Jump to content

Password-Alter und Komplexitätsregeln freigeben - aber wann?


BOfH_666
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich bin nur neugierig.  Die Empfehlung aus dem Mutterland der unsinnigen Passwort-Regeln, sehen das ja schon ein paar Jahre lang vor - jetzt kommen auch immer öfter entsprechende Empfehlungen von Experten aus Deutschland.  Siehe diese Heise Meldung. Trotzdem scheint es (gefühlt) niemanden zu geben, der diese Empfehlung wirklich umgesetzt hat. Oder irre ich mich?

 

Gibt es bei einem von Euch, oder bei einem Eurer Kunden, schon eine allgemeine Passwort-Regel, die diesen Empfehlungen folgt und kein Maximal-Alter für Passwörter festzurrt?

bearbeitet von BOfH_666
Link zu diesem Kommentar

Hi,

 

wir setzen das schon länger entsprechend bei uns(eren) Kunden um. Ab und an finden Kunden das nicht gut, sind aber nach einem Gespräch meistens mit diesem Weg einverstanden. Ebenfalls kommen manchmal DSBs oder Versicherungen um die Ecke, dass Kennwörter regelmäßig geändert werden müssen. Wenn der Kunde sich dann für den Weg des DSBs entscheidet oder die Versicherung es als Bedingung hat, setzen wir das halt um. Im Rahmen von "Cross Selling" haben das fremd Dienstleister unseren Kunden auch schon als "unverantwortlich" verkauft.

 

Gruß

Jan

Link zu diesem Kommentar
vor 20 Minuten schrieb BOfH_666:

Ich bin nur neugierig.  Die Empfehlung aus dem Mutterland der unsinnigen Passwort-Regeln, sehen das ja schon ein paar Jahre lang vor - jetzt kommen auch immer öfter entsprechende Empfehlungen von Experten aus Deutschland.  Siehe diese Heise Meldung. Trotzdem scheint es (gefühlt) niemanden zu geben, der diese Empfehlung wirklich umgesetzt hat. Oder irre ich mich?

 

Gibt es bei einem von Euch, oder bei einem Eurer Kunden, schon eine allgemeine Passwort-Regel, die diesen Empfehlungen folgt und kein Maximal-Alter für Passwörter festzurrt

Wir überlegen. Aber wenn, dann nur mit der gleichzeitigen Einführung eines zweiten Faktors...

Link zu diesem Kommentar
vor 9 Minuten schrieb testperson:

wir setzen das schon länger entsprechend bei uns(eren) Kunden um. Ab und an finden Kunden das nicht gut, sind aber nach einem Gespräch meistens mit diesem Weg einverstanden.

Cool. Gibt es da ein "Killer-Argument", was den entscheidenden Ausschlag gibt oder kommt die Einsicht einfach so und benutzt Ihr welche von den Studien oder White-Paper, die es dazu gibt?

Link zu diesem Kommentar
Gerade eben schrieb BOfH_666:

MFA? Für normale Büro-Täter?  Wow.  ... für unsere administrativen Accounts haben wir das ja auch schon, aber für die normaler Anwender finde ich das echt ambitioniert. Doppel-Cool!!  ;-) :thumb1:

Da wir gerade auf citrix umstellen ziehen wir das komplett durch. 

Fürs homeoffice soll es eh Pflicht werden und wenn die einmal drann gewöhnt sind... 

Link zu diesem Kommentar
vor 2 Minuten schrieb NilsK:

 ... Allerdings nur in homöopathischem Umfang.

 ... hah .... die Eichhörnchen-Geschichte .... das kenn ich.  ;-)  :lool:

vor 1 Minute schrieb magheinz:

Da wir gerade auf citrix umstellen ziehen wir das komplett durch. 

Respekt.  :spock:

vor 1 Minute schrieb magheinz:

Fürs homeoffice soll es eh Pflicht werden und wenn die einmal drann gewöhnt sind... 

Als zweiten Faktor dann Smartphone-Apps oder etwa noch so'ne kleinen RSA-Tokens?

Link zu diesem Kommentar
vor 20 Minuten schrieb BOfH_666:

Cool. Gibt es da ein "Killer-Argument", was den entscheidenden Ausschlag gibt oder kommt die Einsicht einfach so und benutzt Ihr welche von den Studien oder White-Paper, die es dazu gibt?

Da reicht häufig ein "Wir raten davon ab.". Ansonsten eben kurze, komplexe Passwörter werden irgendwo aufgeschrieben und sind nicht so sicher wie lange, nicht komplexe Kennwörter bzw. werden die komplexen PWs "hochgezählt".

Link zu diesem Kommentar
vor 41 Minuten schrieb BOfH_666:

Das werd ich mal probieren. :thumb1:

Als Externer funktioniert das übrigens besser als wenn das ein interner ITler sagt... 

vor 2 Stunden schrieb BOfH_666:

Als zweiten Faktor dann Smartphone-Apps oder etwa noch so'ne kleinen RSA-Tokens?

Wir wollen die Tokens. Smartphones sind zweite Wahl und irgendeine dritte Variante gibt es auch noch. 

In unserem Umfeld sind private Smartphones nicht so weit verbreitet und es hat nicht jeder ein Diensthandy. 

Link zu diesem Kommentar
vor 1 Minute schrieb NorbertFe:

Naja das bieten aber inzwischen eigentlich fast alle Hersteller solcher Lösungen. Dritte Variante ist meist ein Rückruf.

gibt noch sowas wie "Wischmuster" bei Android. 

Rückruf geht natürlich auch. SMS ist technisch auch noch möglich.

 

Es läuft aber zu 80 auf die tokens hinaus.

Die bekommen dann auch die externen Dienstleister wenn sie remotezugänge bei uns haben.

bearbeitet von magheinz
Link zu diesem Kommentar
vor 5 Minuten schrieb NorbertFe:

Als externer Dienstleister hab ich gern sowas wie ein OTP Soft-Token, sonst hat man irgendwann 17 solche Dongles in der Tasche. ;)

Is klar. Deswegen haben wir da auch eine Anzahl mitbestellt, oder die sind eh inklusive oder so. 
Die Möglichkeit ist ja vorhanden. Wir haben aber auch Dienstleister, die nicht einfach was auf dem Handy installieren dürfen.

Da hängen ja teilweise BSI-Zertifizierungen etc mit dran oder auch eigene Firmenregeln.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...