Jump to content
BOfH_666

Password-Alter und Komplexitätsregeln freigeben - aber wann?

Recommended Posts

Ich bin nur neugierig.  Die Empfehlung aus dem Mutterland der unsinnigen Passwort-Regeln, sehen das ja schon ein paar Jahre lang vor - jetzt kommen auch immer öfter entsprechende Empfehlungen von Experten aus Deutschland.  Siehe diese Heise Meldung. Trotzdem scheint es (gefühlt) niemanden zu geben, der diese Empfehlung wirklich umgesetzt hat. Oder irre ich mich?

 

Gibt es bei einem von Euch, oder bei einem Eurer Kunden, schon eine allgemeine Passwort-Regel, die diesen Empfehlungen folgt und kein Maximal-Alter für Passwörter festzurrt?

Edited by BOfH_666

Share this post


Link to post

Hi,

 

wir setzen das schon länger entsprechend bei uns(eren) Kunden um. Ab und an finden Kunden das nicht gut, sind aber nach einem Gespräch meistens mit diesem Weg einverstanden. Ebenfalls kommen manchmal DSBs oder Versicherungen um die Ecke, dass Kennwörter regelmäßig geändert werden müssen. Wenn der Kunde sich dann für den Weg des DSBs entscheidet oder die Versicherung es als Bedingung hat, setzen wir das halt um. Im Rahmen von "Cross Selling" haben das fremd Dienstleister unseren Kunden auch schon als "unverantwortlich" verkauft.

 

Gruß

Jan

  • Like 1

Share this post


Link to post
vor 20 Minuten schrieb BOfH_666:

Ich bin nur neugierig.  Die Empfehlung aus dem Mutterland der unsinnigen Passwort-Regeln, sehen das ja schon ein paar Jahre lang vor - jetzt kommen auch immer öfter entsprechende Empfehlungen von Experten aus Deutschland.  Siehe diese Heise Meldung. Trotzdem scheint es (gefühlt) niemanden zu geben, der diese Empfehlung wirklich umgesetzt hat. Oder irre ich mich?

 

Gibt es bei einem von Euch, oder bei einem Eurer Kunden, schon eine allgemeine Passwort-Regel, die diesen Empfehlungen folgt und kein Maximal-Alter für Passwörter festzurrt

Wir überlegen. Aber wenn, dann nur mit der gleichzeitigen Einführung eines zweiten Faktors...

  • Like 1

Share this post


Link to post
vor 9 Minuten schrieb testperson:

wir setzen das schon länger entsprechend bei uns(eren) Kunden um. Ab und an finden Kunden das nicht gut, sind aber nach einem Gespräch meistens mit diesem Weg einverstanden.

Cool. Gibt es da ein "Killer-Argument", was den entscheidenden Ausschlag gibt oder kommt die Einsicht einfach so und benutzt Ihr welche von den Studien oder White-Paper, die es dazu gibt?

Share this post


Link to post

Moin,

 

ich rede mir zu solchen Themen seit über 15 Jahren den Mund fusselig. Habe dabei auch Erfolg. Allerdings nur in homöopathischem Umfang.

 

Gruß, Nils

 

  • Haha 1

Share this post


Link to post
vor 12 Minuten schrieb magheinz:

Wir überlegen. Aber wenn, dann nur mit der gleichzeitigen Einführung eines zweiten Faktors...

MFA? Für normale Büro-Täter?  Wow.  ... für unsere administrativen Accounts haben wir das ja auch schon, aber für die normaler Anwender finde ich das echt ambitioniert. Doppel-Cool!!  ;-) :thumb1:

Share this post


Link to post
Gerade eben schrieb BOfH_666:

MFA? Für normale Büro-Täter?  Wow.  ... für unsere administrativen Accounts haben wir das ja auch schon, aber für die normaler Anwender finde ich das echt ambitioniert. Doppel-Cool!!  ;-) :thumb1:

Da wir gerade auf citrix umstellen ziehen wir das komplett durch. 

Fürs homeoffice soll es eh Pflicht werden und wenn die einmal drann gewöhnt sind... 

Share this post


Link to post
vor 2 Minuten schrieb NilsK:

 ... Allerdings nur in homöopathischem Umfang.

 ... hah .... die Eichhörnchen-Geschichte .... das kenn ich.  ;-)  :lool:

vor 1 Minute schrieb magheinz:

Da wir gerade auf citrix umstellen ziehen wir das komplett durch. 

Respekt.  :spock:

vor 1 Minute schrieb magheinz:

Fürs homeoffice soll es eh Pflicht werden und wenn die einmal drann gewöhnt sind... 

Als zweiten Faktor dann Smartphone-Apps oder etwa noch so'ne kleinen RSA-Tokens?

Share this post


Link to post
vor 20 Minuten schrieb BOfH_666:

Cool. Gibt es da ein "Killer-Argument", was den entscheidenden Ausschlag gibt oder kommt die Einsicht einfach so und benutzt Ihr welche von den Studien oder White-Paper, die es dazu gibt?

Da reicht häufig ein "Wir raten davon ab.". Ansonsten eben kurze, komplexe Passwörter werden irgendwo aufgeschrieben und sind nicht so sicher wie lange, nicht komplexe Kennwörter bzw. werden die komplexen PWs "hochgezählt".

Share this post


Link to post
vor 48 Minuten schrieb testperson:

Da reicht häufig ein "Wir raten davon ab."

Das werd ich mal probieren. :thumb1:

Share this post


Link to post
vor 41 Minuten schrieb BOfH_666:

Das werd ich mal probieren. :thumb1:

Als Externer funktioniert das übrigens besser als wenn das ein interner ITler sagt... 

vor 2 Stunden schrieb BOfH_666:

Als zweiten Faktor dann Smartphone-Apps oder etwa noch so'ne kleinen RSA-Tokens?

Wir wollen die Tokens. Smartphones sind zweite Wahl und irgendeine dritte Variante gibt es auch noch. 

In unserem Umfeld sind private Smartphones nicht so weit verbreitet und es hat nicht jeder ein Diensthandy. 

Share this post


Link to post
vor 3 Stunden schrieb magheinz:

Wir wollen die Tokens. Smartphones sind zweite Wahl und irgendeine dritte Variante gibt es auch noch. 

Naja das bieten aber inzwischen eigentlich fast alle Hersteller solcher Lösungen. Dritte Variante ist meist ein Rückruf.

Share this post


Link to post
vor 1 Minute schrieb NorbertFe:

Naja das bieten aber inzwischen eigentlich fast alle Hersteller solcher Lösungen. Dritte Variante ist meist ein Rückruf.

gibt noch sowas wie "Wischmuster" bei Android. 

Rückruf geht natürlich auch. SMS ist technisch auch noch möglich.

 

Es läuft aber zu 80 auf die tokens hinaus.

Die bekommen dann auch die externen Dienstleister wenn sie remotezugänge bei uns haben.

Edited by magheinz

Share this post


Link to post

Als externer Dienstleister hab ich gern sowas wie ein OTP Soft-Token, sonst hat man irgendwann 17 solche Dongles in der Tasche. ;)

Share this post


Link to post
vor 5 Minuten schrieb NorbertFe:

Als externer Dienstleister hab ich gern sowas wie ein OTP Soft-Token, sonst hat man irgendwann 17 solche Dongles in der Tasche. ;)

Is klar. Deswegen haben wir da auch eine Anzahl mitbestellt, oder die sind eh inklusive oder so. 
Die Möglichkeit ist ja vorhanden. Wir haben aber auch Dienstleister, die nicht einfach was auf dem Handy installieren dürfen.

Da hängen ja teilweise BSI-Zertifizierungen etc mit dran oder auch eigene Firmenregeln.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...