fejuiwiueww
Goto Top

Argumentation gegen Erfragung von Kennwörtern

Moin, ich bin SysAdmin.
Und in der Bude, in der ich momentan tätig bin ist es Usus, dass bei gewissen Prozessen der User telefonisch nach seinem Kennwort gefragt wird. (Gerät mit User-AD-Acc im MDM hinzufügen, Update am Wochenende mit selbst gefrickelter Software die als User installiert werden muss, ...)
Natürlich kein Tagesgeschäft, aber es kommt eben mal vor.

Meinem IT-Teamleiter bin ich entgegnet, dass wir doch bitte die Passwörter der User zurücksetzen und die sich dann ein neues Kennwort vergeben.
So weiß der User, dass wir den Account genutzt haben und der User kann nicht behaupten wir hätten in deren Namen irgendetwas gemacht.
Außerdem gibt es User die überall das selbe Kennwort nutzen, also auch privat.
Oder es könnte sich ja auch jeder am Telefon als SysAdmin ausgeben.

Ich bekam als Antwort, dass wir auch ohne Passwort im Stande sind, sowohl Daten zu sehen als auch E-Mails in deren Namen zu versenden. Außerdem sei das Passwort zurücksetzen problematisch aufgrund von Usern im Home-Office und Unfähigkeit von DAUs.
Und zudem seien wir vertrauensvolle Personen, womit er "User hat privat das selbe Kennwort" entkräften möchte.

In meiner Lehre in einem professionellen IT Umfeld währe ich verprügelt worden, hätte ich nach Kennwörtern gefragt.

Habt ihr eventuell noch stimmige Argumente, eventuell sogar Gesetzestexte auf Lager, damit ich mich da besser verteildigen kann?

Oder wird das bei euch sogar genau so gehandhabt in gewissen Prozessen wo es sich nicht anders regeln lässt?

LG

Content-ID: 4507714983

Url: https://administrator.de/contentid/4507714983

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

em-pie
em-pie 04.11.2022 aktualisiert um 18:06:04 Uhr
Goto Top
Moin,

In der letzten c't war ein schöner Beitrag, wie ein Angreifer vorgeht.


DAS Argument ist: woher weiß der User, dass du wirklich der Admin bist?
Kann ja auch jemand anderes sein… XING & Co geben hervorragend Auskunft.

Zudem: was gegen euch die Kennwörter des User an. Vielleicht nutzt er die noch an anderen Systemen (Personal/ Betriebsrat/ GL/…) in denen ihr nichts zu suchen habt…

Ich bekam als Antwort, dass wir auch ohne Passwort im Stande sind, sowohl Daten zu sehen als auch E-Mails in deren Namen zu versenden.
Aber es wird in den Systemen protokolliert, dass der User „IT“ und nicht der User „User“ zugegriffen hat. Vielleicht will dein Chef ja verhindern, dass er nicht mehr schnüffeln kann !?

Ich als User würde mal beim DSB nachfragen, was der von der Idee hält…
TwistedAir
TwistedAir 04.11.2022 um 18:12:13 Uhr
Goto Top
Moin,

bei uns gibt es ein Sicherheitshandbuch, dass jeder neue Mitarbeiter zu Beginn durchackern muss - und darin ist vorgegeben, dass Passwörter grundsätzlich nicht weiterzugeben sind. Das schließt Mitarbeiter der IT ein.
Wenn die Eingabe eines Passworts, das dem IT-Mitarbeiter nicht bekannt ist, erforderlich ist, wird eine Remote-Session gestartet. Dem Beginn der Session muss der MA zustimmen, so dass er im Bilde ist, dass nun eine weitere Person zuschaut. So kommt auch keine Missstimmung wegen „heimlicher Überwachung“ auf.

Natürlich würde ich aus meiner Position heraus auch von mir/meinen IT-Kollegen behaupten, dass alle integer sind und kein Dummfug mit den ihnen anvertrauten Informationen (sind ja nicht nur Passwörter, die man so im Arbeitsalltag mitbekommt) anstellt wird. Als Admin gehört man ja „zu den Guten“. Nichtsdestotrotz hört es sich so an, dass ihr eure „Schäfchen“ dazu erzieht, das Passwort auf Verlangen herauszugeben. Und das ist ein „no go“. Es gibt ja auch niemand die PIN oder das Telefon-Kennwort seines Bankkontos heraus - bzw. so sollte es sein.

Gruß
TA
maretz
maretz 04.11.2022 um 20:03:08 Uhr
Goto Top
mach es doch ganz einfach: Ruf deinen Chef an und lass dir SEIN Passwort geben. Wenn es kein Problem ist sowas zu erfragen sollte eine IT-Abteilung ja mit gutem Beispiel vorran gehen..

Ich würde übrigens bei so einer Frage eher loslachen. Mein Passwort? Ja klar... Und würde ich mitbekommen das die IT (in dem Fall eben meine Kollegen) in meinem Postfach einfach rumschnüffeln bzw. sogar Mails in meinem Namen versenden kann ich garantieren das ich innerhalb von MINUTEN nen Weg habe um das zu verhindern. Und sei es das ich mich mit jedem Kunden kurz zusammentelefoniere, mich dafür entschuldige das ab sofort nur noch Telefon u. Fax geht aber meine Kollegen sind leider aus der Stasi-Zeit und haben wohl zuviel Zeit...

WENN man sowas denn unbedingt will: Passwort-Generator verwenden und der Benutzer kann das PW eben nicht ändern. Dann kann man sich ne Excel-Liste machen und sicher sein das die Passwörter wenigstens nirgends anders genutzt werden. Es zeigt aber für mich nur unfähige IT wenn die mein PW benötigen um irgendwas für mich zu machen...
dertowa
dertowa 04.11.2022 aktualisiert um 21:42:29 Uhr
Goto Top
Das gehört sich in meinen Augen auch nicht.
Ich würde als User mein Kennwort auch nicht rausgeben wollen.

Auf der anderen Seite kann ich deinen Chef verstehen, der Supportaufwand wächst ggf. wenn das Kennwort zurückgesetzt wird.
Vielleicht nicht direkt beim ersten Login an dem das Kennwort neu vergeben wird, aber am Tag drauf, wenn das neue bereits vergessen wurde - sofern der User sein altes Kennwort nicht mehr nehmen durfte (bedingt durch die GPO).

Bevor man da allerdings IT-intern ein Fass aufmacht, halte doch mal Augen und Ohren bei euch im Laden offen und schau mal an Bildschirme, in Schubladen und unter die Tischauflagen der Kollegen.
Kennwörter sind nicht selten offene Bücher, kenne sogar Abteilungsleiter die von ihren Mitarbeitern immer die Kennwörter haben wollen - kann im Urlaub immer mal was an E-Mails nachzusehen sein und Vertretungsregelungen umzusetzen und sich mit Berechtigungen rumschlagen ist ja viel zu aufwändig. face-smile

Zitat von @maretz:
Es zeigt aber für mich nur unfähige IT wenn die mein PW benötigen um irgendwas für mich zu machen...

Naja ich hatte gestern ein feines Beispiel.
Anruf eines Kollegen, dass sich sein Outlook geschlossen hat und nun beim Öffnen sein Passwort nicht mehr nimmt.
Nach kurzer Fernwartung war klar, das Authentifizierungsfenster von Outlook passte nicht.
Outlookprofil neu anlegen brachte auch keine Abhilfe.

Zu meist haben die Leute dann aber auch keine Zeit, für Fehleranalysen, daher Kompromiss, ich habe das am selben Rechner kurz mit meinem Benutzer geprüft, Fehler konnte nicht nachvollzogen werden.
Ich brauchte also sein Benutzerprofil zur Diagnose und Fehlerbehebung.

Letztlich hat das dann keine 10 min gedauert, aber die Ungewissheit wie lang das wohl dauern würde klang am Telefon deutlich durch, eigentlich wollte er mir doch nur sein Passwort geben und ich hätte das irgendwo machen können, Hauptsache er hätte schon mal weiterarbeiten können...
fejuiwiueww
fejuiwiueww 04.11.2022 um 22:35:14 Uhr
Goto Top
halte doch mal Augen und Ohren bei euch im Laden offen und schau mal an Bildschirme, in Schubladen und unter die Tischauflagen der Kollegen.

Ich sehe da teilweise sogar an Arbeitsplätzen die direkten Kundenkontakt haben Passwörter in nächster Nähe kleben.
Aber was will man machen, wir haben Branchenbedingt da teilweise Leute sitzen die jenseits der 60 sind, denen kann man Dinge 100 Fach erklären, das Endergebnis ist das selbe.

Da ist leider dieser Spagat zwischen wie viel Aufwand kann man im Namen von Sicherheitsidealen gegenüber den Führungspersonen rechtfertigen..
MysticFoxDE
MysticFoxDE 05.11.2022 aktualisiert um 09:58:03 Uhr
Goto Top
Moin fejuiwiueww,

Und in der Bude, in der ich momentan tätig bin ist es Usus, dass bei gewissen Prozessen der User telefonisch nach seinem Kennwort gefragt wird. (Gerät mit User-AD-Acc im MDM hinzufügen, Update am Wochenende mit selbst gefrickelter Software die als User installiert werden muss, ...)
Natürlich kein Tagesgeschäft, aber es kommt eben mal vor.

dass du als Admin die Passwörter der User kennst, finde ich nicht wirklich schlimm.
Wir Admins können und müsse eh auf alles Zugriff haben, was wir gewissenhaft administrieren sollen.

Meinem IT-Teamleiter bin ich entgegnet, dass wir doch bitte die Passwörter der User zurücksetzen und die sich dann ein neues Kennwort vergeben.

Auch das sehe ich nicht als notwendig an.
Als Admin kannst du auch ohne, dass du dich mit dem jeweiligen Benutzer direkt anmeldest, eh an so gut wie alle Daten von diesem rankommen.
Ich hoffe jetzt nur, dass die oberen Zeile kein DSBler liest, bei sowas bekommen die meistens eine Schnappatmung. 🤪

So weiß der User, dass wir den Account genutzt haben und der User kann nicht behaupten wir hätten in deren Namen irgendetwas gemacht.

Wenn der User dem Admin nicht vertraut, dann kann er doch und dass sollte er eigentlich auch, sein Passwort selbst ändern, sobald er dieses einem anderen verraten hat.

Außerdem gibt es User die überall das selbe Kennwort nutzen, also auch privat.

Das würde ich als ein separates Problem und auch viel gewichtiger als das vorhergehende betrachten.
Bei den meisten Incidents, zu denen ich die letzten beiden Jahre gerufen wurde, wurden die Einbrüche in die IT Systeme entweder über die Exchange Lücken begangen oder die Angreifer haben sich mit geklauten/gefischten Zugangsdaten, direkt den Zugriff verschafft. 🤢🤮

Dagegen gibt es meiner Ansicht nach, stand heute nur wenige helfende Massnahmen.
1. Sämtliche externe Zugänge (VPN, OWA & Co. KG) müssen immer per 2FA abgesichert sein.
2. Verwendung von Smartcards (YubiKey) zur Benutzerauthentifizierung.

Der zweite Punkt hat meiner Ansicht nach den Vorteil, dass der Benutzer zum Anmelden nur noch die sechsstellige PIN der Smartcard oder des YubiKey merken/eingeben muss und nicht das Passwort.
Ich würde bei Verwendung von Smartcards, den Benutzern das Ändern des Passworts eh nicht mehr erlauben und es als Admin auf 20 Stellen alla "#7Qmfu§ODbzJ!DFVe*&Z" setzen und es dem User auch nicht mehr verraten.
So ist auf jeden Fall zu 100% sichergestellt, dass der Benutzer sein Firmen-Accountpasswort auch nie für seine privaten Accounts verwenden kann. 😎

Oder es könnte sich ja auch jeder am Telefon als SysAdmin ausgeben.

Oder auch die Microsoft Hotline und dir erzählen dass der Rechner kompromittiert ist ... u.s.w.
Daher sollte ein Benutzer oder auch Admin, sein Kennwort am besten niemals jemand anderem anvertrauen und schon gar nicht Fremden.

Ich bekam als Antwort, dass wir auch ohne Passwort im Stande sind, sowohl Daten zu sehen als auch E-Mails in deren Namen zu versenden.

Damit hat er auch vollkommen recht.
Oh je, ich sehe schon, jetzt ist der eine oder andere DSBler bestimmt schon kurz vor dem Herzinfarkt.
Datenschutz Mädels und Jungs, so ist das Amin Leben eben und die wenigen die von Euch die das kennen, verstehen das jetzt auch und brechen nicht in Panik aus. 😉

Außerdem sei das Passwort zurücksetzen problematisch aufgrund von Usern im Home-Office und Unfähigkeit von DAUs.

Auch diese Aussage kann ich absolut nachvollziehen.

Und zudem seien wir vertrauensvolle Personen

Ja, wir, also die SysAdmins, sollten definitiv relativ hoch in der Vertrauenskette stehen, anders funktioniert dieser Job auch nicht wirklich gut.

womit er "User hat privat das selbe Kennwort" entkräften möchte.

Das ist wiederum Bull-Shit.
Dieses Userverhalten ist in der heutigen Zeit schlichtweg grob fahrlässig!
Und solche Aussagen als IT-Teamleiter, sind es meiner Ansicht nach auch.

Oder wird das bei euch sogar genau so gehandhabt in gewissen Prozessen wo es sich nicht anders regeln lässt?

Das Sicherheitsproblem ist nicht, dass du als Admin die Kennwörter der User kennst, sondern definitiv, dass die User dasselbe Kennwort auch im privaten Umfeld oder auch zum Login auf geschäftlichen Internetportalen benutzen.

Und nein, ich bin kein Freund von SSO sobald es über die Grenzen des internen Firmennetzes drüber hinaus geht.
Schon gar nicht von Azure-AD. 😱

Beste Grüsse aus BaWü
Alex
137960
137960 05.11.2022 um 10:37:37 Uhr
Goto Top
Zitat von @MysticFoxDE:

Oh je, ich sehe schon, jetzt ist der eine oder andere DSBler bestimmt schon kurz vor dem Herzinfarkt.
Datenschutz Mädels und Jungs, so ist das Amin Leben eben und die wenigen die von Euch die das kennen, verstehen das jetzt auch und brechen nicht in Panik aus. 😉


DSBs bekommen keinen Herzinfarkt. Zumindest nicht davon. Denn Artikel 6 der DSGVO sieht ja u.a. Ausnahmen vor, z.B. wegen des berechtigten Interesses des Unternehmens, die IT verwalten zu können. Von daher kein Problem.

Grundsätzlich sollten Passwörter niemals nie nicht irgendwie abgefragt werden. Das führt nur dazu, dass die Mitarbeiter nachlässig werden und so Tür und Tor zum social engineering offen stehen. Sprich: irgendein Spaßvogel, der nicht Admin ist, entlockt den Mitarbeitern das Passwort.

Es sollten andere Wege gefunden werden, z.B. die vorher erwähnten wie Fernzugriff, etc.
Im Zweifel kann man als Admin meist ein (neues) Passwort setzen, sich damit am Account des Mitarbeiters anmelden und danach den Mitarbeiter bitten, dass Passwort wieder auf seines zurückzusetzen.

Das Nennen von Passwörtern per Telefon ist zu 99,99% unnötig und stellt ein Sicherheitsrisiko dar.
DerWoWusste
DerWoWusste 06.11.2022 um 22:18:14 Uhr
Goto Top
Der Autor schreibt
So weiß der User, dass wir den Account genutzt haben und der User kann nicht behaupten wir hätten in deren Namen irgendetwas gemacht.
Der allmächtige Admin kann immer im Namen des Nutzers handeln. Er kann ihm Skripte unterschieben, die in seinem Namen laufen, er kann seinen Kennworthash ermitteln, und, vor allem anderen: er kann sich eine SmartCard auf den Nutzernamen ausstellen ("Enroll on Behalf of").

Somit gibt es keinen guten Grund, das Kennwort vor den Admins zu schützen, denn wenn diese als Nutzer handeln wollten, bräuchten sie es gar nicht.

Wem das nicht passt, stellt sich die Frage: "war da nicht was mit Auditing möglich?" Recherchiert man, so kann man finden, dass man natürlich all diese Aktionen überwachen könnte. Für das Überwachen wird jedoch sehr viel Arbeit fällig und die ist nur ausführbar von Personen, die das Knowhow haben und ebenfalls weitreichende Rechte.

Zurück zur Ausgangslage - handeln als Nutzer, zu Supportzwecken - muss das wirklich sein?
Es sollte nicht nötig sein, wenn man seine Umgebung im Griff hat. Wenn man wirklich was im Nutzerprofil massenhaft ändern muss, dann machen das Skripte. Wenn man was im Nutzerprofil analysieren muss, dann macht man das über Fernsteuerung. Wenn der Nutzer dabei dann seinen Platz verlassen möchte, während man das macht, bleibt ihm das möglich, genauso wie, dass er eben kontrollierend zusieht - sicherer macht das sein Konto jedoch nicht.
maretz
maretz 07.11.2022 um 06:54:36 Uhr
Goto Top
Zitat von @DerWoWusste:

Der Autor schreibt
So weiß der User, dass wir den Account genutzt haben und der User kann nicht behaupten wir hätten in deren Namen irgendetwas gemacht.
Der allmächtige Admin kann immer im Namen des Nutzers handeln. Er kann ihm Skripte unterschieben, die in seinem Namen laufen, er kann seinen Kennworthash ermitteln, und, vor allem anderen: er kann sich eine SmartCard auf den Nutzernamen ausstellen ("Enroll on Behalf of").

Natürlich kann ein Admin das _in einer Firma_. Aber: Realistisch ist doch das Passwörter auch gerne mal "privat" wiederverwendet werden. Und damit kann der Admin dann auch ggf. in private Konten kommen.

Ich würde es auch schon aus selbstschutz nicht wollen - einfach: Wenn ich das Kennwort nie besessen habe braucht auch keiner kommen ich HÄTTE es missbraucht. Fertig.. Aus demselben Grund will ich ja auch nicht immer nen Schlüssel zu allem und jedem Raum haben, keine Safe-Codes,... DAS ich nichts klaue ist MIR schon klar. Nur: Wenn jemand behauptet ich hätte was genommen steh ich erst mal blöd da (ich würde zB. auch nie allein in ne Gastkabine gehen wenn sonst keiner da ist). Und natürlich: Wenn der Nutzer behauptet "der admin wars" wird beim ersten Mal vermutlich nix passieren... wenn aber der 2te, 3te oder 4te irgendwann ankommen (weils sich ja auch schnell rumspricht das die Möglichkeit besteht) hat es irgendwann einfach nen blöden Beigeschmack.
DerWoWusste
DerWoWusste 07.11.2022 um 09:32:41 Uhr
Goto Top
Moin @maretz.
Aber: Realistisch ist doch das Passwörter auch gerne mal "privat" wiederverwendet werden. Und damit kann der Admin dann auch ggf. in private Konten kommen.
Ich habe auf 3 Wege hingewiesen, wie der Admin mühelos als Nutzer handeln kann. Er braucht dabei das Nutzerkennwort nicht zu kennen. Das bedeutet für den Fragesteller: mach es doch auch so. Du musst das Kennwort nicht erfragen, die Admins kommen also nicht in private Konten, die ggf. das selbe Kennwort haben. Schreib dir einfach eine SmartCard mit den Nutzercredentials und fertig - die bleibt auch bei Kennwortänderung gültig.

Als letztes Problem bleibt dann, den Nutzern zu verklickern, was man da gerade gemacht hat: was ist eine SmartCard, was bedeutet das für den Nutzer. Auch müssen Nutzer erst einmal realisieren und wahr haben wollen, dass es keinen Weg gibt, die eigene Firmennutzeridentität vor dem Admin zu schützen.
137960
137960 07.11.2022 um 10:41:40 Uhr
Goto Top
"Kennworthash" ist der entscheidende Hinweis. Denn bei allen vernünftig implementierten Systemen wird ein Passwort niemals gespeichert. Statt dessen berechnet man eine Prüfsumme über das Passwort und speichert das ab. Sofern das System nicht uralte Algorithmen für die Prüfsumme verwendet, ist das aus heutiger Sicht ein sehr sicheres Verfahren. Angegriffen werden kann so etwas nur per Brute Force, d.h. man probiert Fantastillionen Kombinationen durch, bis man eine erwischt, die die gleiche Prüfsumme erzeugt. Dann ist die Länge des eigentlichen Passwortes (mathematisch gesehen) sowie der Zeichenvorrat entscheident. Gängige Passwörter (auch meist solche, bei denen man meint, dass sie nicht gängig seien) sind in sog. Rainbow Tables vorberechnet.
Soweit dazu.

Da ein Passwort in den Systemen nirgends gespeichert ist, kann ein Admin im Normalfall auch nicht "mal eben das Passwort" nachgucken. Deshalb kann man dann eben nur das Passwort zurücksetzen.

Wie User maretz schon aufgeführt hat, nutzen die Menschen Passwörter durchaus häufiger. Diese Tatsache und der Umstand, dass man die Anwender dazu erziehen sollte, niemals Passwörter an wen auch immer rauszugeben, ist die Anforderung, dass man das Passwort nennen soll, eine schlechte Idee.

Wie man das technisch löst und z.B. Methoden einführt, die z.B. per Hardwaretoken funktionieren, ist Nebensache. Auch bei Hardwaretokens (Smartcard) kann es sein, dass man von irgendwem, der vorgibt, Admin zu sein, aufgefordert wird, die Karte "mal eben kurz zur Prüfung" zu überlassen. Auch das ist nicht so unwahrscheinlich - sonst würden es die "Bösen" nicht erfolgreich durchziehen.

Was auch immer: als Admin sollte man nie nach solchen Dingen fragen. Dass man sich als Admin in den meisten Fällen irgendwie Zugriff auf alles verschaffen kann, steht außer Frage.
DerWoWusste
DerWoWusste 07.11.2022 aktualisiert um 10:57:24 Uhr
Goto Top
@137960
...
Soweit dazu.
Keiner würde die Hashes nutzen, jeder würde die SmartCard nutzen. Besteht keine CA-Infrastruktur, würde der Admin Pass-the-Hash machen - du musst da nichts mit Brute Force angehen.
137960
137960 07.11.2022 um 14:08:01 Uhr
Goto Top
Eine SmartCard muss aber meistens extra Hardware oder besondere Treiber bemühen. Das gelingt nicht mit jedem Betriebssystem. Und es kostet extra. Sowohl die Anschaffung als auch die Wartung. In Unternehmen, wo IT-affine Menschen arbeiten, mag das funktionieren. Wenn ich aber die MitarbeiterInnen in den Bürgerämtern mit ihren SmartCards so rumhantieren sehe (und fluchen höre), dann ist so eine Technik schon des Teufels und wird frühestens dann eingeführt werden, wenn auch die Enterprise D abhebt ;)
DerWoWusste
DerWoWusste 07.11.2022 aktualisiert um 14:21:58 Uhr
Goto Top
@137960
Du vergallopierst Dich gerade: nicht die Nutzer sollen die Smartcards verwenden, sondern die Admins! Und da ist dann auch keine Technik nötig, sowas geht sogar virtuell und ist somit kostenlos (lediglich ein TPM-Chip ist im Admingerät nötig).
Glaub mir, es funktioniert (wir nutzen nichts anderes).

Das gelingt nicht mit jedem Betriebssystem
Zumindest mit allen derzeit supporteten Windowsclients und -servern gelingt es sehr gut.
137960
137960 07.11.2022 um 14:22:38 Uhr
Goto Top
Ah! Ok. Ich dachte, alle Anwender bekommen eine SmartCard verpasst.