none
Komplexitätsvoraussetzungen von Passwörtern RRS feed

  • Frage

  • Hallo zusammen,

    wir nutzen Komplexitätsvoraussetzungen in unserem 2008er AD, dabei ist mir neulich aufgefallen dass Kennwörter wie z.B. nnn!!!000 nicht angenommen werden. Warum? So wie ich das sehe werden hier doch alle Vorraussetzungen erfüllt.

    Gruss nicx...

    Montag, 19. Juli 2010 08:06

Alle Antworten

  • Am 19.07.2010 schrieb nicx76:
    Hi,

    wir nutzen Komplexitätsvoraussetzungen in unserem 2008er AD, dabei ist mir neulich aufgefallen dass Kennwörter wie z.B. nnn!!!000 nicht angenommen werden. Warum? So wie ich das sehe werden hier doch alle Vorraussetzungen erfüllt.

    Vielleicht ist es ja zu kurz. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Montag, 19. Juli 2010 08:17
  • die Vorgabe ist 8 Zeichen, also nein :)

    Gruss, nicx...

    Montag, 19. Juli 2010 09:26
  • Am 19.07.2010 schrieb nicx76:

    die Vorgabe ist 8 Zeichen, also nein :)

    Gruss, nicx...

    Funktionieren denn andere Kennworte, die der Komplexität entsprechen? Der
    User mit dem du das testet heißt auch nicht nnn oder 000 oder so?

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    Montag, 19. Juli 2010 09:48
  • Moin,

    wenn ich nicht ganz falsch liege, sind dreifache Wiederholungen eines Zeichens nicht zulässig. Versuch es mal mit abc123!

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Montag, 19. Juli 2010 10:27
  • Servus,

    > wenn ich nicht ganz falsch liege, sind dreifache Wiederholungen eines Zeichens nicht zulässig.

    doch, ist es. Denn "Komplex" bedeutet:

    1. Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
    2. Das Kennwort muss mindestens sechs Zeichen lang sein.
    3. Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:

    - Großbuchstaben (A bis Z)
    - Kleinbuchstaben (a bis z)
    - Zahlen zur Basis 10 (0 bis 9)
    - Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)

     

    Das Kennwort des OPs entspricht der Komplexitätsanforderung. Daher ist es eine andere Einstelllung, warum es nicht funktioniert.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 19. Juli 2010 11:07
    Moderator
  • > wenn ich nicht ganz falsch liege, sind dreifache Wiederholungen eines Zeichens nicht zulässig.

    doch, ist es.

     ja, habe ich mittlerweile auch gemerkt ... ich widerrufe also. ;)

    Gruß, Nils


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Montag, 19. Juli 2010 11:27
  • Am 19.07.2010 schrieb Nils Kaczenski [MVP]:
    Hi,

    Da fehlen allerdings noch die Einschränkungen des Benutzernamens: Es darf kein Teil von 3 oder mehr aufeinanderfolgenden Zeichen des Benutzernamens im Kennwort vorkommen.

    Auf die Antwort warte ich ja noch. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Montag, 19. Juli 2010 11:28
  • > ... ich widerrufe also. ;)

    So ists brav. ;-)

    > Da fehlen allerdings noch die Einschränkungen des Benutzernamens

    Na na... bitte den ersten Aufzählungspunkt nochmals lesen.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 19. Juli 2010 11:30
    Moderator
  • Am 19.07.2010 schrieb Yusuf Dikmenoglu [MVP]:
    Hi,

    Na na... bitte den ersten Aufzählungspunkt nochmals lesen.

    Du meinst

    1. Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.

    ;)

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    Montag, 19. Juli 2010 11:38
  • Huhuu,

    > Du meinst

    ja mein bub, genau den meine ich. Und das mit den zwei Zeichen ist trotzdem korrekt. ;-Þ

    http://technet.microsoft.com/de-de/library/dd443749.aspx


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 19. Juli 2010 11:45
    Moderator
  • Moin,

    erstens ist "drei oder mehr" identisch mit "mehr als zwei" (denn nicht-ganze Zeichen kann man nicht angeben), zweitens habe ich meinen Irrtum bemerkt und den Artikel korrigiert. Dass ihr gleich drauf anspringt, hab ich mir zwar gedacht, ist aber nicht mein Fehler. ;)

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Montag, 19. Juli 2010 11:55
  • Am 19.07.2010 schrieb Nils Kaczenski [MVP]:

    Hi ihr drei lustigen Zwei,

    http://technet.microsoft.com/en-us/library/cc786468(WS.10).aspx
    sagt aber definitiv was anderes. ;)

    Password must meet complexity requirements
    Description
    This security setting determines whether passwords must meet complexity requirements.

    If this policy is enabled, passwords must meet the following minimum requirements when they are changed or created:

    Not contain the user's entire Account Name or entire Full Name. The Account Name and Full Name are parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. If any of these delimiters are found, the Account Name or Full Name are split and all sections are verified not to be included in the password. There is no check for any character or any three characters in succession.

    ;)
    Wer hat jetzt Recht?

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Montag, 19. Juli 2010 12:06
  • Mist, jetzt muß ich das Webinterface benutzen. ;)

    Die Wiederholung war zumindest als ich diesen Artikel schrieb definitiv kein Problem:

    http://www.gruppenrichtlinien.de/Software/7.Altus_Passfiltpro.htm

    Das war definitiv ein Feature, was bei PassfiltPro beworben wurde.


    Bye

    Norbert

    Montag, 19. Juli 2010 12:12
  • > erstens ist "drei oder mehr" identisch mit "mehr als zwei"

    Ich hab nichts gegenteiliges behauptet oder ist dieses Zitat an Norbi gerichtet?

    > zweitens habe ich meinen Irrtum bemerkt und den Artikel korrigiert.

    Jahaa, dass ist uns aufgefallen.

    > Dass ihr gleich drauf anspringt, hab ich mir zwar gedacht, ist aber nicht mein Fehler. ;)

    Mmuuhhaaaa... das hat eben eine besondere "Spezies Mensch" so im Blut, auf jegliche Detailabweichungen drauf zu springen. ;-D


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    • Als Antwort vorgeschlagen CSC-Schulung Montag, 12. Dezember 2016 09:07
    Montag, 19. Juli 2010 12:19
    Moderator
  • Das war definitiv ein Feature, was bei PassfiltPro beworben wurde.

    ach siehste, da hab ich das her. Dann hab ich das verwechselt.

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Montag, 19. Juli 2010 12:30
  • Am 19.07.2010 schrieb Yusuf Dikmenoglu [MVP]:

    erstens ist "drei oder mehr" identisch mit "mehr als zwei"

    Ich hab nichts gegenteiliges behauptet oder ist dieses Zitat an Norbi gerichtet?

    Es ist vollkommen egal ob mehr als 2 oder 3 Zeichen. Ein kurzer Check hat
    hier ergeben, dass ich ohne Probleme mit Nor1235! als Kennwort leben könnte.
    Ich würde auch weiterhin behaupten, dass die Wiederholung von Zeichen mehr
    als 2 oder 3mal von der Windows Kennwortkomplexität nicht ausgewertet wird.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    Montag, 19. Juli 2010 12:32
  • Am 19.07.2010 schrieb Nils Kaczenski [MVP]:
    Hi,

    Das war definitiv ein Feature, was bei PassfiltPro beworben wurde.

    ach siehste, da hab ich das her. Dann hab ich das verwechselt.

    Ich frag jetzt nicht nach der Community Version. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Montag, 19. Juli 2010 12:33
  • > Es ist vollkommen egal ob mehr als 2 oder 3 Zeichen. Ein kurzer Check hat
    > hier ergeben, dass ich ohne Probleme mit Nor1235! als Kennwort leben könnte.

    Yepp, habe ich auch gerade getestet.
    Ich habe einen Benutzer mit dem sAMAccountName "dikmenoglu" erstellt und als Kennwort "dikmenogl#2010" verwendet.
    Das funktionierte. Allerdings funktionierte das Kennwort "dikmenoglu#2010" nicht. Also eine Überprüfung findet statt. Es dürfen nicht mehr als neun Zeichen identisch mit dem Kontonamen sein.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 19. Juli 2010 12:48
    Moderator
  • Am 19.07.2010 schrieb Yusuf Dikmenoglu [MVP]:

    Ich habe einen Benutzer mit dem sAMAccountName "dikmenoglu" erstellt und als Kennwort "dikmenogl#2010" verwendet.
    Das funktionierte. Allerdings funktionierte das Kennwort "dikmenoglu#2010" nicht. Also eine Überprüfung findet statt. Es dürfen nicht mehr als neun Zeichen identisch mit dem Kontonamen sein.

    Grins, deine Schlußfolgerung ist lustig, aber falsch. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Montag, 19. Juli 2010 12:51
  • > deine Schlußfolgerung ist lustig, aber falsch. ;)

    Warum lustig und warum falsch?


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 19. Juli 2010 13:10
    Moderator
  • Am 19.07.2010 schrieb Yusuf Dikmenoglu [MVP]:

    deine Schlußfolgerung ist lustig, aber falsch. ;)

    Warum lustig und warum falsch?

    Lustig weil falsch. Falsch weil dikmenogl nicht dein Anmeldename ist und
    deswegen funktioniert und nicht weil er weniger als 9 Zeichen des
    Anmeldenamens beinhaltet. Falsch weil dikmenoglu#2010 deinen kompletten
    Anmeldenamen beinhaltet und nicht weil er mehr als 9 Zeichen deines
    Anmeldenamens beinhaltet.

    Wenn du es jetzt immer noch nicht glaubst, dann nenne deinen Anmeldenamen
    mal dikmenogluY und nimmt dikmenoglu#2010 als Kennwort. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Montag, 19. Juli 2010 13:14
  • > Wenn du es jetzt immer noch nicht glaubst

    Jajaa... dir glaube ich doch neben dem Pfarrer alles. ;-)
    Da scheinbar heute überall der Kennwort-Policy Wahn ausgebrochen ist, sieht man manchmal den Wald vor lauter Bäumen nicht mehr.
    Ich vergaß zwischenzeitlich bei dem heißen Wetter was ich selbst geschrieben hatte, denn in meiner ersten Antwort steht es ja auch eindeutig geschrieben:

    > 1. Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten,
    > die nacheinander im vollständigen Namen des Benutzers vorkommen.

    Komplett heißt nunmal auch *komplett*.
    Mensch Norbert, wie oft soll ich dir das denn noch schreiben. ;-D


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 19. Juli 2010 13:34
    Moderator