Hinweise zur Kennwortrichtlinie für Windows-Domänen

Das National Institute of Standards and Technology (NIST) hat einigegute Veröffentlichungen zu Computersicherheitsthemen. Das sind großartige Ressourcen … die Veröffentlichung, nach der Sie suchen, ist die NIST Special Publication 800-53. (Glauben Sie mir, es ist nicht so schlimm, wie es klingt)

Meiner Meinung nach sollte eine Kennwortrichtlinie ungefähr so ​​aussehen:

• 8 Charaktere
• 3 der folgenden: Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen
• keine Wiederverwendung der letzten 12 Passwörter
• 30–90 Tage Passwortablauf

Bedenken Sie: Je restriktiver Ihre Richtlinie, desto häufiger werden Sie von Benutzern kontaktiert, die Konten entsperren oder Passwörter zurücksetzen müssen. Je weniger restriktiv Ihre Richtlinie ist, desto größer ist das Risiko für Ihr Unternehmen.

Standardmäßig können Sie nicht definieren, wieKomplexeine Domänenkennwortrichtlinie ist (zumindest bis 2003). Es gibt Mittel und Wege, die Regeln zu ändern, aber meines Wissens nach ist das außerordentlich kompliziert und nichts für schwache Nerven. Mit anderen Worten, Sie können nicht entscheiden, dass die Kennwörter Ihrer Benutzer drei Großbuchstaben, zwei Sonderzeichen, zwei Ziffern usw. haben sollen.

Folgendes wird eingestellt, wenn SieAktivierenDiePasswort muss den Komplexitätsanforderungen entsprechenEinstellung in der Gruppenrichtlinie „Standarddomäne“:

Passwort muss den Komplexitätsanforderungen entsprechen.

Diese Sicherheitseinstellung legt fest, ob Kennwörter bestimmte Komplexitätsanforderungen erfüllen müssen. Wenn diese Richtlinie aktiviert ist, müssen Kennwörter die folgenden Mindestanforderungen erfüllen:

• Darf nicht den Kontonamen des Benutzers oder Teile des vollständigen Namens des Benutzers enthalten, die länger als zwei aufeinanderfolgende Zeichen sind. Muss mindestens sechs Zeichen lang sein.

• Enthält Zeichen aus drei der folgenden vier Kategorien:

• Englische Großbuchstaben (A bis Z)

• Englische Kleinbuchstaben (a> bis z)

• Ziffern zur Basis 10 (0 bis > 9)

• Nicht-alphabetische Zeichen (z. B. !, $, #, %)

Beim Ändern oder Erstellen von Passwörtern werden Komplexitätsanforderungen durchgesetzt.

Was dudürfenDer Satz lautet jedoch:

• Mindestlänge für Passwörter
• Mindestalter für Passwörter
• Maximales Passwortalter
• Passwortverlauf
• Kontosperrungsschwelle (ungültige Anmeldeversuche)
• Dauer der Kontosperrung

In allen unseren Domänen verwenden wir Komplexität, mindestens 8 Zeichen, mindestens 14 Tage alt, maximal 90 Tage alt, 14 Passwortverlauf, 5 ungültige Anmeldeversuche, 30 Minuten Sperrdauer

Der Link von duffbeer703 ist gut. Es gibt einige technische Gründe für bestimmte Passwortbeschränkungen und Mindestanforderungen. Sie müssen diese Beschränkungen insbesondere dann prüfen, wenn Sie sich nicht in einer vollständig homogenen Umgebung befinden.

Die Regel mit 8 Zeichen, drei von vier Zeichengruppen, ist jedoch ziemlich Standard. Ich persönlich schule meine Benutzer darin, Passphrasen statt Passwörter zu erstellen. Das macht das Erstellen von Passwörtern viel einfacher und sie verbringen nicht so viel Zeit damit, herauszufinden, wie sie all diese Zeichenanforderungen unterbringen können. Ein Passwort wie „Es ist sonnig. Juhuu!“ ist leicht genug, um es sich auszudenken und zu merken.

Dieser Ansatz hat jedoch ein Problem, wenn Benutzer beim Schreiben ihrer Passphrasen korrekte englische Grammatik verwenden und dadurch die Gesamtzahl der möglichen Kombinationen etwas einschränken. Das heißt, ein Passwort, das immer mit einem Großbuchstaben beginnt und mit einem Punkt endet, ist nicht stärker, nur weil es einen Großbuchstaben und einen Punkt enthält, sondern schwächer, weil wir dies im Voraus erraten können.

Die anderen Standardregeln für Windows-Domänen sind meiner Meinung nach in Ordnung, außer dass ich nur eine vierteljährliche Kennwortänderung verlange. Persönlich bin ich nicht von der Idee überzeugt, Kennwörter ablaufen zu lassen. Selbst dreißig Tage sind eine Ewigkeit, wenn ein Konto kompromittiert wurde. Die Leute werden sowieso richtig wütend, wenn sie ein Kennwort ändern müssen.

Da sich nicht einmal die Sicherheitsexperten auf einen guten Mittelweg in Bezug auf Passwörter einigen können, behaupte ich, dass die meisten Ratschläge zu jedem Extrem einfach dumm sind, es sei denn, Sie befinden sich in einer speziellen Hochsicherheitssituation. Was ich für am wichtigsten halte und was ich von Benutzern tatsächlich unterschreiben lasse, ist eine Aussage ähnlich der folgenden: „TEILEN SIE IHR PASSWORT NIEMALS MIT ANDEREN ANDEREN. ES IST MIR EGAL, WER SIE SIND ODER WARUM SIE AUF IHREN COMPUTER ZUGREIFEN MÜSSEN, WENN SIE IM URLAUB SIND. DIE SICHERHEIT IHRES PASSWORTS LIEGT IN IHRER VERANTWORTUNG.“ Der größte Missbrauch von Konten, soweit ich gesehen habe, geht auf das Teilen von Passwörtern zurück. Der ganze andere Hackerkram ist in einem normalen Unternehmen kaum ein Thema.

Die Nist-Veröffentlichung ist in Ordnung, Ihre Domänenpasswortrichtlinie ist nicht so wichtig wie die Aufklärung der Benutzer, ihre Passwörter nicht weiterzugeben. An einem Passwort mit unbegrenzter Gültigkeit ist grundsätzlich nichts auszusetzen, solange es nicht an der Tastatur der Benutzer befestigt ist und sie es nicht weitergeben. Grundsätzlich sind alle Parameter, die Sie festlegen, in Ordnung, die zwei wichtigsten Dinge, über die Sie nachdenken sollten, sind:

Kontosperrungsschwelle (ungültige Anmeldeversuche) Kontosperrungsdauer

Dies schränkt die Fähigkeit der Leute ein, Ihre Sicherheit mit Brute Force zu knacken. Normalerweise empfehle ich einen Schwellenwert von 5 und eine Dauer von 2 Stunden, aber das hängt sicherlich von der Situation ab. Wie Boden betonte, können sich nicht einmal Sicherheitsexperten darauf einigen, was eine sichere Passwortrichtlinie ist. Tatsächlich würde ich Folgendes implementieren:Server- und Domänenisolierungbevor ich mir Gedanken über meine Passwortrichtlinie machen würde. An diesem Punkt gebe ich Ihnen mein Passwort - Sie erhalten trotzdem keinen Zugriff auf meine Ressourcen.