58
Wie handhabt ihr Passwörter und Displaysperren?
Hallo,
heute mal was Off Topic.
Da bei uns derzeit einige User meinen gegen unsere Richtlinien (vorallem die der Displaysperre) rebelieren zumüssen, wollte ich euch mal fragen, wie ihr es handhabt.
So ist es bei uns
Passwort
- Rechnerpasswort alle 90 Tage ändern
- min. 8 Zeichen
- min. 1 Großbuchstabe
- min. 1 Kleinbuchstabe
- min. 1 Ziffer
- min. 1 nichtalphanummerisches Zeichen
- 1 Zeichen darf maximal 5 mal vorkommen uns nmaximal 2 mal nacheinander
Rechner
- der Bildschirm schaltet sich nach 20 Minuten aus (Energieeinstellungen)
- Reaktivierung nur mit Passwort
Dies ist weniger als Frage zu verstehen, es soll mehr ein Erfahrungsaustausch sein
heute mal was Off Topic.
Da bei uns derzeit einige User meinen gegen unsere Richtlinien (vorallem die der Displaysperre) rebelieren zumüssen, wollte ich euch mal fragen, wie ihr es handhabt.
So ist es bei uns
Passwort
- Rechnerpasswort alle 90 Tage ändern
- min. 8 Zeichen
- min. 1 Großbuchstabe
- min. 1 Kleinbuchstabe
- min. 1 Ziffer
- min. 1 nichtalphanummerisches Zeichen
- 1 Zeichen darf maximal 5 mal vorkommen uns nmaximal 2 mal nacheinander
Rechner
- der Bildschirm schaltet sich nach 20 Minuten aus (Energieeinstellungen)
- Reaktivierung nur mit Passwort
Dies ist weniger als Frage zu verstehen, es soll mehr ein Erfahrungsaustausch sein
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 498166
Url: https://administrator.de/contentid/498166
Printed on: April 25, 2024 at 05:04 o'clock
58 Comments
Latest comment
Moin!
Musste das vom Mutterkonzern forcieren:
The Password requirements are as follows:
Must be at least six characters in length
Must use upper and lower case characters (A – Z, a - z)
Must contain a number or special character (e.g. 0-9, @,!, $, #, % etc..)
Must be reset every 90 days, once reset, password cannot be reset again for 24 hours
Must not be the same as previous 24 passwords used
Must not be similar to your username (if any 2 letters matching username appear in the same order it will be rejected)
Bildschirmsperre sollte laut Datenschutzbeauftragten auf 5 Minuten gesetzt werden.
Gruß
rudeboy
Musste das vom Mutterkonzern forcieren:
The Password requirements are as follows:
Must be at least six characters in length
Must use upper and lower case characters (A – Z, a - z)
Must contain a number or special character (e.g. 0-9, @,!, $, #, % etc..)
Must be reset every 90 days, once reset, password cannot be reset again for 24 hours
Must not be the same as previous 24 passwords used
Must not be similar to your username (if any 2 letters matching username appear in the same order it will be rejected)
Bildschirmsperre sollte laut Datenschutzbeauftragten auf 5 Minuten gesetzt werden.
Gruß
rudeboy
Moin,
es gibt Gesetzte - an die muss man sich halten,
es gibt Betriebsanweisungen - an die sollte man sich halten
und es gibt nervige Dinge - die sollte man meiden.
Will sagen: Solche automatischen Sperren sollte man nur da einrichten, wo sie wirklich gebraucht werden. Alles andere ist Gängelei. Alle 90 Tage Passwort ändern zu müssen allerdings auch.
Gruß
es gibt Gesetzte - an die muss man sich halten,
es gibt Betriebsanweisungen - an die sollte man sich halten
und es gibt nervige Dinge - die sollte man meiden.
Will sagen: Solche automatischen Sperren sollte man nur da einrichten, wo sie wirklich gebraucht werden. Alles andere ist Gängelei. Alle 90 Tage Passwort ändern zu müssen allerdings auch.
Gruß
boah - das ist hart für 0/8/15-Mitarbeiter
Moin!
Also ich gehöre zu denen, die nichts von einer regelmäßigen Kennwortänderung halten. Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.
Bildschirmsperre schaltet sich bei uns nach 5 Minuten Inaktivität ein. Ist eigentlich noch zu hoch, aber die Kollegen haben lange genug genörgelt..
Gruß
Julian
Also ich gehöre zu denen, die nichts von einer regelmäßigen Kennwortänderung halten. Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.
Bildschirmsperre schaltet sich bei uns nach 5 Minuten Inaktivität ein. Ist eigentlich noch zu hoch, aber die Kollegen haben lange genug genörgelt..
Gruß
Julian
Das ganze fuehrt halt bei wohl 90% der Mitarbeiter zu folgenden:
P@55w0rd001
P@55w0rd002
P@55w0rd003
P@55w0rd004
P@55w0rd005
EDIT: Unsere Regeln:
Mindestens 8 Zeichen,
3 von 4: Grossbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen
Aendern nach 180 Tagen,
Passwort Historie: 5
Durch Verwendung von Hardware Token: Maximale Laenge 32 Zeichen.
Bildschirmsperre nach 15 Minuten
P@55w0rd001
P@55w0rd002
P@55w0rd003
P@55w0rd004
P@55w0rd005
EDIT: Unsere Regeln:
Mindestens 8 Zeichen,
3 von 4: Grossbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen
Aendern nach 180 Tagen,
Passwort Historie: 5
Durch Verwendung von Hardware Token: Maximale Laenge 32 Zeichen.
Bildschirmsperre nach 15 Minuten
Hi,
E.
Zitat von @Julian94:
Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.
Nennst Du bitte Quellen dafür?Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.
E.
Zitat von @emeriks:
Hi,
Unter anderem der Landesdatenschutzbeauftrage BaWü gibt das als Empfehlung aus. Sollte man eigentlich wissen.Hi,
Zitat von @Julian94:
Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.
Nennst Du bitte Quellen dafür?Wurde auch schon mehrmals belegt das diese Vorgabe die Kennwörter nur schlechter anstatt besser macht.
Die Aussage an sich ist allerdings zu kurz zitiert. Da hängen natürlich diverse abers und wenns dran.
Hi,
Will sagen:
Hättest Du ein Kind und dieses würde "laufend" ein neues Freundeskind mit nach Hause bringen und diesem auch nach kurzer Zeit die PIN für eure Alarmanlage geben, damit es ins Haus kommen kann, wann will, dann würdest Du auch darauf bestehen, dass die PIN regelmäßig geändert wird, um auszuschließen, dass irgendein verflossenes Freundeskind mit der bekannten PIN weiterhin in die Wohnung kommt.
E.
Zitat von @Kraemer:
Will sagen: Solche automatischen Sperren sollte man nur da einrichten, wo sie wirklich gebraucht werden. Alles andere ist Gängelei. Alle 90 Tage Passwort ändern zu müssen allerdings auch.
Solange es Dich nicht selbst betrifft.Will sagen: Solche automatischen Sperren sollte man nur da einrichten, wo sie wirklich gebraucht werden. Alles andere ist Gängelei. Alle 90 Tage Passwort ändern zu müssen allerdings auch.
Will sagen:
Hättest Du ein Kind und dieses würde "laufend" ein neues Freundeskind mit nach Hause bringen und diesem auch nach kurzer Zeit die PIN für eure Alarmanlage geben, damit es ins Haus kommen kann, wann will, dann würdest Du auch darauf bestehen, dass die PIN regelmäßig geändert wird, um auszuschließen, dass irgendein verflossenes Freundeskind mit der bekannten PIN weiterhin in die Wohnung kommt.
E.
1
Danke, aber das ist keine Quelle. Das ist nur Hörensagen.
Sollte man eigentlich wissen.
Warum sollte ich wissen müssen, was irgendein Hansel aus BaWü mal empfohlen hat?Zitat von @emeriks:
entschuldige bitte - hätte gedacht, dass du liest...Sollte man eigentlich wissen.
Warum sollte ich wissen müssen, was irgendein Hansel aus BaWü mal empfohlen hat?
?
Damit hat sich das Thema Passwort ganz erledigt:
https://www.heise.de/select/ct/2019/18/1566917336782380
https://www.heise.de/select/ct/2019/18/1566917336782380
Nein, ganz sicher nicht.
Das ist ne gute Sache. Jedoch - wie ich es verstanden habe - erstmal nur für Web-Dienste. Und auch nur für interaktive Logins.
Das ist ne gute Sache. Jedoch - wie ich es verstanden habe - erstmal nur für Web-Dienste. Und auch nur für interaktive Logins.
Hallöle
lesen
Es gibt tonnenweise Leute die davon Abraten, nicht nur der Herrn Hansel von der BaWü. Ob du da anderer Meinung bist ist dir überlassen. Ich für mich weiss auf jedenfall, dass ich nicht alle 90Tage ein neues Login-PW erfinden will, das einfach zu merken ist und trotzdem genug Kryptisch das nicht einfach der Duden verwendet werden kann. Ich habe als IT-Admin schon genügend Passwörter bei welchen ich ohne Passwortmanager heillos überfordert wäre. - Und das Masterpasswort von einem Passwortmanager wird ja auch nicht alle 90 Tage geändert.
Wichtig ist, dass es genügend lang ist und das du es nicht für andere Dienste auch noch verwendest.
- Meine Meinung
LG
KMUlife
lesen
Es gibt tonnenweise Leute die davon Abraten, nicht nur der Herrn Hansel von der BaWü. Ob du da anderer Meinung bist ist dir überlassen. Ich für mich weiss auf jedenfall, dass ich nicht alle 90Tage ein neues Login-PW erfinden will, das einfach zu merken ist und trotzdem genug Kryptisch das nicht einfach der Duden verwendet werden kann. Ich habe als IT-Admin schon genügend Passwörter bei welchen ich ohne Passwortmanager heillos überfordert wäre. - Und das Masterpasswort von einem Passwortmanager wird ja auch nicht alle 90 Tage geändert.
Wichtig ist, dass es genügend lang ist und das du es nicht für andere Dienste auch noch verwendest.
- Meine Meinung
LG
KMUlife
Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Zitat von @PN-Schrauber:
Hallo,
Da bei uns derzeit einige User meinen gegen unsere Richtlinien (vorallem die der Displaysperre) rebelieren zumüssen, wollte ich euch mal fragen, wie ihr es handhabt.
Hallo,
Da bei uns derzeit einige User meinen gegen unsere Richtlinien (vorallem die der Displaysperre) rebelieren zumüssen, wollte ich euch mal fragen, wie ihr es handhabt.
Moin
Cat9.
lks
PS: Zwangspasswortänderungen und zu viele Sonderzeichen sind kontaproduktiv. Hingegen sind Paßwortcracker, die im Erfolgsfall den Usern eine Änderung vorschreiben sinnvoller.
Zitat von @aqui:
Damit hat sich das Thema Passwort ganz erledigt:
https://www.heise.de/select/ct/2019/18/1566917336782380
Damit hat sich das Thema Passwort ganz erledigt:
https://www.heise.de/select/ct/2019/18/1566917336782380
Nein. Fido2 ust ein ganz anderes Szenario als in Betrieb und hat auch seine großen Macken.
Wird sich bei den DAUs als kontraproduktiv herausstellen.
lks
Das hat ein bisschen was von "Frag zwei Anwält und du erhälst drei Meinungen". Wir haben das so geregelt, dass nach 15 Minuten der Monitor schwarz wird. Passwörter ist immer so ein Ding. Unsere Erfahrung war, dass die PWs immer schlechter werden je öfter die Leute sie ändern müssen. Darum sind wir dazu übergegangen sie ein mal pro Jahr zu ändern. Dafür sind sie aber mind. 12 Zeichen lang. Wir haben dazu mal eine Schulung gemacht und den Mitarbeitern nahegelegt, dass sie sich Merksätze bilden. Das ist hier nun so gängig und scheint zu funktionieren. Na klar gibt es immer wieder diesen Einen.
Zitat von @KMUlife:
Wichtig ist, dass es genügend lang ist und das du es nicht für andere Dienste auch noch verwendest.
Korrekt!Wichtig ist, dass es genügend lang ist und das du es nicht für andere Dienste auch noch verwendest.
Unabhängig von allen anderen Punkten
Ich denke, bei diesem Thema muss man klar unterscheiden zwischen
- System- und Root-Admin-Konten
- "normale" Arbeitskonten (das können auch einige Admin-Konten sein)
System- und Root-Admin-Konten
Das sehe ich auch so, dass diese nicht häufig geändert werden müssen/sollten. Solange sie "hart genug" sind.
"normale" Arbeitskonten
Unter dem Aspekt der möglichen Mitarbeiter- und/oder Zuständigkeitsfluktuation können sich hier ganz schnell entsprechende Notwendigkeiten ergeben. Das kann man unmöglich pauschalisieren und von daher auch nicht "verteufeln"
Zitat von @godlie:
Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Das ist dann aber ein anderes Thema.Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Ich denke, wir müssen nicht darüber reden, dass man für ein Atomkraftwerk eine Zugangskontrolle benötigt. Und die Tatsache, dass ein Vollidiot die Schlüssel dafür vor dem Tor in einem Blumentopf "versteckt", würde unsere Meinung über die Notendigkeit der Zugangskontrolle nicht ändern. Aber jene über die Prügelstrafe ...
Zitat von @emeriks:
nein, ist es nicht. Es ist exakt das Thema! Durch zu häufige Passwortwechsel - so haben Studien ergeben - werden die Passwörter zu einfach oder kleben halt am Bildschirm oder sonst wo.Zitat von @godlie:
Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Das ist dann aber ein anderes Thema.Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Wenn du den Schlüssel für das AKW unnötig schwer machst, dann steigt die Wahrscheinlichkeit enorm an, dass du diesen in deinem Blumentopf findest...
1
Hm.....
dann gehören wir wohl eher zu den Paranoiden, denn:
Unser Passwort ist min. 6 Zeichen lang, enthält Großbuchstaben, Zahl / Sonderzeichen und die letzten 12 sind gesperrt.
UND: Passwortwechsel alle 42 Tage erzwungen!
Bildschirmschoner werden nach 5min autom. aktiviert und erneuter Login nur mit Passwort.
Und was den Landesdatenschutzbeauftragten angeht: Meiner Meinung nach kann der viel erzählen....denn er muß ja nicht mit den Konsequenzen leben.
Von daher haben wir das gemeinsam mit der Geschäftsleitung so umgesetzt.
dann gehören wir wohl eher zu den Paranoiden, denn:
Unser Passwort ist min. 6 Zeichen lang, enthält Großbuchstaben, Zahl / Sonderzeichen und die letzten 12 sind gesperrt.
UND: Passwortwechsel alle 42 Tage erzwungen!
Bildschirmschoner werden nach 5min autom. aktiviert und erneuter Login nur mit Passwort.
Und was den Landesdatenschutzbeauftragten angeht: Meiner Meinung nach kann der viel erzählen....denn er muß ja nicht mit den Konsequenzen leben.
Von daher haben wir das gemeinsam mit der Geschäftsleitung so umgesetzt.
- kein erzwungener Passwortwechsel
- Passwort mindestens 10 Zeichen lang mit Groß/Kleinschreibung, Sonderzeichen und Ziffern
- Bildschirmsperre nach 10min + die Anweisung den Bildschirm beim verlassen des Arbeitsplatzes zu sperren (was über die Jahre bisher ganz gut geklappt hat) - danach Anmeldung mit Passwort
- Passwort mindestens 10 Zeichen lang mit Groß/Kleinschreibung, Sonderzeichen und Ziffern
- Bildschirmsperre nach 10min + die Anweisung den Bildschirm beim verlassen des Arbeitsplatzes zu sperren (was über die Jahre bisher ganz gut geklappt hat) - danach Anmeldung mit Passwort
@Looser27
Das sehe ich genauso.
Das sehe ich genauso.
@Kraemer
OK. Für mich sind das jedoch verschiedene Themen.
OK. Für mich sind das jedoch verschiedene Themen.
- Die Behauptung, dass durch den erzwungenen Passwortwechsel die Sicherheit der Passwörter aus Prinzip leiden würde.
- Die Fahrlässigkeit von Konteninhaber beim Umgang mit Passwörtern.
- Die Ausreden der Administration (Technik wie Verwaltung) bei der Umsetzung der notwendigen Maßnahmen, weil die Maßnahmen ja sowieso keinen Sinn haben würden, weil ja alle anderen (i.A. die Anwender) zu doof sind, damit umzugehen.
Hallo,
Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,
brammer
diesem auch nach kurzer Zeit die PIN für eure Alarmanlage geben, damit es ins Haus kommen kann, wann will, dann würdest Du auch darauf
bestehen, dass die PIN regelmäßig geändert wird, um auszuschließen, dass irgendein verflossenes Freundeskind mit der bekannten PIN weiterhin
in die Wohnung kommt.
bestehen, dass die PIN regelmäßig geändert wird, um auszuschließen, dass irgendein verflossenes Freundeskind mit der bekannten PIN weiterhin
in die Wohnung kommt.
Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,
brammer
Zitat von @brammer:
Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,
Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,
Taschengeldkürzungen sind effektiver und preiswerter.
lks
Moin
bei mir im Netzwerk gibt es keine Regel zur Passwortrotation alle x-Tage. Ebenso sieht es bei den meisten meiner KMU-Kunden aus.
Die Anwender sind nicht zu doof, sondern so intelligent, dass sie alle Anforderung beim häufigen Passwortwechsel umsetzen und dabei trotzdem Passwörter generieren, die leicht merkbar (und auch knackbar) sind.
Beispiel:
Passwortwechsel alle 90 Tage, Mindestens 8 Zeichen, Sonderzeichen, Zahlen, letzte 10 Kennwörter sind gesperrt:
Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019
bei mir im Netzwerk gibt es keine Regel zur Passwortrotation alle x-Tage. Ebenso sieht es bei den meisten meiner KMU-Kunden aus.
Zitat von @emeriks:
- Die Ausreden der Administration (Technik wie Verwaltung) bei der Umsetzung der notwendigen Maßnahmen, weil die Maßnahmen ja sowieso keinen Sinn haben würden, weil ja alle anderen (i.A. die Anwender) zu doof sind, damit umzugehen.
Die Anwender sind nicht zu doof, sondern so intelligent, dass sie alle Anforderung beim häufigen Passwortwechsel umsetzen und dabei trotzdem Passwörter generieren, die leicht merkbar (und auch knackbar) sind.
Beispiel:
Passwortwechsel alle 90 Tage, Mindestens 8 Zeichen, Sonderzeichen, Zahlen, letzte 10 Kennwörter sind gesperrt:
Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019
Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019
Frühling-2019
Sommer-2019
Herbst-2019
Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
1
Hallo,
Und genau deswegen wird eine Richtlinie für den Passwort Wechsel, egal wie Komplex, auch nie was bringen.
Das Passwort ist das schwächste Glied in der Sicherheitskette,
Da muss eine MFA oder Biometrische Sicherheit her.
Ist immer nur ein Frage was schütze ich ...
Im Privaten Umfeld aktuell wohl noch problematisch.
wobei es hier mit Fido2, wie von @aqui gepostet, oder mit Schlössern mit Fingerabdrucksensor Lösungen gibt.
Aber im Firmenumfeld definitiv ein Thema
Selbst wenn es nur um den Rechner im Lager geht damit die Stapler ihre Aufträge bekommen... dahinter hängt ein Warenwirtschaftssystem das von dort aus angreifbar sein kann.
brammer
Die Anwender sind nicht zu doof, sondern so intelligent, dass sie alle Anforderung beim häufigen Passwortwechsel umsetzen und dabei trotzdem
Passwörter generieren, die leicht merkbar (und auch knackbar) sind.
Passwörter generieren, die leicht merkbar (und auch knackbar) sind.
Und genau deswegen wird eine Richtlinie für den Passwort Wechsel, egal wie Komplex, auch nie was bringen.
Das Passwort ist das schwächste Glied in der Sicherheitskette,
Da muss eine MFA oder Biometrische Sicherheit her.
Ist immer nur ein Frage was schütze ich ...
Im Privaten Umfeld aktuell wohl noch problematisch.
wobei es hier mit Fido2, wie von @aqui gepostet, oder mit Schlössern mit Fingerabdrucksensor Lösungen gibt.
Aber im Firmenumfeld definitiv ein Thema
Selbst wenn es nur um den Rechner im Lager geht damit die Stapler ihre Aufträge bekommen... dahinter hängt ein Warenwirtschaftssystem das von dort aus angreifbar sein kann.
brammer
Zitat von @Looser27:
Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
habe es jetzt nicht getestet - aber es sind Groß- und Kleinbuchstaben enthalten, Zahlen und ein nicht alphabetisches Zeichen. Sollte passen.Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019
Frühling-2019
Sommer-2019
Herbst-2019
Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
ist ja nur der, der im Fall der Fälle Strafen aussprechen kann. Egal - M$ sieht es mittlerweile genau so
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baselin ...
hier eine Zusammenfassung: https://www.heise.de/security/meldung/Windows-10-1903-Microsoft-empfiehl ...
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baselin ...
hier eine Zusammenfassung: https://www.heise.de/security/meldung/Windows-10-1903-Microsoft-empfiehl ...
Zitat von @Looser27:
Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
Nur, wenn der Benutzername Winter, Frühling, Sommer oder Herbst oder eine der Jahreszahlen ist.Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019
Frühling-2019
Sommer-2019
Herbst-2019
Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
Zitat von @brammer:
Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,
Grundsätzlich richtig.Hier wäre es dann an der Zeit zu überlegen ob die PIN das richtige Mittel der Wahl ist, und nicht eine Umstellung auf Biometrie zum Beispiel die richtigere Wahl wäre,
Aber auch genau das, was ich meine: Ablenkung vom Thema (Ausfluch), statt Lösungsansatz mit vorhandenen Mitteln.
Zitat von @brammer:
Und genau deswegen wird eine Richtlinie für den Passwort Wechsel, egal wie Komplex, auch nie was bringen.
Das Passwort ist das schwächste Glied in der Sicherheitskette,
Alles richtig. Aber das faulste Glied ist hier eher der Admin!Die Anwender sind nicht zu doof, sondern so intelligent, dass sie alle Anforderung beim häufigen Passwortwechsel umsetzen und dabei trotzdem
Passwörter generieren, die leicht merkbar (und auch knackbar) sind.
Passwörter generieren, die leicht merkbar (und auch knackbar) sind.
Und genau deswegen wird eine Richtlinie für den Passwort Wechsel, egal wie Komplex, auch nie was bringen.
Das Passwort ist das schwächste Glied in der Sicherheitskette,
Wenn ich es will, dann richte ich etwas ein oder lasse es einrichten, dass man als Anwender das Passwort nur nach strengen Regeln ändern kann. Und dazu gehört eben auch das Verweigern des "Hochzählens" u.ä. Das kann man schon mit Bordmitteln von Windows Server umsetzen.
Und noch mal ein anderer Ansatz:
"Blumentopf" als Passwort ist - theoretisch - relativ einfach zu merken, aber auch zu knacken.
"B1ument0pf" (oder noch mehr Leetspeak) - theoretisch - schon aufwändiger aber immer noch kein wirkliches Problem.
"HartesPasswortSuperhart123" ist - wenn es durch regelmäßige erzwungene Passwortänderungen mit "schlauem Hochzählen" zustande gekommen ist - per se unsicher.
Aber "HartesPasswortSuperhart123" ist - wenn ich es nur einmalig vergebe und in einem wunderschönen Tresor verpacke - sehr viel sicherer.
Oder wie jetzt?
"Blumentopf" als Passwort ist - theoretisch - relativ einfach zu merken, aber auch zu knacken.
"B1ument0pf" (oder noch mehr Leetspeak) - theoretisch - schon aufwändiger aber immer noch kein wirkliches Problem.
"HartesPasswortSuperhart123" ist - wenn es durch regelmäßige erzwungene Passwortänderungen mit "schlauem Hochzählen" zustande gekommen ist - per se unsicher.
Aber "HartesPasswortSuperhart123" ist - wenn ich es nur einmalig vergebe und in einem wunderschönen Tresor verpacke - sehr viel sicherer.
Oder wie jetzt?
Ich bin kein BaWü.
Zu diesem Thema habe ich immer wieder das selbe Bild vor Augen, welches meine Ansicht etwas geändert hat:
2
Hallo,
da weiß ich zu wenig über die Möglichkeiten das einzuschränken...
aber user sind findig....
HartesPasswortSuperhartI
HartesPasswortSuperhartII
HartesPasswortSuperhartIII
HartesPasswortSuperhartIIII
oder
Hartes!PasswortSuperhart
Hartes!!PasswortSuperhart
Hartes!!!PasswortSuperhart
sind ja machbare "Hochzählvariationen"
brammer
Und dazu gehört eben auch das Verweigern des "Hochzählens" u.ä. Das kann man schon mit Bordmitteln von Windows Server umsetzen.
da weiß ich zu wenig über die Möglichkeiten das einzuschränken...
aber user sind findig....
HartesPasswortSuperhartI
HartesPasswortSuperhartII
HartesPasswortSuperhartIII
HartesPasswortSuperhartIIII
oder
Hartes!PasswortSuperhart
Hartes!!PasswortSuperhart
Hartes!!!PasswortSuperhart
sind ja machbare "Hochzählvariationen"
brammer
Und natürlich dieser Artikel:
https://www.heise.de/security/meldung/Sichere-Passwoerter-Viele-der-herk ...
https://www.heise.de/security/meldung/Sichere-Passwoerter-Viele-der-herk ...
1
Hallo an alle,
um allen Seiten (Password ändern <--> User erstellt zu einfach Passwörter, da er sie sich nicht merken kann)
gerecht zu werden gäbe es noch diese Variante.
Regel 1 - Ich habe echt kein Bock mit diese bescheuerten Passwörter zu merken ----> R1-IhekBmdbPzm
Das wird ergänzt mit laufendem Jahr und laufender Nummer.
Damit wären wir fertig.
grüsse vom it-frosch
um allen Seiten (Password ändern <--> User erstellt zu einfach Passwörter, da er sie sich nicht merken kann)
gerecht zu werden gäbe es noch diese Variante.
Regel 1 - Ich habe echt kein Bock mit diese bescheuerten Passwörter zu merken ----> R1-IhekBmdbPzm
Das wird ergänzt mit laufendem Jahr und laufender Nummer.
Damit wären wir fertig.
grüsse vom it-frosch
Das liest sich so, als würdest Du jetzt persönlich werden.
Zitat von @SomebodyToLove:
Zu diesem Thema habe ich immer wieder das selbe Bild vor Augen, welches meine Ansicht etwas geändert hat:
Zu diesem Thema habe ich immer wieder das selbe Bild vor Augen, welches meine Ansicht etwas geändert hat:
Sie auch Link oben.
lks
Zitat von @Looser27:
Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
Winter-2019
Frühling-2019
Sommer-2019
Herbst-2019
Frühling-2019
Sommer-2019
Herbst-2019
Wenn ich mich nicht irre, sind diese Passwörter sogar bei der Windows-Standard-Richtlinie nicht möglich.
Nur wenn der User 2019 heißt.
Ansonsten sind solche Kombinationen ein beliebtes Paßwortschema, um "Zwangspaßwörter" zu generieren. Ich sehe das schon seit den frühen 80ern daß die User in solchen Fällen sehr kreativ sind, einfache und damit leicht zu erratende Paßwörter zu finden, die trotzdem die Richtlinien zu erfüllen.
lks
Zitat von @Kraemer:
Wenn du den Schlüssel für das AKW unnötig schwer machst, dann steigt die Wahrscheinlichkeit enorm an, dass du diesen in deinem Blumentopf findest...
Zitat von @emeriks:
nein, ist es nicht. Es ist exakt das Thema! Durch zu häufige Passwortwechsel - so haben Studien ergeben - werden die Passwörter zu einfach oder kleben halt am Bildschirm oder sonst wo.Zitat von @godlie:
Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Das ist dann aber ein anderes Thema.Das ist alles schön und nett, man geht dann zum Arbeitsplatz XY, dreht die Tastatur um oder guckt auf das Postit am Monitor und dann wars das mit Sicherheit
Wenn du den Schlüssel für das AKW unnötig schwer machst, dann steigt die Wahrscheinlichkeit enorm an, dass du diesen in deinem Blumentopf findest...
Oder ein Keil unter der Tür, damit man den Schlüssel nicht immer mitnehmen muß.
lks
1Zitat von @Lochkartenstanzer:
Sie auch Link oben.
lks
Zitat von @SomebodyToLove:
Zu diesem Thema habe ich immer wieder das selbe Bild vor Augen, welches meine Ansicht etwas geändert hat:
Zu diesem Thema habe ich immer wieder das selbe Bild vor Augen, welches meine Ansicht etwas geändert hat:
Sie auch Link oben.
lks
Uuuuppps, der Hyperlink war so lang, der kam mir verdächtig vor
Darf ich fragen, was bei euch dann unternommen wird, wenn die Rebellen nicht nachgeben? Welche Konsequenzen haben die User zu erwarten?
Ab ins Lager Boden wischen
Hallo Stefan007,
Wenn er es dann nicht so ändert, dass er arbeiten kann, wird er das seinem Chef erklären müssen.
Weil wir gerade dabei sind. Wenn das Notebook > 90 Tage keinen Kontakt zum Netzwerk hat, wird der Computer im AD automatisch gelöscht.
Auch das passiert maximal 1x.
Grüße vom it-frosch
Darf ich fragen, was bei euch dann unternommen wird, wenn die Rebellen nicht nachgeben? Welche Konsequenzen haben die User zu erwarten?
Durch die Passwort Policy läuft sein Kennwort nach 90 Tagen ab.Wenn er es dann nicht so ändert, dass er arbeiten kann, wird er das seinem Chef erklären müssen.
Weil wir gerade dabei sind. Wenn das Notebook > 90 Tage keinen Kontakt zum Netzwerk hat, wird der Computer im AD automatisch gelöscht.
Auch das passiert maximal 1x.
Grüße vom it-frosch
1
Ich sehe sowas recht locker...
--> Passwort-Richtlinien: Führen idR dazu das die Passwörter dann irgendwo aufgeschrieben werden und/oder eh nur hochgezählt werden... Schon hast du sowas wie Passwort!1, Passwort!2,...
--> Bildschirmschoner usw.: Das hängt arg von der Arbeit ab. Wenn die Personen z.B. zwar viel am Schreibtisch arbeiten, aber nicht immer am Rechner kann es ja sein das es Sinn macht das man sowas ganz abschaltet... Generell is aber auch da: Wenn das Passwort "normal" ist dann fällt es dem Anwender leichter den Bildschirm zu sperren als wenn der da super-komplexe Dinge eingeben soll. Was aber durchaus hilft: Wenn man einen ungesperrten Rechner sieht z.B. ne Mail an die Abteilung schicken in der der Mitarbeiter die Kollegen zum Eis einlädt, "interessante" Webseiten aufmachen... (hängt aber stark davon ab ob der-/diejenige den Spass versteht!).
--> Passwort-Richtlinien: Führen idR dazu das die Passwörter dann irgendwo aufgeschrieben werden und/oder eh nur hochgezählt werden... Schon hast du sowas wie Passwort!1, Passwort!2,...
--> Bildschirmschoner usw.: Das hängt arg von der Arbeit ab. Wenn die Personen z.B. zwar viel am Schreibtisch arbeiten, aber nicht immer am Rechner kann es ja sein das es Sinn macht das man sowas ganz abschaltet... Generell is aber auch da: Wenn das Passwort "normal" ist dann fällt es dem Anwender leichter den Bildschirm zu sperren als wenn der da super-komplexe Dinge eingeben soll. Was aber durchaus hilft: Wenn man einen ungesperrten Rechner sieht z.B. ne Mail an die Abteilung schicken in der der Mitarbeiter die Kollegen zum Eis einlädt, "interessante" Webseiten aufmachen... (hängt aber stark davon ab ob der-/diejenige den Spass versteht!).
Zitat von @Stefan007:
Darf ich fragen, was bei euch dann unternommen wird, wenn die Rebellen nicht nachgeben? Welche Konsequenzen haben die User zu erwarten?
Darf ich fragen, was bei euch dann unternommen wird, wenn die Rebellen nicht nachgeben? Welche Konsequenzen haben die User zu erwarten?
cat9
und er oder sie darf sich vom Admin an###en lassen.....Das ist für die meisten schlimmer als vom Chef. Denn Den Administrator brauchen die meisten öfter....
Das Thema lässt sich nicht pauschal beantworten.
Habe das grundlegend mal bei uns versucht.
Durchgesetzte Regelung:
Bzgl. Bildschirmsperre haben das beinahe alle stillschweigend akzeptiert, bis dann einer Rebell gespielt hat und Zitat:
Ansonsten gibt es für den "gemeinen" User bei uns keine Geheimnisse, die Benutzerkennwörter liegen bei allen gefühlt offen unter der Tastatur.
Habe das grundlegend mal bei uns versucht.
Durchgesetzte Regelung:
- Beim Anmelden muss generell Benutzername & Kennwort angegeben werden, der zuletzt angemeldete Nutzer wird nicht angezeigt.
- Kennwortlänge 6 Zeichen, 3 aus 4
- Kennwortzwangsänderung 180 Tage
Bzgl. Bildschirmsperre haben das beinahe alle stillschweigend akzeptiert, bis dann einer Rebell gespielt hat und Zitat:
Wenn ich 5x am Tag den Platz kurz verlasse um eine Raucherpause zu machen (es wird ausgestempelt) muss ich mich 5x am Tag wieder neu anmelden (Bildschirmsperre stand auf 15 min), hinzu kommt die Zeit in denen ich im Betrieb unterwegs bin, sicherlich auch 5x am Tag.
Ergibt 10x am Tag noch mal neu anmelden, Zeitaufwand für die Firma bzw. für mich. Kosten für die Firma im Mittel 5x am Tag ~1 min x 20 Tage im Monat x 12 Monate im Jahr....
Auf die Diskussion hatte ich keine Lust und habe das abgeschaltet und eine Arbeitsanweisung rausgegeben, dass beim Verlassen des Arbeitsplatz das System gegen unberechtigten Zugriff zu sperren ist.Ergibt 10x am Tag noch mal neu anmelden, Zeitaufwand für die Firma bzw. für mich. Kosten für die Firma im Mittel 5x am Tag ~1 min x 20 Tage im Monat x 12 Monate im Jahr....
Ansonsten gibt es für den "gemeinen" User bei uns keine Geheimnisse, die Benutzerkennwörter liegen bei allen gefühlt offen unter der Tastatur.
Nicht ganz!
Regel 2 Für jedes System ein eigenes Passwort (oder wie in Deinem Fall ein Merksatz)
Damit wird aus Deiner "... und fertig" ganz einfach-Lösung ein nicht zu beherrschendes System, denn
ergibt Summasummarum ca. 70-80 solcher Sätze, an die Du Dich nach 4 Wochen Urlaub Montag morgen auch super toll erinnern kannst und sofort weißt, welcher Deiner 80 Sätze jetzt zu dem System passt, vor dem du gerade sitzt = perfect world!!!
Jetz haben wir fertig und wieder ein System, das nicht praktikabel ist, wenn man (frau) mehr als 3 System o.ä. an denen sich angemeldet wird.
Nicht das Passwort, die PIN, der Passwort-Safe oder ähnliches sind das Problem, der bequemliche Mensch ist das eigentliche Problem.
Regel 2 Für jedes System ein eigenes Passwort (oder wie in Deinem Fall ein Merksatz)
Damit wird aus Deiner "... und fertig" ganz einfach-Lösung ein nicht zu beherrschendes System, denn
Admin mit 10 Systemen = 10 dieser tollen Sätze umgewandelt in eine Buchstaben-Zahlen-Zechensuppe
Admin mit privat nochmal 10 Systemen = nochmal 10 tolle Sätze
Admin mit 30 Internet-Seiten, Portalen, Foren o.ä. bei denen er sich regelmäßig anmeldet = 30 weitere Sätze
Admin mit 20-30 Einkaufsmöglichkeiten bei verschiedenen Plattformen = nochmal 20-30 Sätze
ergibt Summasummarum ca. 70-80 solcher Sätze, an die Du Dich nach 4 Wochen Urlaub Montag morgen auch super toll erinnern kannst und sofort weißt, welcher Deiner 80 Sätze jetzt zu dem System passt, vor dem du gerade sitzt = perfect world!!!Jetz haben wir fertig und wieder ein System, das nicht praktikabel ist, wenn man (frau) mehr als 3 System o.ä. an denen sich angemeldet wird.
Nicht das Passwort, die PIN, der Passwort-Safe oder ähnliches sind das Problem, der bequemliche Mensch ist das eigentliche Problem.
Ein Glück wenn man da KeePass hat oder besser einen FIDO2 Stick mit Bluetooth !!!
Eins aber stimmt. Die Schnittstelle Mensch und die Bequemlichkeit ist die Achillesferse von allem.
Eins aber stimmt. Die Schnittstelle Mensch und die Bequemlichkeit ist die Achillesferse von allem.
