[English]Interessante Geschichte: Gerade habe ich über die RaaS-Ransomware-Gruppe Akira berichtet (siehe Neues zum Cyberangriff auf Südwestfalen IT), da fällt mir ein Post auf BlueSky auf, der diese Gruppe erwähnt. Ein Opfer fragte nach einem Angriff, als es den Decryptor samt Key zum Entschlüsseln seiner Dateien bekommen habe, ob es einen "Sicherheitsreport" haben könne, der offen legt, wie man in das IT-Netzwerk eingedrungen sei. Und das Opfer hat tatsächlich einige Hinweise erhalten.
Anzeige
Es sind zwar alles bekannte Sicherheitshinweise, aber ich bereite diese hier mal kurz auf. Hier ist der Post von BlueSky mit dem Chat-Verlauf zwischen Akira und dem Opfer:
In der ersten Sequenz aus obigem Screenshot bekommt das Opfer die Anweisungen zum Entschlüsseln:
decrypt.exe —path —secret: Private key —logs — decrypt.exe —path C:\ —secret [redacted] —logs trace decrypt.exe —secret [redacted] —logs trace
Dann bedankt sich das Opfer und schreibt, dass man das Entschlüsseln nun probiere. Anschließend fragt es: "Können Sie einen Sicherheitsbericht vorlegen oder mitteilen, wie Sie hineingekommen sind und was wir besser machen müssen?"
Anzeige
Die Akira-Operatoren haben dann auch eine Reihe guter Vorschläge bereit, die eigentlich bekannt sind. Hier die Aufbereitung des Ganzen, wie Akira ins Netzwerk eindringen konnte:
- Der erste Zugang zu Ihrem Netzwerk wurde im Dark Web erworben.
- Dann wurde Kerberoasting durchgeführt und wir erhielten Hashes von Passwörtern.
- Dann haben wir diese einfach Brute-Force angesetzt und das Domain-Admin-Passwort erhalten.
Eine Erklärung zu Kerberoasting findet sich auf deutsch bei SpecOps (den Anbieter hatte ich schon mal im Blog erwähnt) oder beim Sicherheitsanbieter SentinelOne. Die Hacker verbrachten Wochen im Netzwerk des Opfers. Dabei konnten die Angreifer einige Fehler entdecken, die das Opfer unbedingt beseitigen sollte. Hier die Tipps der Akira-Operatoren:
- Keiner Ihrer Mitarbeiter sollte verdächtige E-Mails oder verdächtige Links öffnen oder Dateien herunterladen, geschweige denn auf seinem Computer ausführen.
- Verwenden Sie sichere Passwörter und ändern Sie diese so oft wie möglich (mindestens 1-2 Mal pro Monat). Passwörter sollten nicht übereinstimmen oder auf verschiedenen Ressourcen wiederholt werden.
- Installieren Sie, wo immer möglich, 2FA.
- Verwenden Sie die neuesten Versionen von Betriebssystemen, da diese weniger anfällig für Angriffe sind.
- Aktualisieren Sie alle Software-Versionen.
- Verwenden Sie Antivirenlösungen und Tools zur Überwachung des Datenverkehrs.
- Erstellen Sie einen Jump-Host (Erklärung) für Ihr VPN. Verwenden Sie dafür eindeutige Anmeldedaten, die sich von denen der Domäne unterscheiden.
- Verwenden Sie eine Backup-Software mit Cloud-Speicher, die einen Token-Schlüssel unterstützt.
- Unterrichten Sie Ihre Mitarbeiter so oft wie möglich über Online-Sicherheitsvorkehrungen. Die größte Schwachstelle ist der menschliche Faktor und die Unverantwortlichkeit Ihrer Mitarbeiter, Systemadministratoren usw.
Der Chat schließt ab mit "Wir wünschen Ihnen für die Zukunft Sicherheit, Gelassenheit und viele Vorteile. Wir danken Ihnen für die Zusammenarbeit mit uns und für Ihr umsichtiges Verhalten in Bezug auf Ihre Sicherheit. Der Nachweis über die Datenlöschung wird in Kürze erbracht werden." Vielleicht kann ja jemand von den Ratschlägen was brauchen.
Anzeige
Brute Force als gebrütet finde ich etwas abenteuerlich übersetzt. ;)
:-) bei der Geschwindigkeit in der Günter schreibt … verziehen und gelächelt.
Dies schmälert jedoch nicht die Abgebrühtheit oder Ironie des Inhalts und der Hinweise. Hier gehe ich fast komplett mit, leider reicht dies noch nicht für aktuelle Standards.
Auch würd ich Backup in "cloud storage" (eher) nicht empfehlen, ein Backup auf Band oder Platte im Tresor der GF oder Zweigniederlassung 100km weiter… das fänd ich gut.
"Thank you for working with us"
So ist es.
Bei einer Sicherung in der Cloud scheitert es doch i.d.R. schon an den Übertragungsgeschwindigkeiten und Datenmengen.
Zudem sind die Daten dann immer noch online zugänglich, wenn auch beim Cloudanbieter.
Schon vor 40 Jahren haben wir bei meinem damaligen Arbeitgeber die Datensicherung täglich auf Band gemacht und die Sicherungsbänder wurden immer extern gelagert.
Wir hatten dafür irgendwo in der Stadt in einem großen Wohnhaus einen geschlossenen, von außen nicht einsehbaren Kellerraum gemietet und da drin einen Panzerschrank installiert und da kamen dann die Sicherungsbänder rein.
Auch bei meinem aktuellen Arbeitgeber machen wir die tägliche Datensicherung auf Band und die Bänder werden auch außer Haus gelagert. Verschlüsselt sind die Bänder selbstverständlich auch.
Und was da in den Hinweisen fehlt: Auf den Servern immer nur die Dienste installieren/aktivieren, die dieser Server auch tatsächlich braucht. Alle anderen Dienste sollte man deinstallieren/deaktivieren.
Standardmäßig sind nämlich viel zu viele Dienste aktiviert.
Beispielsweise haben wir auf allen Servern mit Ausnahme des Druckservers alle Druckdienste deaktiviert, da von Servern nie gedruckt wird. Auch so etwas wie der Audiodienst ist deaktiviert, da Server wohl eigentlich nie eine Soundkarte haben. etc. etc.
Früher gab es "hardening" Scripts die das machten.
Ich glaube das sich heute wohl niemand mehr traut vermeintlich nicht benötigte Services runter zufahren, gar mit einem solchen Script.
Zu leicht benutzt MS diesen Dienst dann doch mal..und man sucht tagelang einen Fehler nach dem Update.
Man ist auf Windows Systemen immer nur der "Hilfs Admin".
Gehören tut die Kiste faktisch Microsoft Superuser…
Hardening-Scrips gibt es immer noch.
Beispielsweise HardeningKitty.
Das hat z.B. auch ein Bewertungsschema bzgl. der Sicherheitskonfiguration für Maschine und Benutzer getrennt, geht von 1 (extrem schlecht) bis 6 (optimal).
Eine Standardinstallation von Windows Server oder Windows 7/10/11 kommt auf um die 3,2 bis 3,6.
Da ist also sehr sehr viel Verbesserungspotential!
Siehste, wollte ich noch in Brute-Force ändern, ist mir dann aber durchgerutscht … so was aber auch.
Für interessierte – das Wissen zu "Kerberoasting" & AD, Active Directory Attack und den Links oben von SpecOps oder SentinelOne lassen sich wissenschaftlich fundierter ergänzen:
o UNI Prag auf Scitepress – Monitoring and Detection Techniques
o Journal of Cybersecurity, Vol.5 22 Case Studies Attack Cryptographic Authentication
Wenn man das beim Kerberoasting managen, härten oder mitigieren will bieten sich dem engagierten Windows-Admin zB Logfileanalyse, Powershell oder Honeypot. Schaut Euch mal Maßnahmen oder "Detection Rules" im Paper an:
A) Das managen von (obsoleten) Cipher Suites: Welch Überraschung :-) macht's bitte endlich alle
B) Die (wenn auch eher reaktive) Auswertung von Logfiles in Windowsservern auf Events (s.o. Kapitel 3.1 Logsources mit Fokus auf Kerberos service ticket:
– 4769 (S, F) requested
– 4770 (S) renewed
– 4773 (F) failed request
C) Sinnvollerweise ist wohl eine seperate Logginginstanz
Wissenschaft & Wissenschaftler !! ALLES kriegen die raus, sogar Nützliches, ALLES!
Honey pot..
ja super.
Und der Kollege löscht dann den User, der sich ja noch nie angemeldet hat raus.. BTST.
Dankeschön.
Brute-Force kann man sehr deutlich erschweren, indem man nicht nur die üblichen Groß/Kleinschreibung, Ziffern, Sonderzeichen im Paßwort verwendet, sondern auch in der englischen Sprache unübliche Zeichen, wie z.B. äöüß und/oder auf der Tastatur nicht vorhandene Zeichen, wie z.B. á, ê, Ø, ñ, ¾, etc.
Und die Zeichenzahl des Paßwortes sollte natürlich auch entsprechend lang sein.
8 Zeichen ist inzwischen das absolute Mindestmaß, je mehr Zeichen, desto besser.
Und man sollte natürlich Passwortrichtlinien erstellen, z.B. nach 3 falschen Paßworteingaben 1 Stunde Sperre o.Ä.
Genial – in der ganzen beruflichen Laufbahn hatte ich noch nie ein Passwort mit Umlauten. Aber da grenzt es den Angreiferkreis so stark ein.
Ja, das ist eine gute Idee!
Vor dem Setzen des Passwortes die Tastatur auf z.B. cyrillisch stellen und Boot default auch.
Und wenn man sich von woanders einloggen muss hat man halt verloren. Man bittet den Admin Zuhause temporär ein simples Passwort einzustellen. Und dann bleibt das Passwort halt Geheim…weil man vergisst (!) es zurückzusetzen…weil man diesen Zugang erstmal ein paar Monate nicht mehr braucht.
shit happens.
Hm, dann müsste doch in Russland brüte förcing nie gut funktionieren?
Aufgrund schlechter Erfahrungen mit diverser schlechter Software tendieren User leider eher dazu, solche Schriftzeichen nicht zu verwenden, sondern plain US ASCI…
Auch "wandernde" Buchstaben (z,y) werden vermieden.
Zu schnell hat man seine 3 Versuche verschossen, wenn man Capslock übersehen hat, und dann z und y die Position getauscht haben…
Wenn jemand "Dein" System unbemerkt brute forcing kann, hat Dein System ein Problem, dass man nicht wirklich wirksam mit Auflagen, Schikanen an die User "beheben" kann.
Passkeys und Port knocking sind vielleicht bessere Wege ohne die User zu quälen, auch wenn das letztere manchen Admin Spass zu machen scheint :-)
Natürlich muss man das eigene LAN als böse betrachten wie das Internet…
Nö, viele Sonderzeichen kann man per Alt-Code eingeben.
Dazu muß man nicht das Tastaturlayout ändern.
Beispielsweise das ¾ bekommt man mit Alt+0190 auf den Bildschirm.
Das Ø bekommt man mit Alt+0216.
etc.
Die Ziffern muß man auf der Zifferntastatur eingeben!
Und ja, ich hatte schon Passwörter mit Umlauten, hat noch nie irgendwelche Probleme gemacht.
Die wirksamsten Brute-Force-Gegenmaßnahmen sind eher ein gutes SALT (anti-Rainbow) und eine *erhebliche* Erhöhung incl. Variabilität der Rundenzahl des Hashalgorithmus'. Evtl. auch noch ein PEPPER.
Wenn die Rechenleistung massiv steigt und selbst auf aktuellen CPUs der Komplettdurchlauf eine Sekunde oder länger dauert, ist Brute-Force eher eine Tat der Verzweiflung. Mit einer Einschränkung: die Verwendung von Nonsens-Passwörtern wie "123" oder "123456" oder "Boss" oder einfachen und beliebten Wörtern aus Wörterbüchern ist auch dann unwirksam. Es sollte schon etwas kompliziertes sein.
Aber, mit Blick auf den Rotationstipp: Der Admin, der Passwörter mit einer Komplexität wie
3e-%sWeiop::d@60
+/g_jutZ4a#5&&72$
oiZ}tU81^!yYYx_Q
erzwingt, und das dann auch noch "zweimal pro Monat" (!), sollte mindestens die folgenden drei Dinge beherzigen:
1) Die Kollegen sollten nicht wissen wie er aussieht
2) Die Kollegen sollten nicht wissen wo sein Auto steht
3) Die Kollegen sollten nicht wissen wo er wohnt
…
Für Dienste/Tasks und entsprechendes gibt es gMSAs, da passiert das automatisch.
Und bzgl. Sonderzeichen: bei der Verwendung von Umlauten wirst Du den Tag verfluchen, an dem Dir nur eine englische Tastatur ohne Ziffernblock beim Login zur Verfügung steht. ;-)
Veracrypt z.B. tauscht diese länderspezifischen Zeichen daher gegen die entsprechenden ASCII-Zeichen aus (Tastaturlayout EN), denn beim Bootvorgang oder im BIOS hast Du in der Regel noch keine Lokalisierung sondern ein englisches Tastaturlayout.
Solche Passwörter erzwinge ich nicht bei den Benutzern, aber alle Passwörter für Benutzer mit administrativen Rechten und für Infrastrukturhardware (Router, Switche, Firewall, NAS, etc.) sehen genau so aus!
Und eine Tastatur ohne Ziffernblock habe ich am Desktop noch nie gehabt und daran wird sich auch bis zur Rente nichts ändern.
User legen 3e-%sWeiop::d@60 unter die Tastatur oder kleben es an den Bildschirm.
Und die Hotline zur Passwortrückstellung sollte auch personell aufgestockt werden (obwohl es ja schon Konstrukte mit Hilfs-Passwörtern zum personenlosen Zurückstellen des eigentlichen Passworts gibt, was aber die User auch wieder gerne vergessen).
hmm… hast Du 100 Zeichen zur Verfügung um einen Passwort zu schreiben und erhöhst um einen Zeichen ("ä"), so hast Du die Sicherheit um 1% erhöht.
Machst Du dein Passwort um ein Zeichen länger, erhöhst Du die Komplexität der brute force um Faktor 65536.
Noch Fragen?
die Zeichen sind nahezu irrelevant. es ist und bleibt die Länge.
ein Zeichen extra ist nur ein Multiplikator. ein Zeichen länger ist eine Potenz.
von 8 Zeichen haben wir uns schon lange verabschiedet. 14, eher 16 Zeichen plus x
https://web.archive.org/web/20240302042001/https://www.hivesystems.io/blog/are-your-passwords-in-the-green
Bruteforce nicht nur erschweren, sondern gänzlich unmöglich macht MFA (für Admin-Accounts).
Statt die Benutzer zu häufig ihr Passwort mit zunehmender Wahrscheinlichkeit zu unsichererereren Passwörtern zu zwingen würde ich doch eher wöchentlich das Passwort für krbtgt ändern und an alle DC replizieren.
Auch sind oft die dollsten Firewall Appliances offen konfiguriert wie ein Scheunentor, statt nur absolut erforderliche Ports/Protokolle und Netzwerk Bereiche zuzulassen, sowohl rein und raus. Ein Netzwerk Drucker bspw. braucht keinen Internet Zugang, Firmwareaktualisierung gibt es, wenn überhaupt per USB.
Die Liste der Dummheiten/Bequemlichkeiten heutiger Administrationen geht leider gegen Unendlich.
Mit Passwortrichtlinien kann man die User auch zu sicheren Passwörtern zwingen. Und z.B. per Aufbewahrungsrichtlinie dafür sorgen, das die z.B. die letzten 10 Passwörter nicht wieder nehmen können.
Aber inzwischen kommen unter Sicherheitsexperten Zweifel auf, ob das regelmäßige Ändern von Passworten tatsächlich die Sicherheit erhöht.
Um das mit den letzten zehn Passwörtern wirlich sicherzustellen, müsstest Du den Passwortklartext symmetrich verschlüsselt ablegen und vorhalten und bei der Passwortänderung dann darauf zurückgreifen und Vergleiche anstellen. Meines Wissens nach werden aber — aus Sicherheitsgründen — nur die letzten zehn SALTs und Hashes behalten um bei einer Änderung dann vergleichen zu können, ob *das selbe* Passwort schon einmal verwendet wurde.
So kann man dann irgendwo eine oder zwei Ziffern einbauen und munter hochzählen, ohne dramatisch was zu ändern. Oder "aHoernch3n+", "bHoernch3n+", "cHoernch3n+" verwenden. Muss man 12 mal im Jahr ändern, nimmt man "01" bis "12" oder "jan", "feb", "mrz", muss man viermal im Jahr ändern, nimmt man "…Q1" bis "…Q4" oder "Fruehling!2023", "Sommer!2023", "Herbst!2023" … zur Not sogar in Fremdprachen.
Wenn man die User ein bisschen ärgert, werden die erfinderisch und — soll ja vorkommen — die reden auch miteinander und darüber und das Schema verbreitet sich dann. Wenn man die Nerven der User hingegen massiv strapaziert, dann … siehe meinen anderen Beitrag. ;-)
Deswegen haben viele Betrieb die regelmäßige Passwortänderung wieder abgeschafft und versuchen *ein* möglichst komplexes Passwort zu erzwingen, das dann aber auch längere Gültigkeit haben kann. Oder sie packen die ganz große Keule aus und implentieren irgendeine MFA oder was vergleichbares. Das wiederum erhöht aber die Komplexität und Fehleranfälligkeit.
Sind denn die Unterschiede zwischen "aHoernch3n+", "bHoernch3n+" nicht hinreichend? Ich hätte gedacht, dass der Algorithmus der Veränderung bei Brute Force gar nicht so relevant ist, da ja die Änderung selbst relevant ist. Der Algorithmus wäre doch eher bei Social Engineering wichtig, wo man das Schema nutzen könnte?
Irgendwie ja und irgendwie nein.
Wenn man die Intervalle der Passwortänderung kennt, kann man schon begründet gewisse Vermutungen anstellen, welche Muster die User unter Umständen verwenden, um sich das Leben leichter zu machen. Bei zweiwöchigen erzwungenen Änderungen und 52 Wochen im Jahr könnte der eine oder andere auf die Idee kommen, als unterscheidbares Merkmal ein einzelnes Zeichen von A bis Z durch das Alphabet wandern zu lassen und den Rest des Kennworts unverändert zu belassen.
So könnte man dann die Liste beliebter Passwörter und ihre Variationen in der Schreibweise um dieses Schema erweitert mit höherer Priorisierung beim Brute-Force abarbeiten, um möglicherweise schneller fündig zu werden.
Wir haben vorletztes Jahr das oben erwähnte SpecOps Passwort Policy Tool als AD-Erweiterung lizenziert und installiert, damit kann der Benutzer selbst seine Passwortkomplexität in von uns vorgegebenen Grenzen auswählen, weil je länger das Passwort wird, um so länger kann er es behalten. Statt komplexer Zeichen ist auch eine extra lange "Passphrase" möglich, sobald er eine eingestellte Zeichenlänge erreicht. Die sind dann ganz einfach zu merken, weil es einfach natürlichsprachige Sätze sein können, so wie dieser hier. Wenn man es lang genug macht, können die Leute die Passwörter jetzt 3 Jahre behalten. Und wir haben gleichzeitig die Sicherheit über ein selbst bearbeitbares Wörterbuch, dass intern bekannte und gerne verwendete Standard-Passwörter nicht mehr verwendet werden können, dass es keine doppelt benutzten Passwörter (Normaluser, Admin, etc.) mehr gibt und auch keine mehr als kompromitziert geltende Passwörter (havebeenpawned) mehr verwendet werden können. Auch so beliebte Zeichenfolgen wie 12345 oder qwert lassen sich damit verhindern. Netterweise bekommt der Benutzer auf dem System auch noch beim Passwort ändern eine Hilfe eingeblendet, die zeigt, welche Bedingungen er noch erfüllen muss, und wie lange das neue PW dann gültig ist. Einen Haken hat die Lösung, man bekommt per get-aduser keine gültigen PW-Ablaufdaten mehr angezeigt, dazu muss man ein extra cmdlet von Specops bemühen. Die Übergangszeit, wenn die Benutzer die neuen Policies bekommen, war am schwierigsten, aber nach dem ersten erfolgreichen Passwortwechsel funzt das ziemlich gut.
Anmerkung zu Druckern:
Netzwerkdrucker kein Internet, würde ich nicht unterschreiben. Eingrenzen, reduzieren, aber komplett sperren nein.
Hintergrund, wenn du in einer Firma bist, die auf hunderten von Standorten, mehrere tausend Drucker der gleichen Marke verwaltest, aber unterschiedliche Geräte. Möchtest du händisch alle Störungen, genauso wie Tonerbestellungen melden oder automatisiert ablaufen lassen?
Seit wann sind die Netze der anderen Standorte einer Firma das Internet?!? Ich hoffe doch inständig, dass Site-To-Site-VPN bekannt ist?! Für Verbrauchsmaterial gibt es Teilweise Hersteller übergreifende Zählerboxen, wenn überhaupt, reicht es wenn diese dann ins Internet geht, wenn der Mailserver nicht ohnehin im Hause ist. Teilweise betreiben diese Boxen schon etwas Monitoring für alles andere hat man entsprechende Lösungen wie nagios, prtg, zabbix etc. im Einsatz.
Auch für FW-Updates gab es früher entsprechende Lösungen, die ohne Internet funktionieren.
Beispielsweise bei HP die schon ewig nicht mehr supportete JetDirect-Software.
Da hat man die FW-Dateien der Drucker in ein Verzeichnis gelegt, dann die JetDirect Software gestartet und die nach allen HP-Netzwerkdruckern suchen lassen und deren FW-Status anzeigen lassen.
Dann ein Klick auf "FW aktualisieren" und die JetDirect-Software hat auf allen HP-Druckern mit veralteter FW die FW aktualisiert.
Konnte man auch scriptgesteuert z.B. über die Aufgabenplanung automatisieren.
Und Verbrauchsmaterial automatisiert bestellen?
Da verschwendet man aber viel Geld!
Im Gegenteil, der teuerste Faktor ist heutzutage die Humanressource, selbst wenn es die Sekretärin oder der Hausmeister machen ist es teurer als über den Dienstleister der die Geräte ohnehin unter Wartung hat.
#klugscheissermodus an
du musst es nicht replizieren. das ist das Konzept des AD, das repliziert von ganz alleine
#klugscheissermodus aus
Mag sein aber ein flottes repadmin /syncall erledigt es zu sofort und nicht irgendwann mal, wenn es dem Kosten-Posten des Globalen Katalogs in den Kram passt, zumal dann eh so ziemlich alle Sitzungstickets ungültig werden sowie man krbtgt das Passwort geändert hat.
nein. dafür müsstest du es direkt 2 Mal ändern.
eben damit Tickets nicht ungültig werden arbeitet der krbtgt mit dem neuen und dem alten Kennwort.
erst die 2te Änderung beerdigt das "aktuelle"
dein Client, Dienst, Server wurde nicht verstehen, warum sein Ticket nicht funktioniert, wenn es nach erster Änderung ungültig wäre.
additional: solange wir von einer Vorsichtsmaßnahmen reden und keinem Notaus, wird das Kennwort nur ca alle 10 Tage gewechselt, damit Tickets nicht ungültig werden.
du willst ja unter normalen Umständen deinen Betrieb fortführen … deswegen 2 Kennwortänderungen.
das neue Kennwort stempelt die neuen Tickets, die vorhandenen sind durch das alte Kennwort weiterhin gültig.
beim 2ten Tausch wird das neue Kennwort zum alten und das Spiel beginnt von vorne
Was für eine Frechheit, diese Antwort. "Initial access to your network was purchased on the dark web", dabei wäre das ja wohl das interessanteste gewesen! Der Rest sind eine Menge an Plattitüden, die aus "AD security for dummies" abgeschrieben sein könnten. Das einzige für den Fall relevante scheint mir, dass privilegierte Konten hier unzureichende Passworte hatten, die per brute force zu finden waren.
Stimmt.
Aber vielleicht sind diese Informationen ja auch alle falsch um den Betroffenen in die Irre zu führen. Warum sollte der Verbrecher ausschließlich die Wahrheit sagen?
Wie man deutlich sieht ist AD mit Kerberos das Übel über das der Einstieg quasi immer gelingt. Es gibt überall Paßwörter die sich leicht über BruteForce ermitteln lassen. Häufiges Ändern macht es nur noch viel schlimmer. Viel wichtiger ist, keine gemeinsamen Admin Paßwörter zu verwenden. Früher, ich kann mich nicht mehr erinnern ob das auf der DEC oder der /36 war, wurde beim Login immer der Timetag des letzten Logins angezeigt. Dadurch konnte leicht festgestellt werden, ob der Login ggf. auch von einem Angreifer genutzt wurde.
"Initial access to your network was purchased on the darknet".
Für mich wird damit alles weitere Spekulation.
(Und ja Kerberos scheint inzwischen problematisch.)
Wir empfehlen unseren Benutzern Kennwörter aus mindestens drei Wörtern, dazwischen ein Sonderzeichen und noch eine Zahl. Diese Passwörter dürfen sie dann gerne auch ein Jahr lang behalten.
gute Illustration dazu: https://xkcd.com/936/
Mein Geheimtipp für Passwörter sind Leerzeichen weil irgendwie bisher niemand damit rechnet.
Man kann sich Passwörter einfacher machen indem man sie strukturiert.
Fiktives Beispiel:
0815:11?ABC:Bor[1]
0815 ist immer gleich, das erste Trennzeichen auch, danach folgt meine derzeitige Hausnummer, Das 2. Trennzeichen und ABC ist auch immer gleich. Die letzten 3 Zeichen sind die Anfangsbuchstaben für den Service den ich nutze. Die Zahl in eckigen Klammern ist für jene die mich gelegentlich zwingen mein Passwort zu ändern.
Das ist einfaches Demo Beispiel das jeder für sich adaptieren kann und schützt gegen Mehrfachverwendung/Brute-Force ohne das man einen Passwortmanager braucht.