Hallo, ich hab Windows 2008 Server frisch installiert. Ich kann ein Kennwort eingeben, es funzt gar nix, ob eine Mischung aus Zahlen und Buchstaben oder nur Zahlen, lange ist das Kennwort auch.
Server 2008: Kennwortproblem
-
Toastbrot -
12. April 2009 um 13:40
-
-
- das Passwort muss mindestens 6 Zeichen lang sein
- das Passwort muss Klein und Großbuchstaben enthalten
- das Passwort muss Ziffern enthalten
- das Passwort muss Sonderzeichen enthalten
Sind die Kriterien. Mindestens drei müssen erfüllt sein.Also "az2ay5va80" zählt z.B. nicht, weil nur Kleinbuchstaben.
-
find sowas lästig da muss man statt karati K4r/\t! schreiben
-
Mach doch eine automatische Anmeldung.
-
Ah, jetzt funktionierts, danke.
Ich weiß, ich hätte bei MS nachschauen können.
-
Zitat von chiaki
find sowas lästig da muss man statt karati K4r/\t! schreiben
Zitat von Blue-FoxMach doch eine automatische Anmeldung.
Wie auf Bild Nr. 3 steht: Die Passwortsicherheit kann man über die Gruppenrichtllinien abschalten. Dann akzeptiert der auch 12345 als Passwort.
-
und ich habe in meinen praktikum schon so schlechte passwörter gesehen. einaml wars 0815, für nen server!!
-
Vereinfachen solche vermeintlichen Hilfen bei der Passwortsicherheit nicht BruteForce Attacken?
-
teils teils
-
Tja, Server 2003 hat noch vor nen schwachen Kennwort gewarnt, Server 2008 zwingt dich zu einen sicheren Kennwort. Ist wie mit den signierten Treibern, was bei x86 noch freiwillig war, ist bei nen 64bit Windows pflicht. Beides ist ja zum Glück abschaltbar.
-
Zitat von YAL
Vereinfachen solche vermeintlichen Hilfen bei der Passwortsicherheit nicht BruteForce Attacken?
Passwortrichtlinien sind dazu da, dass User Passwörter wählen, welche sicher, sprich nicht einfach mit BruteForce zu knacken sind. Dieselben Passwörter lassen sich aber schwerer merken, womit sie bei dem typischen DAU auf einem Post-IT unter der Tastatur oder am Bildschirm landen. Womit der Sicherheitseffekt von Passwortrichtlinien in Frage gestellt ist.
-
Eigentlich war das anders gemeint.
Denn wenn man weiß, dass das PW z.B. Zahlen, Sonderzeichen, Groß- und Kleinbuchstaben beinhalten muss, kann man Passwörter, die diese Kriterien nicht erfüllen überspringen -> Bruteforce ist schneller.
Oder ist da ein Denkfehler? -
Zitat von YAL
Eigentlich war das anders gemeint.
Denn wenn man weiß, dass das PW z.B. Zahlen, Sonderzeichen, Groß- und Kleinbuchstaben beinhalten muss, kann man Passwörter, die diese Kriterien nicht erfüllen überspringen -> Bruteforce ist schneller.
Oder ist da ein Denkfehler?naja, aber woher willst du denn genau wissen, welche firma jetzt die richtlinien aktiviert hat, welche besondere richtlinien hat oder welche sie komplett deaktiviert hat. das weiß man ja zu 99,9999% nicht vorher. und je mehr zeichen ein kennwort hat, umso länger dauert nunmal bruteforce.
-
Selbst wenn die Richtlinien aktiviert sind... was soll das vereinfachen?
Die Passwörter, die diese Richtlinien nicht erfüllen, sind via Brute-Force am einfachsten zu generieren (drum sind sie ja verboten), der Vorteil beim Auslassen schwacher Passwörter ist also minimal.
Zudem: Es müssen nur drei der fünf Kriterien erfüllt sein. Du kannst also im Grunde keines der Kriterien auslassen, weil du ja nicht weisst, welche drei jetzt zum Einsatz gekommen sind und welche nicht (z.B. ein Passwort mit 5 Zeichen, dafür aber mit Zahlen, Sonderzeichen und Gross- und Kleinschreibung).
-
ich glaube die summe der möglichen passwörter mit erweiterten zeichen ist sogar abzüglich der reinen simpelmöglichkeiten größer als, es die summe der simpelmöglichkeiten wäre.
vor allem wird bruteforce wahrscheinlich langsamer werden, da wörterbuchattacken wegfallen. -
Dann war meine Theorie wohl doch falsch
Jetzt mitmachen!
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!