BOfH_666 586 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 (bearbeitet) Ich bin nur neugierig. Die Empfehlung aus dem Mutterland der unsinnigen Passwort-Regeln, sehen das ja schon ein paar Jahre lang vor - jetzt kommen auch immer öfter entsprechende Empfehlungen von Experten aus Deutschland. Siehe diese Heise Meldung. Trotzdem scheint es (gefühlt) niemanden zu geben, der diese Empfehlung wirklich umgesetzt hat. Oder irre ich mich? Gibt es bei einem von Euch, oder bei einem Eurer Kunden, schon eine allgemeine Passwort-Regel, die diesen Empfehlungen folgt und kein Maximal-Alter für Passwörter festzurrt? bearbeitet 25. Juni 2020 von BOfH_666
testperson 1.857 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 Hi, wir setzen das schon länger entsprechend bei uns(eren) Kunden um. Ab und an finden Kunden das nicht gut, sind aber nach einem Gespräch meistens mit diesem Weg einverstanden. Ebenfalls kommen manchmal DSBs oder Versicherungen um die Ecke, dass Kennwörter regelmäßig geändert werden müssen. Wenn der Kunde sich dann für den Weg des DSBs entscheidet oder die Versicherung es als Bedingung hat, setzen wir das halt um. Im Rahmen von "Cross Selling" haben das fremd Dienstleister unseren Kunden auch schon als "unverantwortlich" verkauft. Gruß Jan 1
magheinz 111 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 vor 20 Minuten schrieb BOfH_666: Ich bin nur neugierig. Die Empfehlung aus dem Mutterland der unsinnigen Passwort-Regeln, sehen das ja schon ein paar Jahre lang vor - jetzt kommen auch immer öfter entsprechende Empfehlungen von Experten aus Deutschland. Siehe diese Heise Meldung. Trotzdem scheint es (gefühlt) niemanden zu geben, der diese Empfehlung wirklich umgesetzt hat. Oder irre ich mich? Gibt es bei einem von Euch, oder bei einem Eurer Kunden, schon eine allgemeine Passwort-Regel, die diesen Empfehlungen folgt und kein Maximal-Alter für Passwörter festzurrt Wir überlegen. Aber wenn, dann nur mit der gleichzeitigen Einführung eines zweiten Faktors... 1
BOfH_666 586 Geschrieben 25. Juni 2020 Autor Melden Geschrieben 25. Juni 2020 vor 9 Minuten schrieb testperson: wir setzen das schon länger entsprechend bei uns(eren) Kunden um. Ab und an finden Kunden das nicht gut, sind aber nach einem Gespräch meistens mit diesem Weg einverstanden. Cool. Gibt es da ein "Killer-Argument", was den entscheidenden Ausschlag gibt oder kommt die Einsicht einfach so und benutzt Ihr welche von den Studien oder White-Paper, die es dazu gibt?
NilsK 3.045 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 Moin, ich rede mir zu solchen Themen seit über 15 Jahren den Mund fusselig. Habe dabei auch Erfolg. Allerdings nur in homöopathischem Umfang. Gruß, Nils 1
BOfH_666 586 Geschrieben 25. Juni 2020 Autor Melden Geschrieben 25. Juni 2020 vor 12 Minuten schrieb magheinz: Wir überlegen. Aber wenn, dann nur mit der gleichzeitigen Einführung eines zweiten Faktors... MFA? Für normale Büro-Täter? Wow. ... für unsere administrativen Accounts haben wir das ja auch schon, aber für die normaler Anwender finde ich das echt ambitioniert. Doppel-Cool!!
magheinz 111 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 Gerade eben schrieb BOfH_666: MFA? Für normale Büro-Täter? Wow. ... für unsere administrativen Accounts haben wir das ja auch schon, aber für die normaler Anwender finde ich das echt ambitioniert. Doppel-Cool!! Da wir gerade auf citrix umstellen ziehen wir das komplett durch. Fürs homeoffice soll es eh Pflicht werden und wenn die einmal drann gewöhnt sind...
BOfH_666 586 Geschrieben 25. Juni 2020 Autor Melden Geschrieben 25. Juni 2020 vor 2 Minuten schrieb NilsK: ... Allerdings nur in homöopathischem Umfang. ... hah .... die Eichhörnchen-Geschichte .... das kenn ich. vor 1 Minute schrieb magheinz: Da wir gerade auf citrix umstellen ziehen wir das komplett durch. Respekt. vor 1 Minute schrieb magheinz: Fürs homeoffice soll es eh Pflicht werden und wenn die einmal drann gewöhnt sind... Als zweiten Faktor dann Smartphone-Apps oder etwa noch so'ne kleinen RSA-Tokens?
testperson 1.857 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 vor 20 Minuten schrieb BOfH_666: Cool. Gibt es da ein "Killer-Argument", was den entscheidenden Ausschlag gibt oder kommt die Einsicht einfach so und benutzt Ihr welche von den Studien oder White-Paper, die es dazu gibt? Da reicht häufig ein "Wir raten davon ab.". Ansonsten eben kurze, komplexe Passwörter werden irgendwo aufgeschrieben und sind nicht so sicher wie lange, nicht komplexe Kennwörter bzw. werden die komplexen PWs "hochgezählt".
BOfH_666 586 Geschrieben 25. Juni 2020 Autor Melden Geschrieben 25. Juni 2020 vor 48 Minuten schrieb testperson: Da reicht häufig ein "Wir raten davon ab." Das werd ich mal probieren.
magheinz 111 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 vor 41 Minuten schrieb BOfH_666: Das werd ich mal probieren. Als Externer funktioniert das übrigens besser als wenn das ein interner ITler sagt... vor 2 Stunden schrieb BOfH_666: Als zweiten Faktor dann Smartphone-Apps oder etwa noch so'ne kleinen RSA-Tokens? Wir wollen die Tokens. Smartphones sind zweite Wahl und irgendeine dritte Variante gibt es auch noch. In unserem Umfeld sind private Smartphones nicht so weit verbreitet und es hat nicht jeder ein Diensthandy.
NorbertFe 2.277 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 vor 3 Stunden schrieb magheinz: Wir wollen die Tokens. Smartphones sind zweite Wahl und irgendeine dritte Variante gibt es auch noch. Naja das bieten aber inzwischen eigentlich fast alle Hersteller solcher Lösungen. Dritte Variante ist meist ein Rückruf.
magheinz 111 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 (bearbeitet) vor 1 Minute schrieb NorbertFe: Naja das bieten aber inzwischen eigentlich fast alle Hersteller solcher Lösungen. Dritte Variante ist meist ein Rückruf. gibt noch sowas wie "Wischmuster" bei Android. Rückruf geht natürlich auch. SMS ist technisch auch noch möglich. Es läuft aber zu 80 auf die tokens hinaus. Die bekommen dann auch die externen Dienstleister wenn sie remotezugänge bei uns haben. bearbeitet 25. Juni 2020 von magheinz
NorbertFe 2.277 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 Als externer Dienstleister hab ich gern sowas wie ein OTP Soft-Token, sonst hat man irgendwann 17 solche Dongles in der Tasche. ;)
magheinz 111 Geschrieben 25. Juni 2020 Melden Geschrieben 25. Juni 2020 vor 5 Minuten schrieb NorbertFe: Als externer Dienstleister hab ich gern sowas wie ein OTP Soft-Token, sonst hat man irgendwann 17 solche Dongles in der Tasche. ;) Is klar. Deswegen haben wir da auch eine Anzahl mitbestellt, oder die sind eh inklusive oder so. Die Möglichkeit ist ja vorhanden. Wir haben aber auch Dienstleister, die nicht einfach was auf dem Handy installieren dürfen. Da hängen ja teilweise BSI-Zertifizierungen etc mit dran oder auch eigene Firmenregeln.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden