Windows login logoff mit programm

[t0c4]

Außerdem ist der Beitrag schon 5 Jahre alt.

Stimmt

Ist mir bei der Liste der ungelesenen aber ziemlich weit oben angezeigt worden ???
Und nein, ich hatte nicht alles der letzten 5 Jahre gelesen

[t0c4]

Meiner Meinung nach macht es keinen Sinn, einen RFID Transponder an ein Lesegerät eines Rechners zu halten und danach Zugriff auf ein Benutzerkonto zu erhalten.
Was ist daran sicher?
Dies wäre ungefähr so sicher, wie ein Schild über einem Rechner, welcher automatisch in ein Benutzerkonto bootet, wo draufsteht: "Arbeiten an diesem PC nur für Berechtigte!"

An vielen Türen steht "Zutritt nur für Berechtigte" oder "Staff only" usw. Du steckst einen Schlüssel ins Schloß - muß nicht mal ein Transponder sein, ein ganz normaler einfacher Schlüssel - und schwups ist die Tür auf. Wieso soll das unsicher sein? Handhabt die ganze Welt so.

Wenn du in die Betriebskantine gehst und mit deinem Mitarbeiterausweis bezahlst - also einfach nur dieses Plastikkärtchen an einen Leser ranhälst - wird Geld von deinem Konto abgebucht (bzw. beim nächsten Lohn entspr. weniger an dich überwiesen).

Ich verstehe den Einwand nicht, denke da anders. Für mich macht es absolut Sinn.

Beispiel:

Ich habe Useraccounts, die haben solcherart Passwörter:
Q8y{*W#6pW+7H.^#FG"b=<}gjtX}NU6DU;Q~L@}Jhp5Zr92qBpeHMBdzQzhb
PS.: Kein Witz. Das ist echt so.
Versuche das mal zu knacken; oder einen brute force, etc.
Eintippen will das aber niemand. Von "merken" können ganz zu schweigen
Mit dem USBLogon von oben ist das aber ein Kinderspiel. Den Stick für den betreffenden User hergerichtet und mit eingerichtet, daß zum Stick auch eine PIN erforderlich ist. Das wars. Der/die betreffende/n User steckt den Stick ein, gibt die PIN ein und hat trotzdem dieses sehr sichere Passwort.

Konkreter Anwendungsfall: Die Entwickler sollen nicht mit Adminrechten arbeiten. Brauchen die zu 99,9999999% der Zeit nicht. Die bekommen Mails, suchen nach Infos im Netz, etc. Dh. können sich wie jeder "normale Sachbearbeiter" einen Virus einfangen. Die sollen aber trotzdem in der Lage sich bspw. Software installieren zu können. In solch einem Fall gehen sie zum Entwicklungsleiter, der geht an den Tresor, holt den Stick und gibt ihn dem Entwickler. Der Entwickler kann weiterhin alles machen, wird nicht durch die "Paranoia-Admins" behindert; hat aber im Falle Bedarfs höherer Rechte einen Useraccount zur Verfügung der sehr einfach zu nutzen aber trotzdem sehr sicher ist.

Konkreter Anwendungsfall: Die Passwortrichtiline im AD soll auf 12 erhöht werden und endlich die Checkbox bei Komplexität gesetzt werden. Mit so etwas löst man einen Shitstorm aus, als hätte man den Weltuntergang eingeleitet. Und am lautesten sind die Nutzer, denen man schon so oft gesagt hat, daß 123 als Passwort einfach nicht geht, sie zwingt endlich ein besseres Passwort zu wählen, nur um einen Monat später zu sehen, daß sie sich mit 963 anmelden (ist so leicht am Zahlenblock einzutippen). Völlig irre. Mit der obigen Lösung stellt man die Passwortrichtline auf min. 50 Zeichen und keinen störts: merken müssen sie sich ja nur die 4 oder 6-stellige PIN.

Grüße

[six1]

Tja, ich muss dir sagen, dass wir mit unseren Sicherheitsvorschriften schon etwas weiter sind im Betrieb.
Bildschirmsperre nach 3 Minuten.
Bei Abwesenheit des User und ungesperrtem Rechner -> Verstoß Dienstanweisung
Teilweise Anmeldung mit Handvenenscanner
Kryptierte Platten mit 180 Tagen Umcodierung
14 Tage Passwortwechsel, keine identischen usw.
und vieles mehr.

Eine einfache RFID Karte dran halten ist für mein Verständnis unverantwortlich (in sicherheitsrelevanten Bereichen und Netzwerk-Einbrüchen)
(so war das vom Thread Ersteller dargestellt worden...)

[Winni]

Tja, ich muss dir sagen, dass wir mit unseren Sicherheitsvorschriften schon etwas weiter sind im Betrieb.
Bildschirmsperre nach 3 Minuten.
Bei Abwesenheit des User und ungesperrtem Rechner -> Verstoß Dienstanweisung
Teilweise Anmeldung mit Handvenenscanner
Kryptierte Platten mit 180 Tagen Umcodierung
14 Tage Passwortwechsel, keine identischen usw.
und vieles mehr.

Eine einfache RFID Karte dran halten ist für mein Verständnis unverantwortlich (in sicherheitsrelevanten Bereichen und Netzwerk-Einbrüchen)
(so war das vom Thread Ersteller dargestellt worden...)

Hi!

Jo, alles von den Militärs übernommen.
Hatten sie Ende der 70er schon auf US-UBooten. Halt mit damaliger Technik.
Falsches Passwort zum Ersten: 1 Minuten Sperre
Falsches Passwort zum Zweiten: 2 Minuten Sperre
Falsches Passwort zum Dritten: 4 Minuten Sperre
......
Beim 7. falschen Passwort bist Du schon bei 64 Minuten.
Da muss man nix weiter blocken.

Winni

PS.: Zettel mit Passwort liegt in 20% aller Fälle unter der Tastatur

[t0c4]

Daß ihr euch so drüber amüsieren könnt, zeigt nur, daß ihr noch nicht betroffen wart. Was eigentlich gut ist. Freut mich für euch. Toi toi toi. Möge es weiter so bleiben.

Falls aber jemand ebenfalls an dem Thema interessiert ist ... Ich habs, wie geschrieben, immer laufend im Hinterkopf. So eine schöne Lösung und den Credential Provider als Open Source - falls jemand da mal was macht: bitte immer her mit den Infos wo man was an offenem Code sich mal ansehen kann. Danke.

[six1]

PS.: Zettel mit Passwort liegt in 20% aller Fälle unter der Tastatur

Jup... und bei weiteren 15% hängt ein Zettel am Monitor, worauf das PW steht.

[NoCee]

eine Spedition bei dem zigtausend Paletten von uns stehen
hatte vor kurzem so ein Problem.
Erst nach einer Woche bekamen wir wieder Palette geliefert.
Unsere Produktion mußte zum Teil runtergefahren werden obwohl wir
liefertechnisch im Rückstand waren.
Das Thema sollte man absolut nicht unterschätzen.

Aber man kann das auch so sicher machen das man auch nicht mehr
arbeiten kann. Vor geraumer Zeit wurde das automatische PC sperren
bei uns eingeführt. Aber konsequent überall. Ein Visualisierungs PC einer Maschine
mit einem riesigen Bildschirm an der Wand auf den man nur schaut und nur im
Störungsfall mit Maus/Tastatur arbeitet hat sich nach 15 Minuten gesperrt.
Der Mitarbeiter im Büro mußte alle 10 Minuten von seinem Arbeitsplatz aufstehen, zum PC gehen, die Maus schütteln
und seine Arbeit wieder fortsetzen. Damit da kurzfristig Abhilfe geschaffen wird hab ich da einen
Arduino als 2te Maus angestöpselt der nichts anderes macht als alle 10 Minuten die Maus nach links und
wieder zurück zu fahren. Mittlerweile hat man das eingesehen daß man ein Flugzeugkockpit während
des Fluges nicht sperren sollte.

Gruß
NoCee