Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Useraccount vergrendeld na veranderen AD password

Pagina: 1
Acties:

woensdag 8 januari 2014 12:28

Acties:
  • makkie88
  • Registratie: Juni 2007
  • Laatst online: 26-11 15:07

makkie88

Topicstarter
Jullie kennen het probleem misschien wel. Als een gebruiker zijn AD wachtwoord heeft moeten wijzigen op zijn Domain inlog.. moet dit ook gebeuren in de apparaten waarop Exchange gekoppeld zit.. en aangezien gebruikers steeds meer devices hebben.. komen er steeds vaker vragen over

Nu geeft dit bij ons nogal wat problemen.. De situatie is alsvolgd:
Gebruiker heeft 3 apparaten
-Telefoon (WP8 of Iphone) (exchange)
-Tablet (W8 of Ipad) (exchange)
-PDA (WM 6) (VPN)

Gebruiker logt in op computer (Of Citrix op tablet) en de gebruiker moet zijn wachtwoord wijzigen (beveiligings policy)
daarna vergendeld zijn account (locked out). de reden hiervoor is vrij duidelijk: zijn telefoon en zijn tablet proberen via exchange te syncen met de email.. omdat het wachtwoord niet klopt blokkeert deze na 3x proberen.

Het gekke is dat de email programma's niet altijd een popup geven waarin het juiste wachtwoord gezet moet worden..

Het is dus noodzakelijk voor de gebruiker om evt uit te loggen van citrix het wachtwoord in de Email app aan te passen+ het wachtwoord van de emailapp in de telefoon aan te passen Voor deze wordt vergrendeld!
Het synchroniseren van de pda gebeurd *gelukkig* handmatig... maar ook hier moet het wachtwoord in aangepast worden

Herkend iemand deze problemen?.. en eigenlijk nog belangrijker.. heeft iemand tips om van dit probleem af te komen??

[ Voor 3% gewijzigd door makkie88 op 08-01-2014 12:34 ]

woensdag 8 januari 2014 17:48

Acties:
  • akimosan
  • Registratie: Augustus 2003
  • Niet online

akimosan

1) Langere geldigheid van (meer complexe) wachtwoorden.

Ipv een relatief kort simpel wachtwoord pas je password policy bijvoorbeeld eens aan naar een complexer wachtwoord van tenminste 12 tekens. Ipv van elke 3 maanden wijzigen zet je het dan naar 1x per jaar. Als het wachtwoord maar complex genoeg is, heeft bruteforcen geen zin. Doordat gebruikers minder vaak hun wachtwoord hoeven wijzigen lopen ze ook minder vaak tegen problemen aan.

2) Maak een duidelijke instructie over hoe mensen het beste hun wachtwoord kunnen wijzigen. Als mensen bijvoorbeeld inloggen op een desktop met hun AD account en vervolgens nog een keer in Citrix met hetzelfde AD account is het beter om eerst van Citrix af te melden en dan het wachtwoord te wijzigen op hun desktop ( en vervolgens juist het wachtwoord in te stellen op al hun mobiele devices.

3) Zorg ervoor dat gebruiker eerder worden gewaarschuwd dat het wachtwoord gewijzigd moet worden (tenminste 14 dagen)

Dan kunnen ze rustig een moment uitkiezen waarbij ze de juiste instructies nog eens goed doorlezen en eventueel contact opnemen met de servicedesk in plaats van vrijdagmiddag vlak voor de borrel nog even gauw een wachtwoord kiezen en het maandagochtend al weer vergeten zijn.

woensdag 8 januari 2014 21:11

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

akimosan schreef op woensdag 08 januari 2014 @ 17:48:
Ipv een relatief kort simpel wachtwoord pas je password policy bijvoorbeeld eens aan naar een complexer wachtwoord van tenminste 12 tekens.
Complexe lange wachtwoorden leveren in de praktijk op dat mensen memobriefjes met hun moeilijke wachtwoord op hun monitor gaan plakken. ;)

Een beetje gechargeerd, maar het is helaas vaak wel werkelijkheid... Punten 2 en 3 ben ik het overigens roerend mee eens.

Wel een intressante issue waar de TS meekomt. Ik ben benieuwd hoe andere organisaties hier mee omgaan.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 8 januari 2014 21:17

Acties:
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

HorseBatteryStapleCorrect (xkcd)

Wat je accounts betreft, is er geen OAuth of Device-based auth mogelijk? Dan kan je een apparaat met een apparaat-gebonden wachtwoord aanmelden, zodat je dat wachtwoord niet hoeft te veranderen.

woensdag 8 januari 2014 23:22

Acties:
  • akimosan
  • Registratie: Augustus 2003
  • Niet online

akimosan

Question Mark schreef op woensdag 08 januari 2014 @ 21:11:
[...]

Complexe lange wachtwoorden leveren in de praktijk op dat mensen memobriefjes met hun moeilijke wachtwoord op hun monitor gaan plakken. ;)
Als je mensen een beetje langer erover na laat denken en inderdaad iets met een wachtwoord zin gebruikt kunnen mensen ook best een heel lang wachtwoord onthouden. Bovendien mogen ze het een jaar gebruiken, dus je hebt de tijd om eraan te wennen.

Briefjes op monitoren, ezelsbruggetjes, versimpelingen (DitIsMijnWachtwoordV@n2014), tja.. Je kunt er allemaal niet zo heel veel tegen doen. Uiteindelijk blijft de gebruiker de zwakste schakel.

"There is no cure for stupidity"

Wat betreft oauth, certificate based authentication en andere identity management systemen. Zeker heel mooi om over na te denken maar een flinke uitdaging om te implementeren.

En je applicatie moet het maar ondersteunen

donderdag 9 januari 2014 09:06

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

akimosan schreef op woensdag 08 januari 2014 @ 23:22:
[...]
Als je mensen een beetje langer erover na laat denken en inderdaad iets met een wachtwoord zin gebruikt kunnen mensen ook best een heel lang wachtwoord onthouden. Bovendien mogen ze het een jaar gebruiken, dus je hebt de tijd om eraan te wennen.
Klopt, het is inderdaad ook een kwestie van goed instrueren en ondersteunen van de eindgebruikers. en het heeft een stuk met bedrijfscultuur te maken. Je zult een tussenweg moeten vinden tussen complexiteit en gebruikersgemak. En wachtwoord als "@#$SADFA@12hjhl)(" moeten gebruiken om elke keer na vijf minuten je telefoon te ontgrendelen gaat niet echt gewaardeerd worden door eindgebruikers.

Overigens heb ik wel eens de Citrix password manager geimplementeerd bij een organisatie. Via single sign on via je Windows credentials wordt een gebruiker geauthenticeerd op de password manager tool, en deze tool logt de gebruiker vervolgens aan op elke business applicatie waar seperaat op aangelogged moet worden (het gebruikersnaam/wachtwoord veld wordt dan automatisch voor de gebruiker ingevuld). En dan zijn supercomplexe wachtwoorden ineens geen probleem meer op deze business applicaties, die info wordt toch automatisch voor de eindgebruiker ingevuld.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 9 januari 2014 10:25

Acties:
  • makkie88
  • Registratie: Juni 2007
  • Laatst online: 26-11 15:07

makkie88

Topicstarter
Bedankt voor het meedenken en jullie reacties, het geeft me iig alweer een stuk om over na te denken!
My thoughts:

Betreft de 14 dagen van te voren een melding: dat doen we al. maar dit geeft alleen maar irritaties merken we, iedereen wacht toch tot het aller laatste moment met veranderen (als ze dan al niet te laat zijn)

Duidelijkere instructies schrijven is een goed idee! er is een simpele instructie.. maar deze kan wel eens niet duidelijk genoeg zijn. ik zou er bijvoorbeeld in kunnen zetten dat na veranderen de passwords DIRECT aangepast moeten worden.. (en dan hopen dat ze alsnog niet te laat zijn..)
Het is mij overigens zelf ook nog niet 100% duidelijk na hoeveel tijd het blokkeert, en welke triggers er voor nodig zijn.. hierin kan ik en ga ik zeker nog een beter onderzoek naar doen.

Het langer laten wachten voor veranderen is wel een idee... Dit lost uiteindelijk het probleem niet op, maar is een uitstel. En dit word natuurlijk vanaf hogeraf bepaald.
het veranderen van de moeilijkheidsgraad heeft ook geen baat, de accounts worden al geblokkeerd voordat de gebruikers gepoogd hebben een wachtwoord in te vullen.

Gebruikers loggen overigens nooit tegelijk op de PC en op citrix in, daarin gaat het blokkeren van het account niet fout :-)

Het inloggen van Apps gaat ook binnen de citrix niet fout, het gaat puur om losse devices :-)

Ik ga mij verder inlezen over Device-based authentication.
Ik denk dat voor ons daar een slag geslagen kan worden.

donderdag 9 januari 2014 11:20

Acties:
  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 12:14

Killah_Priest

Je zou ook je password lockout policy aan kunnen passen door bijvoorbeeld na 5 mislukte pogingen de boel voor 5 seconden te blokkeren ; zelfs een lockout duration van 2 seconde is in de meeste gevallen al voldoende om bruteforcen nogal zinloos te maken (dan kunnen ze hooguit 30x5 passwords per minuut proberen met bruteforce wat het vaak al zinloos maakt icm passwords welke lang genoeg zijn)

donderdag 9 januari 2014 11:27

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 16:37

sh4d0wman

Attack | Exploit | Pwn

Question Mark schreef op donderdag 09 januari 2014 @ 09:06:
[...]
Deze tool logt de gebruiker vervolgens aan op elke business applicatie waar seperaat op aangelogged moet worden. En dan zijn supercomplexe wachtwoorden ineens geen probleem meer op deze business applicaties, die info wordt toch automatisch voor de eindgebruiker ingevuld.
Tot je een legacy systeem tegenkomt wat niet met bepaalde speciale tekens overweg kan. Been there, done that, OS/400 Client Access terminal sessie. Overigens al weer bijna 5 jaar geleden dus ik hoop dat dit inmiddels verbeterd is ;) Advies: goed testen wanneer je met SSO aan de slag gaat.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 10 januari 2014 04:35

Acties:
  • clogie886
  • Registratie: Juli 2005
  • Laatst online: 19-10 04:31

clogie886

Waarom niet eerst op twee apparaten uitloggen, daarna paswoord wijzigen en vervolgens weer aanloggen op de apparaten waar je zojuist hebt uitgelogd. Misschien even wat werk maar ja, dat is dan maar zo....

De overheid is niet de oplossing maar de oorzaak van veel problemen.

vrijdag 10 januari 2014 15:58

Acties:
  • stuffer
  • Registratie: Juli 2009
  • Laatst online: 29-11 10:54

stuffer

Ondertietel

clogie886 schreef op vrijdag 10 januari 2014 @ 04:35:
Waarom niet eerst op twee apparaten uitloggen, daarna paswoord wijzigen en vervolgens weer aanloggen op de apparaten waar je zojuist hebt uitgelogd. Misschien even wat werk maar ja, dat is dan maar zo....
Wordt vaak als "lastig" gezienhier bij mij.

Password moet op pc vernieuwd worden. Telefoon dus ook maar iPad ligt nog thuis die ook connect met bv Exchange.... }:O

Schaamteloze verkoop van:
http://tweakers.net/aanbod/user/311422/
*** NIKS ***

zaterdag 11 januari 2014 10:33

Acties:
  • clogie886
  • Registratie: Juli 2005
  • Laatst online: 19-10 04:31

clogie886

We kunnen er lang over praten maar het kan gewoon niet anders volgens mij, het is of het een of het ander...

De overheid is niet de oplossing maar de oorzaak van veel problemen.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq