11
Active Directory - GPO - Passwort muss alle 4 Zeichenarten enthalten
Wie kann ich um Active Direktory dafür sorgen, das Benutzer in ihren Kennwörtern alle 4 Zeichenarten angeben MÜSSEN.
Also nicht 1, 2 oder 3 sondern alle 4 Zeichenarten müssen im Passwort enthalten sein.
mindestens ein Kleinbuchstabe
mindestens ein Großbuchstabe
mindestens eine Zahl
mindestens ein Sonderzeichen
Die Definition "Kennwort muss Komplexitätsvoraussetzungen entspechen" besagt ja nur das man 3 von 4 Zeichenarten im Passwort enthalten haben muss.
Vielen Dank für Tipps, mit Google erziele ich aktuell keinen treffer.
Also nicht 1, 2 oder 3 sondern alle 4 Zeichenarten müssen im Passwort enthalten sein.
mindestens ein Kleinbuchstabe
mindestens ein Großbuchstabe
mindestens eine Zahl
mindestens ein Sonderzeichen
Die Definition "Kennwort muss Komplexitätsvoraussetzungen entspechen" besagt ja nur das man 3 von 4 Zeichenarten im Passwort enthalten haben muss.
Vielen Dank für Tipps, mit Google erziele ich aktuell keinen treffer.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4560689354
Url: https://administrator.de/contentid/4560689354
Printed on: April 27, 2024 at 08:04 o'clock
11 Comments
Latest comment
Indem man eigene Passwortfilter-DLLs schreibt
https://learn.microsoft.com/en-us/windows/win32/secmgmt/password-filters
Die Einstellung "je komplexer desto besser" ist lange überholt und führt zu "faulen" Passwörten.
Besser sind längere Passworter die aus verschiedenen Wörtern bestehen wie z.b.
apfel-stempel-festplatte-tasse
die kann man sich dann auch merken
Ein 8-stelliges Passwort mit 4 Zeichenarten ist in ner halben Stunde geknackt, ein 18-stelliges nur aus Kleinbuchstaben dagegen in 2 Millionen Jahren
https://learn.microsoft.com/en-us/windows/win32/secmgmt/password-filters
Die Einstellung "je komplexer desto besser" ist lange überholt und führt zu "faulen" Passwörten.
Besser sind längere Passworter die aus verschiedenen Wörtern bestehen wie z.b.
apfel-stempel-festplatte-tasse
die kann man sich dann auch merken
Ein 8-stelliges Passwort mit 4 Zeichenarten ist in ner halben Stunde geknackt, ein 18-stelliges nur aus Kleinbuchstaben dagegen in 2 Millionen Jahren
1
Hi.
Ich versuche mal, es dir auszureden.
Du erhöhst die Sicherheit damit nicht, nein, du verkleinerst sogar den Kennwortraum erheblich, siehe
https://openwall.info/wiki/john/policy
Somit wird brute forcing einfacher.
Beispiel: 9 Zeichen ist die geforderte Mindestlänge.
Bei 4 geforderten Gruppen hat man nur noch 53% aller mit 9 Zeichen möglichen Kennwörter zum Bruteforce zu testen.
Ich versuche mal, es dir auszureden.
Du erhöhst die Sicherheit damit nicht, nein, du verkleinerst sogar den Kennwortraum erheblich, siehe
https://openwall.info/wiki/john/policy
Somit wird brute forcing einfacher.
Beispiel: 9 Zeichen ist die geforderte Mindestlänge.
Bei 4 geforderten Gruppen hat man nur noch 53% aller mit 9 Zeichen möglichen Kennwörter zum Bruteforce zu testen.
1
Ich würde auch ehrlich gesagt davon absehen... Wenn du nicht Zettel am Monitor haben willst wo das Passwort dann eh drauf steht (und wenn nich am Monitor sondern in der Schublade, unter der Tastatur,...)
1
Du erhöhst die Sicherheit damit nicht, nein, du verkleinerst sogar den Kennwortraum erheblich
Und sorgst dafür, dass die komplexen Passwörter als Zettel unter der Tastatur liegen.
Ich wollte mindestens 10 Zeichen und 4 Zeichenarten, weil dummerweise die meisten Kunden solch wünche festlegen.
Aber warscheinlich werde ich wohl "Kennwort muss Komplexitätsvoraussetzungen entspechen" also 3 Zeichenarten und mindesten 12 Zeichen festlegen. Das macht dann 200 Jahre.
@chaot1coz: Danke für die Grafik.
aber was ist mir apfel-stempel-festplatte-tasse man soll Wörter aus dem Wörterbuch meiden.
Und eine Atacke mit kleinen Wörtern und - statt Leerzeichen klingt jetzt auch nicht so komplex
Aber warscheinlich werde ich wohl "Kennwort muss Komplexitätsvoraussetzungen entspechen" also 3 Zeichenarten und mindesten 12 Zeichen festlegen. Das macht dann 200 Jahre.
@chaot1coz: Danke für die Grafik.
aber was ist mir apfel-stempel-festplatte-tasse man soll Wörter aus dem Wörterbuch meiden.
Und eine Atacke mit kleinen Wörtern und - statt Leerzeichen klingt jetzt auch nicht so komplex
Zitat von @LHBL2003:
Ich wollte mindestens 10 Zeichen und 4 Zeichenarten, weil dummerweise die meisten Kunden solch wünche festlegen.
Aber warscheinlich werde ich wohl "Kennwort muss Komplexitätsvoraussetzungen entspechen" also 3 Zeichenarten und mindesten 12 Zeichen festlegen. Das macht dann 200 Jahre.
@chaot1coz: Danke für die Grafik.
aber was ist mir apfel-stempel-festplatte-tasse man soll Wörter aus dem Wörterbuch meiden.
Und eine Atacke mit kleinen Wörtern und - statt Leerzeichen klingt jetzt auch nicht so komplex
Ich wollte mindestens 10 Zeichen und 4 Zeichenarten, weil dummerweise die meisten Kunden solch wünche festlegen.
Aber warscheinlich werde ich wohl "Kennwort muss Komplexitätsvoraussetzungen entspechen" also 3 Zeichenarten und mindesten 12 Zeichen festlegen. Das macht dann 200 Jahre.
@chaot1coz: Danke für die Grafik.
aber was ist mir apfel-stempel-festplatte-tasse man soll Wörter aus dem Wörterbuch meiden.
Und eine Atacke mit kleinen Wörtern und - statt Leerzeichen klingt jetzt auch nicht so komplex
doch - IST es. Denn sagen wir du hast nur 100 Wörter zur Auswahl. Du hast nur 3 Worter daraus genommen:
100*100*100 + die Anzahl der Möglichkeiten die du ZWISCHEN den Wörtern hast (z.B. apfel+stempel+festplatte vs. apfel&stempel+...). Damit wirst du per brute force nicht weit kommen. Wenn du aber jetzt deine Regel anwendest hab ich ggf. Ae&1 - und weil ichs mir ja merken muss werde ich natürlich so kurz wie möglich sein. Das macht die Chancen deutlich einfacher. Denke auch dran: Du WEISST als Angreifer nicht das ich Wörter nehme - damit hat mein Passwort ggf. 20+ Zeichen statt 6 oder 8 oder 10. Du musst also TROTZDEM weiter alles probieren, die einfache Wörterbuch-Attacke geht ja nur bei "Apfel" ODER "Tasse" ODER "Fliege" - Aber Apfel-Tasse-Fliege gibts halt nich...
Man kann da sehr viel philosophieren.
Mein Vorschlag: lass die Kennwörter ganz bleiben. Nimm SmartCards, Problem gegessen.
Mein Vorschlag: lass die Kennwörter ganz bleiben. Nimm SmartCards, Problem gegessen.
Relevantes XKCD
Die Antwort auf deine eigentliche Frage steht übrigens im ersten Kommentar von mir ganz oben
Die Antwort auf deine eigentliche Frage steht übrigens im ersten Kommentar von mir ganz oben
@maretz & @chaot1coz
Danke für die Info. Zwar habe ich über Phrasen zwar schon gelesen, dass diese einen guten Schutz bieten. Aber das hatte sich immer Mit dem Thema Wörterbuch gebissen. Jetzt habe ich aber mal einen verständlichen Ansatz dazu.
@DerWoWusste: Der Klasiker bei S i e m e n s, ist die einzuge Firma wo ich das bisher gesehen habe.
Aber das setzt leider vorraus, das alle Notebooks ein Karten Leser haben. (Ohne mit USB Kartenlesern zu arbeiten
Ich Danke euch allen für die konstruktive Unterhaltung.
Danke für die Info. Zwar habe ich über Phrasen zwar schon gelesen, dass diese einen guten Schutz bieten. Aber das hatte sich immer Mit dem Thema Wörterbuch gebissen. Jetzt habe ich aber mal einen verständlichen Ansatz dazu.
@DerWoWusste: Der Klasiker bei S i e m e n s, ist die einzuge Firma wo ich das bisher gesehen habe.
Aber das setzt leider vorraus, das alle Notebooks ein Karten Leser haben. (Ohne mit USB Kartenlesern zu arbeiten
Ich Danke euch allen für die konstruktive Unterhaltung.
Aber das setzt leider vorraus, das alle Notebooks ein Karten Leser haben
Nein, das tut es nicht Setze virtuelle SmartCards ein: https://learn.microsoft.com/en-us/windows/security/identity-protection/v ...
Zitat von @maretz:
Ich würde auch ehrlich gesagt davon absehen... Wenn du nicht Zettel am Monitor haben willst wo das Passwort dann eh drauf steht (und wenn nich am Monitor sondern in der Schublade, unter der Tastatur,...)
Ich würde auch ehrlich gesagt davon absehen... Wenn du nicht Zettel am Monitor haben willst wo das Passwort dann eh drauf steht (und wenn nich am Monitor sondern in der Schublade, unter der Tastatur,...)
Das wäre auch für mich der beste Grund, es nicht zu übertreiben.