[AD] Wachtwoorden blacklisten - Serversoftware en clouddiensten

woensdag 18 maart 2009 09:33

Acties:

Topicstarter

Vroeger was het hier redelijk gewoon dat iedereen maar op ieders account in kon loggen als ze wilden, wachtwoord "Bedrijfsnaam1" of de voornaam van die persoon (en zo nog een of twee) waren hele goede kandidaten.

Nu zijn we over naar nieuwe servers, nieuw domein, password policy, niemand meer local admin, the works.

Door de policy "Password must meet complexity requirements" kan men iig de voornaam niet meer gebruiken, maar de bedrijfsnaam of een van de andere standaarden zijn nog gewoon mogelijk.

Valt er ergens een lijstje op te stellen van wachtwoorden die niet mogen, en valt dit lijstje dan ook af te dwingen? Je kunt natuurlijk eens per week of zo het AD bruteforcen en de gebruikers er op aanspreken, maar echt mooi is dat niet natuurlijk.

Ik kan er echter niks over vinden, terwijl ik me eigenlijk niet voor kan stellen dat het niet vaker voorkomt, dus mogelijk gebruik ik gewoon de verkeerde keywords (of het is echt glaringly obvious en ik kijk er straal overheen

)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 18 maart 2009 09:37

Acties:

asfaloth_arwen

Er zijn diverse password filters te krijgen, of het ook met ingebouwde functionaliteit kan durf ik je niet te zeggen. Een korte search op http://www.google.nl/sear...ad+filter+passwords&meta= levert o.a. http://anixis.com/products/ppe/faq.htm, http://techienet.org/page...-windows-active-directory & http://www.specopssoft.com/products/specopspasswordpolicy/ op.

Specs

woensdag 18 maart 2009 10:14

Acties:

Paul

Topicstarter

Ah, "filter" was dus het keyword dat ik miste

Tnx

Ik denk dat het met http://techienet.org/page...-windows-active-directory wel moet lukken, programmeurs genoeg in de omgeving; moet niet moeilijk zijn een DLL te maken die bij het aanroepen kijkt of het wachtwoord voorkomt in een tekstbestandje

Mocht er nog iemand over het topic struikelen en ergens zoiets hebben slingeren dan houdt ik me natuurlijk (binnen de policy en auteursrechten uiteraard) aanbevolen

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 18 maart 2009 11:59

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Waarom stel je niet gewoon in dat het password om de x dagen gewijzigd moet worden en dat deze niet gelijk mag zijn aan de x voorgaande?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 18 maart 2009 12:01

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Question Mark schreef op woensdag 18 maart 2009 @ 11:59:
Waarom stel je niet gewoon in dat het password om de x dagen gewijzigd moet worden en dat deze niet gelijk mag zijn aan de x voorgaande?

Dan komt het niet meer overeen met zijn vraag:

Valt er ergens een lijstje op te stellen van wachtwoorden die niet mogen, en valt dit lijstje dan ook af te dwingen?

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

woensdag 18 maart 2009 12:08

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Outerspace schreef op woensdag 18 maart 2009 @ 12:01:
[...]
Dan komt het niet meer overeen met zijn vraag:

Misschien is het wel niet de juiste vraag om het doel te bereiken

TS wil bereiken dat medewerkers niet meer de "standaard" wachtwoorden gebruiken, en dat is op die manier te regelen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 18 maart 2009 12:14

Acties:

_Arthur

blub

Question Mark schreef op woensdag 18 maart 2009 @ 11:59:
Waarom stel je niet gewoon in dat het password om de x dagen gewijzigd moet worden en dat deze niet gelijk mag zijn aan de x voorgaande?

Probleem is dat men dan de wachtwoord op post-it's gaan schrijven en aan zijn/haar monitor hangen.

Het instellen van een history van van bv 50+ wachtwoorden is zeker een optie. Dan dient men creatief te zijn. Echter om de x-aantal dagen een password verplicht laten wijzigen lijkt me niet handig. Eens om de 3 a 4 maanden wordt door een gebruiker doorgaans nog geaccepteerd zonder dat men het op gaat schrijven.

woensdag 18 maart 2009 12:14

Acties:

TheLunatic

Ouwe boxen.

Question Mark schreef op woensdag 18 maart 2009 @ 12:08:
[...]
Misschien is het wel niet de juiste vraag om het doel te bereiken

TS wil bereiken dat medewerkers niet meer de "standaard" wachtwoorden gebruiken, en dat is op die manier te regelen.

Wachtwoorden uitschakelen is ook een manier om dat te regelen. You do the math.

Mother, will they like this song?

woensdag 18 maart 2009 12:15

Acties:

Paul

Topicstarter

Dat staat aan.

Dat verhindert mensen echter niet om nog steeds Bedrijf1, Bedrijf2, Bedrijf3 etc te gebruiken.

Het maakt me totaal niet uit als mensen $naam_hond1, $naam_hond2 etc gebruiken, alleen specifiek (o.a.) de naam van het bedrijf is dus taboe

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 18 maart 2009 12:20

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

_Arthur schreef op woensdag 18 maart 2009 @ 12:14:
[...]
Probleem is dat men dan de wachtwoord op post-it's gaan schrijven en aan zijn/haar monitor hangen.

Klopt, er zal een keuze/mix gemaakt moeten worden tussen security en gebruikersvriendelijkheid.

Afgezien van technische oplossingen zullen gebruikers bewust moeten worden van de risico's die men loopt door "accountsharing" en het gebruik van simpele wachtwoorden.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 18 maart 2009 12:33

Acties:

Verwijderd

Afschuwelijk, weer zo'n systeem met een password met minimaal 64 tekens, hoofd, kleine letters, 7 special characters en 8 cijfers. Volkomen onnodig en volkomen onwerkbaar. Als ik in zo'n systeem terecht kom, schrijf ik het password meteen op, dus veiligheid ?
Een kort en eenvoudig password is zeker niet minder veilig dan een z.g. sterk password, mits je het aantal retry's beperkt. wil je de gebruiker te vriend houden (lees: voorkomen dat de post-it's op alle schermen zitten) doe ze dan zo'n 'moelijk' password niet aan.

woensdag 18 maart 2009 13:22

Acties:

Paul

Topicstarter

Alex, heb je ook nog een onderbouwing voor die rant?

Enige eisen zijn dat het 8 karakters lang moet zijn en 3 van de 4 groepen (hoofletters, kleine letters, cijfers en speciale tekens) moet bevatten (oftewel, de default domain policy van Microsoft zoals deze me bij 80% van alle bedrijven lijkt te gelden).
Ik ben hier de held van de dag als ik een venstertje maximaliseer en deze mensen lukt het nog meteen de eerste keer om een goed wachtwoord te verzinnen _en_ te onthouden

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 18 maart 2009 15:13

Acties:

alt-92

ye olde farte

_Arthur schreef op woensdag 18 maart 2009 @ 12:14:
Eens om de 3 a 4 maanden wordt door een gebruiker doorgaans nog geaccepteerd zonder dat men het op gaat schrijven.

Kom bij ons, kan je je lol op.

Of je het nou leuk vind of niet, er zijn bedrijven en bedrijfstakken waar een 30 dagen, 24 last pw history en complexity regels doodnormaal zijn hoor.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 18 maart 2009 15:52

Acties:

_Arthur

blub

alt-92 schreef op woensdag 18 maart 2009 @ 15:13:
Kom bij ons, kan je je lol op.

_{Als er wat leuks te doen is, waarom niet}

Of je het nou leuk vind of niet, er zijn bedrijven en bedrijfstakken waar een 30 dagen, 24 last pw history en complexity regels doodnormaal zijn hoor.

Probleem is dat door het verhogen van je beveiliging niet perse de veiligheid hoger wordt. Maar ik denk dat we nu teveel offtopic gaan ;-)

woensdag 18 maart 2009 18:08

Acties:

maartena

Question Mark schreef op woensdag 18 maart 2009 @ 11:59:
Waarom stel je niet gewoon in dat het password om de x dagen gewijzigd moet worden en dat deze niet gelijk mag zijn aan de x voorgaande?

Dat voorkomt niet dat mensen het wachtwoord "Bedrijfsnaam1" gebruiken, en na 90 dagen overgaan op "Bedrijfsnaam2", enz. Standaard onthoud ie 24 wachtwoorden, maar dat weerhoud mensen er niet van om hetzelfde wachtwoord slechts een beetje te veranderen.

Wat de TS wil is een lijstje met met woorden die sowieso niet in een wachtwoord mogen voorkomen.

alt-92 schreef op woensdag 18 maart 2009 @ 15:13:
Of je het nou leuk vind of niet, er zijn bedrijven en bedrijfstakken waar een 30 dagen, 24 last pw history en complexity regels doodnormaal zijn hoor.

Ik werk voor een bedrijf waar we ons moeten houden aan bepaalde beveiligings standaarden. (SAS 70 Certification), en bij ons is het dus 90 dagen, complex passwords required, minimaal 8 characters, laatste 24 passwords.

[ Voor 28% gewijzigd door maartena op 18-03-2009 18:11 ]

"I reject your reality and substitute my own!"
Proud to be an American.
Hier woon ik

donderdag 19 maart 2009 10:08

Acties:

chratnox

maartena schreef op woensdag 18 maart 2009 @ 18:08:
[...]

Dat voorkomt niet dat mensen het wachtwoord "Bedrijfsnaam1" gebruiken, en na 90 dagen overgaan op "Bedrijfsnaam2", enz. Standaard onthoud ie 24 wachtwoorden, maar dat weerhoud mensen er niet van om hetzelfde wachtwoord slechts een beetje te veranderen.

Wat de TS wil is een lijstje met met woorden die sowieso niet in een wachtwoord mogen voorkomen.

[...]

Ik werk voor een bedrijf waar we ons moeten houden aan bepaalde beveiligings standaarden. (SAS 70 Certification), en bij ons is het dus 90 dagen, complex passwords required, minimaal 8 characters, laatste 24 passwords.

SAS70 is toch gewoon om te controleren of de gemaakte afspraken daadwerkelijk uitgevoerd worden? Er is voor zover ik weet geen "SAS70 standaard" namelijk. Anyway, het beste lijkt mij toch een scriptje/tooltje die het gemaakte wachtwoord controleren kan, volgens mij zit zoiets niet in W2k3.