Jump to content
Shao-Lee

Umfrage/Diskussion: "Passwörter mit/ohne Ablaufdatum"

Recommended Posts

vor 4 Minuten schrieb Nobbyaushb:

Geht leider nicht, da nur ein eingeschränkter Personenkreis iPhones hat - und private Smartphones dürfen sich nicht mit dem Firmennetz verbinden

Vorgabe Behörde - KRITS

Daher unsere Idee mit den Chips, da jeder MA einen hat

ECOS hat eine BSI-Zulassung zumindest für NfD.

Die Bootssticks von denen haben eine smartcard und man muss eine PIN eingeben=2 Faktoren.

 

Und für Bundesbehörden: man kann sie über das KdB beziehen!

Edited by magheinz

Share this post


Link to post
vor 14 Minuten schrieb Nobbyaushb:

Geht leider nicht, da nur ein eingeschränkter Personenkreis iPhones hat - und private Smartphones dürfen sich nicht mit dem Firmennetz verbinden

Es gibt mehrere Möglichkeiten, so eine Authenticator App zu benutzen - z.B. kann man sich einen Zahlencode erzeugen lassen. Das ist dann das gleiche wie ein Hardware-Token ... nur eben in Software. Oder man lässt den Authentifizierungsprovider (MS) beim Smartphone anfragen, ob eine gerade anstehende Autorisierung genehmigt werden soll. Das ist etwas komfortabler, da man auf dem Phone nur noch - nach Entsperrung (gegebenenfalls mit Fingerabdruck) - bestätigen muss. Aber  das Smartphone verbindet sich nicht mit dem Firmennetz. 

Aber wenn's sooo spezielle Anforderungen gibt, isses dann vielleicht nix für Euch.  ;-)

Edited by BOfH_666

Share this post


Link to post

Es gibt auch komplett zertifizierte Notebooks die auch für höhere Geheimhaltungsstufen zugelassen sind. Das setzt dann vermutlich eine  sina-box voraus oder wie die jetzt heisst...

Share this post


Link to post
vor 31 Minuten schrieb BOfH_666:

Das ist etwas komfortabler, da man auf dem Phone nur noch - nach Entsperrung (gegebenenfalls mit Fingerabdruck) - bestätigen muss.

Und dann kommt die "Duo Bypass App" um die Ecke: https://blog.workinghardinit.work/2019/11/13/the-darwin-award-with-mfa-push-notifications/ oder der User bestätigt eben jede Anfrage :-D

  • Haha 1

Share this post


Link to post
vor 51 Minuten schrieb testperson:

.... oder der User bestätigt eben jede Anfrage :-D

Wie Mark Minasi immer zu sagen pflegte "There's no silicon based solution for a  carbon  based problem".  ;-) 

  • Like 2

Share this post


Link to post

Wundert mich, daß noch niemand den MS Security Artikel dazu verlinkt hat :-) Der interessierte Leser findet den sicher leicht selber...

Share this post


Link to post

Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln weil sie einen Verdacht haben, dass es kompromitiert sein könnte - dann wäre das Passwort bis zur Rente/Pension identisch. (Die meisten müssten wohl erst nachschlagen, was überhaupt mit kompromittiert gemeint ist). Evtl. schnappt das Passwort mal ein Arbeitskollege auf und der Benutzer merkt es nicht. In der Regel würde das von den Endanwendern bei uns kein Schwein merken, wenn sein PW weg ist, da gehe ich jede Wette ein. Oder aber der User nutzt zum Beispiel Remotezugänge/Anwendungen vom Privatgerät aus. Wer weiß wo der überall die selben Zugangsdaten verwendet...da kann es schon hilfreich sein, wenn das Passwort nach Zeitraum x gewechselt werden muss. Das mag in Unternehmen mit fitten Leuten ja klappen es nicht zu wechseln und komplexer zu gestalten, aber im ÖD Leute mit technischem Verständnis zu finden und für diese Änderungen den nötigen Rückhalt in der Verwaltung zu bekommen - der Horror! Bei den jungen Leuten gehts ja (oft, aber nicht immer), aber der Altersdurchschnitt ist halt leider recht hoch.

  • Thanks 2

Share this post


Link to post

@daabm ...."Danke für's Stöckchen" :lol: ;-) Hab' jetzt mal gegoogelt - meintest Du den folgenden Artikel? Danke Dir :victory:
https://docs.microsoft.com/de-de/archive/blogs/secguide/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903

<=> https://redmondmag.com/articles/2019/04/26/microsoft-password-expirations-windows-security.aspx

 

 

An Alle:

Ich freu' mich ja grundsätzlich über eine rege Diskussionsteilnahme.... - über Beiträge,  die zu meinem Eingangspost passen, freue ich mich aber noch mehr ;-)

 

Share this post


Link to post
vor 8 Stunden schrieb CoNtAcT2000:

Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln weil sie einen Verdacht haben, dass es kompromitiert sein könnte - dann wäre das Passwort bis zur Rente/Pension identisch. (Die meisten müssten wohl erst nachschlagen, was überhaupt mit kompromittiert gemeint ist). Evtl. schnappt das Passwort mal ein Arbeitskollege auf und der Benutzer merkt es nicht. In der Regel würde das von den Endanwendern bei uns kein Schwein merken, wenn sein PW weg ist, da gehe ich jede Wette ein. Oder aber der User nutzt zum Beispiel Remotezugänge/Anwendungen vom Privatgerät aus. Wer weiß wo der überall die selben Zugangsdaten verwendet...da kann es schon hilfreich sein, wenn das Passwort nach Zeitraum x gewechselt werden muss. Das mag in Unternehmen mit fitten Leuten ja klappen es nicht zu wechseln und komplexer zu gestalten, aber im ÖD Leute mit technischem Verständnis zu finden und für diese Änderungen den nötigen Rückhalt in der Verwaltung zu bekommen - der Horror! Bei den jungen Leuten gehts ja (oft, aber nicht immer), aber der Altersdurchschnitt ist halt leider recht hoch.

Dem kann man ja mit einem zweiten Faktor (Smartcard / Yubikey / Token) entgegen wirken. Ebenfalls gibt es Möglichkeiten zu überwachen, von wo eine Anmeldung versucht wird / erfolgt. Sollten bei einer Behörde dann Anmeldeversuche / Anmeldungen aus China o.ä erfolgen, dann ist wohl was faul im Staate Dänemark Deutschland. ;)

Share this post


Link to post
vor 37 Minuten schrieb testperson:

entgegen wirken

Ist im ÖD aber eben auch nicht immer so einfach. ;) Wieviele Kunden kennst du denn, die derzeit für interne Verwendung (Anmeldung am PC) einen zweiten Faktor nutzen? Ich hab zwar haufenweise Kunden die das für Clouddienste oder bspw. Citrix und VPN nutzen, aber bisher keinen der das für die PC Anmeldung nutzt.

Share this post


Link to post
vor 27 Minuten schrieb NorbertFe:

Wieviele Kunden kennst du denn, die derzeit für interne Verwendung (Anmeldung am PC) einen zweiten Faktor nutzen?

Es sind max. ein bis zwei Hände voll. Da ist es halt praktisch, dass viele unserer Kunden so oder so alle eine Smartcard von DATEV haben, mit der man das eben umsetzen kann. Ein Kunde testet das grade mit RCDevs und Softtoken. 

Share this post


Link to post

Das entspricht nicht zu 100% dem Thema aber vielleicht dennoch interessant.
Wie geht ihr mit Passwortablauf im Bezug auf Home-Office um? Es soll ja Mitarbeiter geben, die nahezu permanent außerhalb des Firmennetzwerks mit Notebooks arbeiten.
Das Weiterarbeiten mit dem Notebook außerhalb des Netzes ist dann weiterhin möglich wenn das Passwort abläuft (cached Credentials) aber die meisten nutzen die AD Daten ebenfalls für Office365, VPN, und weitere Anwendungen. Da kann sich der Benutzer dann nicht mehr authentifizieren.

Share this post


Link to post
vor 1 Stunde schrieb falkebo:

Das entspricht nicht zu 100% dem Thema aber vielleicht dennoch interessant.
Wie geht ihr mit Passwortablauf im Bezug auf Home-Office um? Es soll ja Mitarbeiter geben, die nahezu permanent außerhalb des Firmennetzwerks mit Notebooks arbeiten.
Das Weiterarbeiten mit dem Notebook außerhalb des Netzes ist dann weiterhin möglich wenn das Passwort abläuft (cached Credentials) aber die meisten nutzen die AD Daten ebenfalls für Office365, VPN, und weitere Anwendungen. Da kann sich der Benutzer dann nicht mehr authentifizieren. 

 

Für die Nutzer die bei uns Home Office machen, haben wir die zwanghafte Passwortänderung derzeit außer Kraft gesetzt.
Wollten da nicht noch unnötig in Probleme stolpern, hatten aktuell genug mit anderen Dingen zu tun.

  • Like 1

Share this post


Link to post

Moin moin, 

 

also wir hatten bei uns auch immer Passwörter ohne Ablaufdatum. 2019 haben wir uns dazu entschlossen eine Cyberrisiko-Versicherung abzuschließen. Damit sind folgende Punkte abgedeckt: 

 

  • Cyber-Spionage
  • Cyber-Vertrauensschadendeckung
  • Cyber-Betriebsunterbrechung bei Cloud-Ausfall
  • Cyber-Betriebsunterbrechung bei Systemausfall und technischen Problemen

Grundvorraussetzung für diese Versicherung ist eine Passwortrichtlinie:

 

Zitat

Obliegenheit: Passwortrichtlinie für individuelle und komplexe Passwörter


Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen eine Passwortrichtlinie angewendet wird,
die sicherstellt, dass alle Mitarbeiter individuelle und komplexe Passwörter verwenden. Wenn eine solche
Passwortrichtlinie noch nicht eingerichtet ist, müssen Sie dieses innerhalb eines Monats nach Vertragsbeginn
nachholen.


Was beinhaltet eine Passwortrichtlinie beispielsweise?
• Vorgaben zur Komplexität von zulässigen Passwörtern (mind. 8-stellig, Groß- und Kleinbuchstaben, Zahlen und
Sonderzeichen, keine Namen etc.).
• Vorgaben dazu, dass das Passwort nicht mehrfach (für andere Accounts) verwendet werden darf.
• Vorgaben, dass alle herstellerseitig voreingestellten Passwörter innerhalb Ihres IT-Systems (z.B. von Routern,
IP-Kameras, Druckern, etc.) geändert wurden und durch komplexe Passwörter ersetzt wurden.


Obliegenheit: Sichere Aufbewahrung der Datensicherung


Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen die aktuellste, sowie die beiden letzten
Datensicherungen auf einem vom Ursprungsspeicherort räumlich getrennten Medium aufbewahrt werden, so dass
diese Datensicherungen bei einem Schadenfall der Originaldaten voraussichtlich nicht gleichzeitig betroffen sein
können. Wenn eine sichere Aufbewahrung der Datensicherungen bisher nicht eingerichtet ist, muss diese innerhalb
eines Monats nach Vertragsbeginn eingerichtet werden.


Obliegenheit: Regelmäßige Datensicherung aller versicherten Daten


Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen eine mindestens wöchentliche
Datensicherung aller versicherten Daten durchgeführt wird. Wenn eine solche regelmäßige Datensicherung noch nicht
eingerichtet ist, muss innerhalb eines Monats nach Vertragsbeginn eine solche Datensicherung eingerichtet werden.


Obliegenheit: Test der Wiederherstellung wichtiger IT-Infrastruktur


Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen die Wiederherstellung wichtiger
IT-Infrastruktur, z.B. von Servern oder Datenbanken aus den gesicherten Daten regelmäßig (aber mindestens einmal)
erfolgreich getestet wurde. Eine Überprüfung der Wiederherstellung aus den gesicherten Daten ist besonders dann
notwendig, wenn Änderungen an der IT-Infrastruktur vorgenommen wurden. Wenn ein solcher Test noch nicht erfolgt
ist, muss innerhalb von einem Monat nach Vertragsbeginn ein solcher Test durchgeführt und dokumentiert werden.
 

 

 

  • Thanks 1

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...