[HaBo]

froemken

Anzeige

Hallo zusammen,

ich bin in der EDV tätig und eigentlich sollten die Benutzerpassworter einmalig und NICHT nachvollziehbar sein.

Momentan haben alle User ein Passwort ala "abc" + [ersten 4 Buchstaben des Nachnamens]. Alle User haben die Möglichkeit Ihr Passwort selbst zu ändern, aber anscheinend hören nur 3 auf mich :-)

Das soll nun endlich geändert werden, denn immer mehr Mitarbeiter loggen sich "mal eben" bei dem Kollegen ein und schreiben von dort aus Mails.

Meine Vorgabe ist nun:

Na super...und nun hänge ich hier mit meinem Zettel und nem Bleistift und versuche aus Monat, Tag, Jahr, Vorname und Nachname etwas zu zaubern.

Ich habe allerdings ein Problem: Monat und Jahr sind sehr "fixe" Begriffe. Hab darüber nachgedacht die "2" von 2008 in die Mitte zu nehmen. Davor und dahinter dann je den ersten Buchstaben des Monats und den dritten Buchstaben des Monats und davor und dahinter dann je den 1. und 3. Buchstaben des Nachnamens. Als sechsten Buchstaben kommt dann die "8" aus 2008.

Würde dann bei mir so aussehen:

FM2ro8

Heißt: Wenn ich heute alle Passwörter ändere, dann sind 4 Buchstaben davon fix. Man kann es zwar nachvollziehen, aber es ist immernoch zu einfach.

Irgendjemand eine Idee?!

Stefan

end4win

Warum? Die haben doch bestimmt Zugriff auf einen Rootaccount wen nötig.
Warum nicht? Weil es ein Sicherheitsrisiko ist, wenn irgendjemand alle Passwörter
nachvollziehen kann.

Empfehle: User regelmässig zum Passwort ändern zwingen und einen Passwortchecker
zu installieren.
Regelmässig die Zettel unter der Tastatur entfernen.
Schulung der Mitarbeiter in Punkt IT-Sicherheit.

Dies sollte mit einer Abmahnung geahndet werden.

Gruss

__________________

froemken

Du hast absolut Recht...mein Reden...find die Vorgabe auch nicht in Ordnung.

Ich habe dem LDAP-Server nun einfach gesagt, dass Passwörter mit der nächsten Anmeldung zu ändern sind ohne Passwortchecker. Ich will erstmal schaun, was morgen für ein Spektakel passieren wird.

Ich habe das jetzt einfach so eingeleitet OHNE Rücksprache mit GF zu halten. Wir haben momentan ein zu simples System und ich habe jetzt einfach was dagegen so "häppchenweise" auf ein vernünftiges System zu wechseln.

Fertig aus. Musste jetzt einfach mal durchgreifen.

Stefan

CDW

Nur rein vom theoretischem her (denn vom Sinn bin ich auch nicht überzeugt - sprich, die zuständigen Leute sollten eher die Rechte haben, das Userpasswort notfalls zu ändern, aber man kann ja die Vorgaben nicht immer aussuchen):

Namenlänge und Modulo-Operationen (z.B für Buchstabenposition). ASCII Zeichen des Namens könnte man auch mit einbeziehen, allerdings soll die nicht jeder aus dem Kopf können (eine Tabelle zu finden& auszudrucken sollte allerdings nicht das Problem sein).
Modulooperationen sollten eigentlich schwer nachvollziehbar sein, allerdings verrät es schon einiges über den Algorithmus, wenn nur Buchstaben aus dem Namen vorkommen.
Ist aufjedenfall eine interessante Beschäftigung für die Mittagspause

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

froemken

Bin erleichtert.

Hab GF grad geschrieben was ich gemacht habe. MIt Begründung und allem drum und dran.

Antwort: OK.

Die User haben natürlich auch weiterhin die Möglichkeit Ihr Passwort jederzeit wieder zu ändern und wir von der EDV haben Dank LDAP-Admin sowieso immer die Möglichkeit einen neuen SSH1-Wert in die LDAP-Datenbank reinzuschreiben.

Ich mach mich mal in Sachen Passwortchecker schlau. Am besten wär natürlich ein Checker, der die Eingabe des alten gleichen Passwortes unterbindet.

Wenn jemand einen guten Vorschlag hat. Würd mich freuen.

Danke Euch

Stefan

Elderan

Hallo,
naja scheinbar habt ihr das System schon geändert, irgendwie ist es auch unsinnig soetwas umzusetzen.
Ihr mit Admin Rechten braucht die User-Passwörter nicht, da ihr euch als Admin einloggen könnt und notfalls das PW auch ändern könnt.
Und dem User bringt es auch nicht viel, wenn er den Algo. kennt, kann er sich bei allen Kollegen einloggen und wenn er den Algo. nicht kennt, kann er sein Passwort auch nicht herleiten.


Ansonsten wäre ein möglicher Algo:
Einfach den md5-Hash vom Vorname+Nachname des Mitarbeiters bilden und die ersten paar Zeichen (z.B. als Passwort verwenden.
Klar, wenn jmd. den Algo kennt, kennt er alle User-Passwörter aber ich glaube kaum, dass jmd. von den Mitarbeitern ohne Kentniss des Algos. sich woanders einloggen kann, da die Passwörter scheinbar zufällig aussehen.

Naja, ist aber eh allgemein eine doofe Idee und den Usern lieber Zufallspasswörter zuordnen, wenn man ihnen ein neues passwort zuteilt.

Auch der PW Checker ist sinnvoll, dieser sollte einmal auf die Länge überprüfen (darf nicht zu kurz sein) und das Passwort gegen ein Wörterbuch abgleichen.


@end4win: Das zwingen zum regelmäßig Ändern des PW's ist fraglich. Viele User verwenden kann z.B. nur zwei Passwörter (z.B. erwin1, erwin2) und ändern dass dann immer entsprechend.
Auch kann es dazu führen, dass gute Passwörter vermieden werden. Warum soll ich mir ein kompliziertes Passwort merken, wenn ich es in einem Monat wieder ändern muss?

@froemken: Ich glaub bei Windows Server (sofern im Einsatz) kann man direkt Passwort-Kriterien einstellen, aber ansonst solltes es für jedes (Server)-Betriebssystem einen entsprechenden Passwortchecker geben.

end4win

Nicht wenn ich die alten Passwörter ins Wörterbuch des PWChecker aufnehme
Halbjährig oder jährlich reicht aber auch wenn es kein besonderer Sicherheitsbereich ist
oder Probleme auftreten, bis dahin haben sie ihr altes in der Regel vergessen.

Gruss

__________________

beavisbee

wie wäre es denn einfach mal mit
???

Wenn du Crypt keinen Salt mitgibst, wird jedes PW mit nem anderen Salt verschlüsselt und somit kann keiner auf das PW kommen, außer er berechnet sich (quasi bruteforce) für alle denkbaren Salts die entsprechenden PWs...

Elderan

Hallo,
@beavisbee:
Das Problem an crypt() ist, dass man auch als Admin nicht mehr das Passwort rekonstruieren kann, es sei denn man probiert alle Salts durch. Dann kann man aber auch direkt zufällige Passwörter verwenden und muss nicht soetwas unsicheres wie crypt(Vorname.Nachname) verwenden.

PS: Natürlich ist md5(Vorname.Nachname) auch nicht wirklich sicher, wer das Verfahren kennt, hat alle Passwörter, aber ich sprach ja sowieso für zufällige Passwörter aus.

[starfoxx]

Also, sollen diese Passwörter nicht irgendwo noch merkbar sein?
Ich denke ein 32byte md5 Hash würde genau dazu führen dass man unter 95% der Tastaturen Passwörter findet...

Ich denke das einzige was in so einem Fall hilft ist eine konkrete Schulung der Mitarbeiter zum Thema Passwortsicherheit. In einer Stunde dürfte man auch noch dem letzten Honk beibringen können was Bruteforce ist, und wie man ein brauchbares Passwort generiert :/

(oder man setzt strafen aus. derjenige, dessen account zum Angriff benutzt wird bezahlt den entstandenen Schaden )

Cyberm@ster

Ich verstehe nicht warum der Algo für die IT und GF nachvollziehbar sein muss. Sonst könntest du ein zufälliges Passwort erstellen das abwechselnd Konsonanten und Vokale aneinanderreiht, gefolgt von einer Zahl oder einem Sonderzeichen. Passwörter die man "aussprechen" kann sind einfach zu merken und da sie zufällig generiert werden sind sie +/- sicher.

Elderan

Hallo,
Erstens hat ein md5 Hash nur 128 Bit = 16 byte, was du meintest ist denk ich mal die hex-dez. Darstellung davon, außerdem war mein Vorschlag, dass man nur die ersten paar Bytes verwendet, denn dass sich kein Angesteller 16 Bytes oder 32 Hez-Dez Zeichen merken kann, ist klar.
Nimmt man aber z.B. die ersten 7 Bytes (nicht hex-dez-Zeichen) und wählt dann aus einem Array mit den vorhanden Buchstaben (z.B. a-z, 0-9) seine Zeichen aus, bekommt man ein relativ zufällig aussehendes Passwort herraus und die GF kann die Passwörter dennoch leicht widerherstellen (sofern wenn überhaupt gewünscht).

Das versteht hier keiner, aber scheinbar hat froemken nun auch zufällige Passwörter durchbekommen

01

Bei uns an der Uni wird auch einmalig eine sichere Zufallsfolge erstellt bzw. durch den User zu erstellen, denke anders geht das auch nicht wenn einigermaßen Authentizität sichergestellt sein soll.

Ansonsten wird noch regelmäßig probiert der MD5Hash zu bruteforcen und so schwache PW anschaulich zu enttarnen. Wegen "Anschaulichkeit" auch gerne mal www.cryptool.de