)
erfolgreich getestet wurde. Eine Überprüfung der Wiederherstellung aus den gesicherten Daten ist besonders dann
notwendig, wenn Änderungen an der IT-Infrastruktur vorgenommen wurden. Wenn ein solcher Test noch nicht erfolgt
ist, muss innerhalb von einem Monat nach Vertragsbeginn ein solcher Test durchgeführt und dokumentiert werden.
 

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...