Jump to content

W2k3 Server Passwörter in Domäne

poorsysad

Von poorsysad
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

poorsysad Rookie

poorsysad   10

Geschrieben
Geschrieben

Guten Tag,

 

Wir stehen vor einem Problem in unserem Netzwerk. Seitdem wir auf W2k3 Server umgestiegen sind und strikte Passwortrichtlinien einsetzen, haben sich verschiedene Passwort Angewohnheiten eingebürgert, die so unterbunden werden müssen. Zwar gibt es in den IT-Benutzerrichtlinien eine ganze Sektion über Passwörter, aber man kann schwer die Hälfte der Belegschaft rauswerfen, weil Sie sich nicht zu 100% dran halten.

 

Also, es gibt Windows Passwortrichtlinien ... 8 Zeichen, Sonderzeichen etc... alle 35 Tage müssen die Benutzer das Passwort ändern. Das Problem ist nun, dass viele sich angwöhnt haben ihre Kindernamen zu nehmen und leich zu erratende Passwörter zu erstellen. Die Benutzernamen setzen sich aus Abteilung, Zimmernummer und name zusammen, insofern sehr leicht zu erraten. Also, das Problem sieht wie folgt aus:

 

Mitarbeiter Meyer, Hans hat eine Tochter Janine und einen Sohn Peter.

Dann passieren solche Sachen:

janine1-peter@hans

oder

peter2-janine@meyer etc...

 

Es gibt alle diese Informationen in einer Datenbank (Mitarbeiternamen, Kindername, Frauenname, Geburtsdaten etc.). Ich würde gerne sämtliche Mitarbeiternamen, Kindernamen, Wohnorte und Straßen global verbieten. Also quasi eine Bad-Word list für Passwörter, sodass Leute bei der nächsten Änderung tatsächlich ein kryptisches Passwort verwenden müssen und nicht kinder/eltern/straßennamen.

 

Gibt es irgendeine Möglichkeit das einfach zu Realisieren? Alles in ein Textfile rein und dann bei Passwortänderung irgendwie mit REGEX ähnlichem Zeugs nen vergleich anstellen?

Google hat nichts ergeben und irgendwie scheint das allgemein nicht weit verbreitet zu sein? Sind wir denn die einzigen, die dieses Problem haben?

 

Herzlichen Dank schon einmal im Voraus für Hilfestellungen / Lösungsvorschläge ...

 

Cheers

Link zu diesem Kommentar
Dr.Melzer Grand Master

Dr.Melzer   191

Geschrieben
Geschrieben

Eine Blacklist für Kennwörter ist mir nicht bekannt.

Das sich Mitarbeiter Kennwörter schlecht merken können ist das eine, alle 30 Tage ein neues Kennwort nicht merken können ist dan das andere.

Das einzige was meiner Meinung vernünftig funktioniert ist, bei den Mitarbeitern das Verständnis dafür zu wecken. Zeig ihnen doch mal wie leicht so ein "sicheres" Kennwort zu knacken ist. Das öffnet vielen die Augen.

Zudem brauchen sie auch einen Prozess wie sie sichere Kennwörter erzeugen und sich auch merken können.

Ich empfehle hier den Weg Kennwörter über sätze zu erzeugen. Du bildest einen Satz in dem eine Zahl vorkommt und bildest aus den Anfangsbuchstaben ein Passwort.

 

Der Satz

 

"MCSEBoard ist die Nummer 1 der Foren zu Windows und Zertifizierungen!"

 

ergäbe als Passwort:

 

"MidN1dFzWuZ!"

 

Das Passwort ist komplex, erhält Sonderzeichen und Zahlen und ist, wenn vergessen, leicht wieder zu rekonstruieren.

 

Aus meiner Erfahrung heraus steigt, mit solchen Hilfsmitteln und dem Verständnis für die Materie, die Bereitschaft komplexe Kennwörter zu nutzen.

Link zu diesem Kommentar
weg5st0 Veteran

weg5st0   10

Geschrieben
Geschrieben

Hi,

 

also solange du die Komplexitätsanforderungen durchsetzt, denke ich gibts da kein Problem, denn:

 

Namen sind dann gefährlich, wenn sie einzeln verwendet werden, weil sie in jeder Wörterbuchdatei stehen.

 

Ein Passwaort ala: peter2-janine@meyer mit nem Wörterbuch zu knacken halte ich für schlicht ausgeschlossen. Das ist das was ich ein ziemlich sicheres Passwort nenne.

 

Du hast schon recht: Es sind fremde und eigene Namen enthalten.

 

Aber es sind auch Sonderzeichen dabei und es ist lang und die User müssen alle 35 Tage ändern. Damit stehst du auch vor der Gefahr, jeden Montag morgen alle Passwörter zureückztusetzen weil sie kein Mensch mehr kennt. Das ist zugegeben ein schlechtes oder gar kein Argument wenns um Sicherheit geht.

 

Aber um deine Frage zu beantworten:

Hier:

http://technet2.microsoft.com/WindowsServer/f/?en/Library/20834f4b-baeb-4146-be2a-e341da7b25371033.mspx

steht:

To create custom password filters, see the Microsoft Platform Software Development Kit and TechNet on the Microsoft Web site.

 

Gefunden hab ich allerdings nichts... Sorry.

Link zu diesem Kommentar
frapos Veteran

frapos   11

Geschrieben
Geschrieben

Hi

 

 

In was für einer Firma arbeitest denn? Ich kann hier mit den PW garnix machen. Wenn ich hier was einstellen würde von wegen komplexe PW alle 35 Tage neu, wäre ich nur noch am PW zurücksetzen. So hart es sich anhört, man sollte den User nicht zu sehr mit "§$fsg452 PW überfordern, irgendwann schreiben sie es auf nen grosses Blatt Papier und takern es an ihren Schrank ;)

 

Mach am besten nen runtschreiben und füge nen Beispiel mit ein. Der Tip vom Dr.Melzer ist doch ganz gut.

Link zu diesem Kommentar
MacBoon Experienced

MacBoon   10

Geschrieben
Geschrieben

Hallo

 

Alles nur Erziehungssache. Den Use´s muß halt klargemacht werden, das Sicherheit kein Luxus ist. Man muß Ihnen halt zeigen, wie unsicher "normale" Passwörter sind. Zeige Ihnen mal, wie schnell Brute-Force arbeitet. Ich benutze dafür Link

 

Kennwortsätze sind natürlich Klasse. Ich würde auch eine neue Richtlinie verschicke, mit beispielen, wie

 

ersetze alle a´s mit @,

alle o(oh´s) mit 0(null)

erster und letzer Buchstabe immer groß

 

Gruß MacBoon

Link zu diesem Kommentar
Velius Grand Master

Velius   10

Geschrieben
Geschrieben

Nach meiner Erfahrung können sich User (und ich auch!) Passwörter auch besser merken wenn man sich das Bild welches man auf der Tastatur schreibt verinnerlicht.

 

Das ist mir erst letztens bei einem Passwort aufgefallen. Ich konnte es zwar ohne Probleme tippen aber als mich ein Kollege gefragt hat ob ich es aufschreiben können war ich doch anfangs etwas am grübeln.

 

Das ist generell ein Ansatz sich Dinge zu merken: Entweder duch ein Bild, eine Kombination oder eine Verknüpfung an eine Geschichte, einen Satz, oder sonst was.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Hallo und herzlich Willkommen am Board. :)

 

der Fisch stinkt vom Kopf her. Wie ist denn das Verhalten der Teppichetage?

 

Die von Dr. Melzer beschriebene Methode ist ausgezeichnet; es gibt aber Mitarbeiter, die sind schon damit überfordert.

 

Ich führe i.d.R. mit neuen Mitarbeitern ein kurzes (Lehr)Gespräch. Ich lasse mir von ihnen Vorname, Zuname und Geburtsdatum geben und zeige ihnen, wie daraus ein leicht zu merkendes komplexes Passwort zu bauen ist und lasse selbst eines erstellen.

 

Ich richte das Konto ein mit diesem Passwort für Änderung bei der ersten Anmeldung, lasse ihn sich an einem Rechner anmelden und abermals ein neues PW ausdenken und einrichten.

 

Dabei bekommen wir meist einen ganz ausgezeichneten persönlichen Kontakt und einen Eindruck voneinander. Ich bin dabei ganz offen.

 

Das ist zugegeben sehr aufwändig; damit habe ich wohl getan, was in meinen Möglichkeiten liegt. Das ist auch nur im Verwaltungsbereich möglich und sinnvoll.

 

Aber, ich glaube es zumindest, damit zu verhindern, das die Leute sich die PW "an die Spindtür tackern". Wissen kann ich es nicht.

Von einer langjährigen, geschätzten Kollegin weiss ich, sie benutzt führend ein Sonderzeichen, den Vornamen ihrer Schwester und eine fortlaufende Numerierung. Diese Möglichkeit haben wir gemeinsam für sie erarbeitet.

 

Im Seminarbereich bekommen die Teilnehmer einfach den Vornamen oder die Matrikelnummer als PW und können es Ändern nach Gusto. Die Methode zur Passworterstellung ist in der Benutzerordnung beschrieben.

 

Tscha, wir sind ein Bildungsunternehmen, nicht die NSA oder der BND.

 

Gruß

 

Edgar

Link zu diesem Kommentar
poorsysad Rookie

poorsysad   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

Erstmal herzlichen Dank für die vielen Antworten. Bzgl. der Vorschläge zur Bildung von Passwörtern und Schulung von Mitarbeitern ist hier nichts unversucht gelassen.

Es gibt extra Passwort-Anweisungen und natürlich stehe ich jederzeit zur Verfügung falls es Probleme gibt. Neue Mitarbeiter kriegen eine extra "Sicherheitsschulung" etc. pp.

 

Ausschnitt aus Passwortrichtlinien.

[...]

Zu den sichersten Kennwörtern zählen alphanumerische Abkürzungen von Sätzen, die für Sie eine Bedeutung haben, anderen Personen jedoch unbekannt sind. Ein solches Kennwort

ist für Sie leicht zu merken, für andere Personen jedoch schwer zu erraten. So könnte

die Wendung „jetzt schlägt’s dreizehn“ zum Beispiel folgendermaßen als Kennwort verwendet

 

 

werden JeSchä13. Oder Sie wandeln z.B. „Alibaba und die vierzig Räuber“ in das folgende

Kennwort um: Ali+40R. Seien Sie einfach kreativ. [...]

 

Bei wirklich kritischen Benutzern arbeiten wir mittlerweile mit Kombination aus Chipkarte- und Passwörtern (14 Zeichen und mehr). Es geht hier eben im allgemeinen um sehr sensible Daten, besonders von Kunden und aufgrund regelmäßiger selbst verordneter Audits führt halt kein Weg um eine konsequente Durchsetzung von Sicherheitsrichtlinien rum.

 

Es gibt hier weniger um das Problem, dass Passwörter von aussen per Brute-Force angegangen werden bzw. von innen mit automatisierten Programmen. Die Gefahr droht von innen! Nein, es ist halt einfach so, dass im System jede Aktion zu 100% nachvollziehbar sein muss, daher dürfen die Passwörter nunmal nicht von Kollegen zu erraten sein. Wenn von 300 Mitarbeitern einer mit dem Passwort eines anderen im System rumspielt dann ist das absolut nicht akzeptabel.

Es geht hier nicht darum Mitarbeiter zu kontrollieren, sondern eben im Falle des Falles eben 100%ige "Accountability" zu haben.

 

Nunja, wie gesagt, Danke für die Sachen. Mittlerweile gibt's ne dedizierten Computer der einen Generator zur Verfügung stellt (via SSL per Intranet). Und es liegt auch schon ein Rundschreiben bei Drafts.

 

Vom 15.01 bis 22.01 müssen alle global Ihre Passwörter neu setzen... Neujahrsscherz :p

Ich hätte bis dahin gerne eben die Badwords, damit ich eben genau weiß, wer mit Familie etc Passwörter macht und dann evtl. weiterführende Maßnahmen angestellt werden können.

 

Ich will z.Zt. nicht Teile des IT-Budgets für unternehmensweite Aufrüstung zu Chipkartenauthentifizierung rausschmeissen. Das klappt auch noch bis 2006 wenn die Arbeitsstationen alle rausfliegen. Dann gibt's neue mit integriertem Lesegerät.

 

 

Anyway, Danke Schön für die Anregungen.

 

 

PS:

Für sichere Passwörter ist meines Erachtens der Beste Weg diese wie Vokabeln zu lernen.

Wenn ich ein Passwort brauche, guck ich mir das an, was grad in meinem Büro so aufm Schreibtisch liegt und such mir zufällig Buchstaben oder Ausschnitte von Wörtern aus Zeitungen/Verträgen/Daten/... schreibs mir kurz auf, sags mir dreimal laut vor, Zettel in den Shredder und das Passwort vergess ich nicht mehr.

Aber das scheint nur bei mir zu funktionieren :nene:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...