xilberzerg
Goto Top

Einführung von Passwortmanager

Hallo zusammen.

ich arbeite bei einem Softwareentwicklungsunternehmen mit Ca. 70 interne und 30 Externe Mitarbeitern. Das Admin Team benutzt derzeit 1 Password als Passwortmanagger,
es wird aber mit der zeit nötig auf alle Mitarbeiter zu erweitern. Ich finde aber 1 Password nicht dafür geeignet.
Wie ist euere Erfahrung? Was benutzt ihr?
Die wichtigste Funktionen, was das Passwortmanagger können sollte:
-Daten möglich lokal oder in Deutschland zu speichern.
-Die Möglichkeit MFA zu Passwörter zu speichern.
-Admins können Passwörter in Tresor bei Mitarbeiter speichern oder zuweisen.

Danke im Voraus uns genießt das baldige Wochenende ;)

Content-ID: 3756899337

Url: https://administrator.de/forum/einfuehrung-von-passwortmanager-3756899337.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

michi1983
michi1983 26.08.2022 aktualisiert um 10:44:05 Uhr
Goto Top
Hallo,

schon mal die Suchfunktion hier genutzt?
4500 Beiträge zu dem Thema face-wink

Gruß
2423392070
2423392070 26.08.2022 um 11:21:45 Uhr
Goto Top
Azure Vault und Pleasant Password Server Enterprise+SSO
aqui
aqui 26.08.2022 um 11:29:46 Uhr
Goto Top
xilberzerg
xilberzerg 26.08.2022 um 11:35:42 Uhr
Goto Top
Danke für die "nette" Antworte :D
Google habe ich natürlich und ich beisitze die Fähigkeit Artikel bei Heise zu lesen.
Die Frage ist, wie ist euere Erfahrung? Was benutzt ihr?
Deswegen stelle ich die frage hier im Forum zum community.
3714160434
3714160434 26.08.2022 aktualisiert um 11:50:08 Uhr
Goto Top
lcer00
lcer00 26.08.2022 um 12:07:17 Uhr
Goto Top
Hallo,

dann teile uns doch mal mit, wie Deine Erfahrungen mit 1Password sind und warum Du es für ungeeignet hältst. Dann kann man auch konkret auf Punkte eingehen.

Grüße

lcer
xilberzerg
xilberzerg 26.08.2022 um 12:07:46 Uhr
Goto Top
Wir benutzten 1Passwort und seit dem letzten Update, ist es nicht mehr möglich die Daten lokal zu speichern.
https://www.heise.de/news/Cloud-Zwang-bei-1Password-Hersteller-bleibt-st ...

Verzeihung, mein Fehler, dass ich nicht gut genug fragen kann.
Ich wollte aktuelle Erfahrungen sammeln und nicht von 2015 wie unten den Linkst zu sehen ist.
Die Fragen wiederholen sich natürlich öfter, da die IT sich entwickelt und was vor paar Jahre eine potente Lösung war, möglicherweise heute veraltet. Es legt also nicht daran dass man faul ist zum googlen.
Zwischen den Links gibt es tatsächlich ein von 2021. dass ist das aktuellste. Danke dafür.

Interessanterweise, da ich nur Antworten bezüglich der Frage lese, liegt trotzdem nicht an der Fragestellung sondern an denen die antworten.
lcer00
lcer00 26.08.2022 um 12:25:00 Uhr
Goto Top
Hallo,
Zitat von @xilberzerg:

Wir benutzten 1Passwort und seit dem letzten Update, ist es nicht mehr möglich die Daten lokal zu speichern.
https://www.heise.de/news/Cloud-Zwang-bei-1Password-Hersteller-bleibt-st ...
Nach Lokal exportieren kann man ja weiterhin - oder? Suchst Du also einen Passwordmanager, der on premise installiert wird? Oder würde eine Cloud-Datenablage in EU/Deutschland genügen? Und darf es dann trotzdem ein amerikanisches Unternehmen sein?

Keine Angst - wir helfen Dir schon beim Präzisieren Deiner Frage.

Grüße

lcer
xilberzerg
xilberzerg 26.08.2022 um 12:31:51 Uhr
Goto Top
Die Daten müssen in Deutschland bleiben.
Dafür meiner Erfahrung nach zwei Lösungen gibt:
-Daten lokal (on premise) zu bewahren,
-Cloudanbieter in Anspruch nehmen, der sein Daten nur in Deutschland speichert, soweit wäre irrelevant, ob das Unternehmen aus z.B. USA kommt.

Danke im Voraus
3714160434
3714160434 26.08.2022 aktualisiert um 13:06:07 Uhr
Goto Top
Etablierte Systeme die sich natürlich selbst hosten lassen (Fremde Cloud kommt mir bei solch sensiblen Daten nicht in die Tüte) sind bspw.
https://www.passwordsafe.com/de/
https://www.passwordserver.de/

Lassen sich beide jederzeit selbst austesten. Mateso Password Safe setzen wir selbst ein und sind rundum glücklich, aber das muss jeder für sich selbst heraus finden, das kann dir hier keiner abnehmen.
lcer00
lcer00 26.08.2022 um 13:16:35 Uhr
Goto Top
Hallo,

wir nutzen Keeper. Die speichern für EU-Kunden innerhalb der EU.

Grüße

lcer
C.R.S.
C.R.S. 26.08.2022 um 13:25:57 Uhr
Goto Top
Hallo,

Passwordstate. Updates sind in komplexeren Installationen nicht immer reibungslos, aber der Support ist ausgezeichnet und hat noch jedes Problem innerhalb von 24 Stunden gelöst.

Generell ist eine Abgrenzung nötig: Es gibt unzählige Password-Safes, um nichtpersonalisierte Passwörter serverbasiert zu speichern und mehreren Nutzern zugänglich zu machen. Das mag punktuell ausreichen, ist beim umfassenden Einsatz in einem regulierten Umfeld aber zwecklos. Sobald Passwörter geteilt werden, braucht es eine Verzahnung mit den Einsatzpunkten dieser Passwörter, also AD, AAD, Datenbank- und Web-Server, Firewalls etc, um die Passwörter anlass- bzw. zugriffsbezogen rotieren zu können.
Dafür gibt es nur eine überschaubare Zahl KMU-fähiger Lösungen, wie eben Passwordstate oder ManageEngine PMP. Die gelieferte Skript-Basis und Modularität macht dabei den Unterschied und hebt Passwordstate meines Erachtens positiv ab.

Grüße,
Richard
ECIM-EDCS
ECIM-EDCS 26.08.2022 um 14:40:10 Uhr
Goto Top
Hmmm, also an erster Stelle würde ich entscheiden, ob OnPremise oder Cloud.

Bei OnPremis ist nämlich zu bedenken:

- Man muss sich um die Updates kümmern
- Man braucht einen BackUp Plan, sollte ein Update ärger bereiten
- Somit kontinuierliche BackUps oder Redundanz
- Man muss aktiv hinter der Sicherheit stehen, wie Verschlüsselung, Firewall, usw.
- Die OnPremise Lösung sollte zumindest ein Plugin für Browser haben, ich sehe sonst den nutzen nicht auf einem Computer

Auf der Cloud Seite hast du das alles, jedoch musst du zahlen und darauf vertrauen, dass der Anbieter alle obergenannte OnPremise Punkte vor Augen hält und einhaltet, für dich aber weniger Aufwand.

Ich habe Kunden, die bei 50 Mitarbeitern 1Password verwenden, ich selbst verwende es auch (1Password hat btw. eine EU Lösung, das muss man aber beim buchen die Region definieren) Diese Unternehmen verwenden den Passwortmanager auf einer täglichen Basis.

Ich habe auch Kunden, wo wir Bitwarden (jetzt Vaultwarden) OnPremise installiert haben, dies empfehle ich jedoch nur, wenn die App nicht regelmäßig verwendet wird und Ressourcen für die Instandhaltung verfügbar sind.

Von der Verwendung her finde ich letzteres nicht sehr benutzerfreundlich bei der Erstkonfiguration, da ist 1Password meiner Meinung nach leichter in Betrieb zu nehmen.

Auch würde ich eine Lösung suchen, die als App auf Smartphones zugänglich ist.

Außerdem ist ratsam per MDM alle anderen Arten von Speichern der Passwörter zu blockieren (zB. die eingebauten Manager der Browser oder iCloud Schlüsselbund), sonst hat das ganze wieder keinen Sinn.

Reagierend auf den Beitrag von Richard aber: Ich hätte bisher noch keine Lösung bei einem Passwortmanager gefunden, welches eine Authentifizierung mittel AD, AAD oder ähnlichem erlauben würde. Begründet wurde das bei den von mir genannten Diensten, dass das Masterpasswort selbst für die Verschlüsselung der Datenbank zuständig ist. Sollte das Passwort eines AD-Accounts aber geändert werden, kann danach auf Grund des neuen Passwortes der Tresor nicht mehr geöffnet werden, daher wird diese Lösung nicht angeboten.

Ich selbst sehe kein Problem mit 1Password, verwende es schon seit 7 Jahren. Es fehlt mir jedoch der Support für externe Mitarbeiter, die eventuell schon einen anderen Account bei 1Password haben...
SeaStorm
SeaStorm 26.08.2022 um 15:35:41 Uhr
Goto Top
Hi
Wir nutzen Mateso PasswordSafe.
Die FatClient UI ist ziemlich langsam kann aber viel.
Der Webclient ist ganz OK.
Die Administration ist am Anfang echt gruselig, wenn man es aber erst Mal ordentlich aufgesetzt hat, muss man da nicht mehr wirklich ran.

Das Teil läuft OnPrem und man kann sich da mit gegenseitiger Autorisierung, persönlichen und Abteilungsberechtigungen, Transfer , auditlogs usw echt austoben.

Es ist halt nicht so einfach wie andere, dafür aber äußerst umfangreich
lcer00
lcer00 26.08.2022 um 15:45:30 Uhr
Goto Top
Hallo,
Zitat von @ECIM-EDCS:


Reagierend auf den Beitrag von Richard aber: Ich hätte bisher noch keine Lösung bei einem Passwortmanager gefunden, welches eine Authentifizierung mittel AD, AAD oder ähnlichem erlauben würde. Begründet wurde das bei den von mir genannten Diensten, dass das Masterpasswort selbst für die Verschlüsselung der Datenbank zuständig ist. Sollte das Passwort eines AD-Accounts aber geändert werden, kann danach auf Grund des neuen Passwortes der Tresor nicht mehr geöffnet werden, daher wird diese Lösung nicht angeboten.
Bei Keeper ist eine Authentifizierung über AAD einschließlich SSO möglich.

Grüße

lcer
2423392070
2423392070 26.08.2022 um 15:54:32 Uhr
Goto Top
Wir nutzen Pleasant Passwortserver wegen der Art und Weise wie er gemacht ist. Heißt Windows Server Core 2022 mit IIS 10 als Applikationsserver und MSSQL als Backend. Das Ganze vollständig in die Domäne integriert und die gesamten Berechtigungen für die User und Gruppen Kommen aus dem AD.
Es gibt neben der Weboberfläche eine angepasste Version des KeePass2 Clients und Apps, die bei uns aber nur die IT nutzt.
Mittlerweile ist das Tool bei uns weltweit im Einsatz.

Wir haben es in unseren Werken und sonstigen Niederlassungen im Einsatz und auch für unsere Cloud Projekte.

Das ausgesuchte Manager Passwörter auf Anfrage (Access Approval) zeitlich befristet zur Verfügung stellen können ist ein sehr beliebtes Feature. Das spart unglaublich viel Zeit.

Auch die die Integration von SSO Helfern gut gelungen und 2FA, Yubikey (Enterprise) ist alles möglich.
Die Protokollierung ist super und jede Aktion geht per Syslog an eine Appliance die nach bestimmten Ereignissen sucht und dann die Abteilungsleiter per Mails informiert. (User wurde in Gruppe aufgenommen)
ECIM-EDCS
ECIM-EDCS 26.08.2022 um 17:30:37 Uhr
Goto Top
Hallo,

Zitat von @lcer00:

Hallo,
Bei Keeper ist eine Authentifizierung über AAD einschließlich SSO möglich.

Grüße

lcer

Aus reiner Neugier nur: Was passiert, wenn das Gerät selbst gerade offline ist (Also der PC des Users, weil er gerade im Flieger sitzt)? Sind die Passwörter dann auch erreichbar? SSO braucht ja zur Authentifizierung eine Internetleitung, um bestätigen zu können, dass das Passwort weiterhin richtig ist via AAD...

Danke und lg, Edi
C.R.S.
C.R.S. 26.08.2022 um 18:22:35 Uhr
Goto Top
Zitat von @lcer00:

Hallo,
Zitat von @ECIM-EDCS:


Reagierend auf den Beitrag von Richard aber: Ich hätte bisher noch keine Lösung bei einem Passwortmanager gefunden, welches eine Authentifizierung mittel AD, AAD oder ähnlichem erlauben würde. Begründet wurde das bei den von mir genannten Diensten, dass das Masterpasswort selbst für die Verschlüsselung der Datenbank zuständig ist. Sollte das Passwort eines AD-Accounts aber geändert werden, kann danach auf Grund des neuen Passwortes der Tresor nicht mehr geöffnet werden, daher wird diese Lösung nicht angeboten.
Bei Keeper ist eine Authentifizierung über AAD einschließlich SSO möglich.

Das kann auch OpenSource wie Psono oder Passbolt. Die Erklärung ist nicht so plausibel, da bei Mulit-User-Passwortmanagern die Verschlüsselung fast zwangsläufig vom Nutzerzugang abstrahiert ist, denn Einträge oder Listen sollen ja geteilt werden können.

Mir ging es aber nicht um die Authentifizierung, sondern die Rücksetzung bzw. Konfiguration der Passwörter selbst. Wenn für einen Zweck ein Passwort mehreren Nutzern zugänglich gemacht wird, muss es ja erneuert werden, sobald ein Zugang entfällt. D.h. die Lösung muss je nach Einsatzberreich lokale Konten in Linux, Windows, Datenbanken oder Netzwerkgeräten aktualisieren können, ebenso im AD, AAD etc.
jsysde
jsysde 27.08.2022 um 08:35:58 Uhr
Goto Top
Moin.

Schau dir mal den Password Depot Enterprise Server an:
https://www.password-depot.de/passwort-server.htm

OnPrem, viele Möglichkeiten, zentrale Konfigvorgaben möglich (z.B. User dürfen nicht exportieren usw.), Client-MSI-Rollout per GPO möglich, mobiler Client, Web-Zugriff usw. Kostet natürlich ein paar Taler, die sind es aber imho wert.
Ok, mit V16 musst du dir das MSI-Paket selbst bauen, was aber a) beschrieben ist und b) gut funktioniert.

Wenn's etwas einfacher sein darf, Vaultwarden:
https://github.com/dani-garcia/vaultwarden

Dockerized, kannste quasi überall betreiben, muss aber teils via Config-File konfiguriert werden, nicht ganz so "hübsche" GUI. Kostet halt auch nix.

Password State wurde schon genannt, hatten wir früher im Einsatz - bis ein Update für mehrere Tage konsequent den Zugriff auf unsere Passwörter verhindert hat. Ging ohne Datenverlust aus, war aber mehr als ärgerlich und der Support war völlig überlastet.

Alle Programme bieten die Möglichkeit, teilweise oder vollständige Exporte der Password-DB(s) auszuführen und diese dann z.B. in KeePass zu importieren. Nicht ganz unwichtig: Steht deine Infrastruktur, kommst du u.U. nicht mehr an die Passwörter, die du zum Re-Start benötigst...

*Just my 5 Cent*

Cheers,
jsysde
MysticFoxDE
MysticFoxDE 28.08.2022 aktualisiert um 21:34:56 Uhr
Goto Top
Moin xilberzerg,

Wie ist euere Erfahrung? Was benutzt ihr?

Wir und viele unserer Kunden nutzen das hier und sind damit sehr zufrieden.
https://devolutions.net/remote-desktop-manager/de
Hört sich zwar im ersten Augenblick nicht nach einem Passwordmanager an, ist es aber.

Die wichtigste Funktionen, was das Passwortmanagger können sollte:
-Daten möglich lokal oder in Deutschland zu speichern.
-Die Möglichkeit MFA zu Passwörter zu speichern.
-Admins können Passwörter in Tresor bei Mitarbeiter speichern oder zuweisen.

Jup, das kann der RDM auch alles, ist aber nicht gerade billig.

Die RDM Daten liegen bei uns aus Sicherheitsgründen verschlüsselt in einer lokalen SQL DB, kannst aber auch diverse andere Ziele wählen.

Der Client funktioniert übrigens trotzt SQL DB auch offline.

Beste Grüsse aus BaWü
Alex
pfaelzerwildsau
pfaelzerwildsau 29.08.2022 aktualisiert um 10:46:44 Uhr
Goto Top
In unserer Firma wird mir KeePass (mit lokaler Speicherung) angeboten.

Privat habe ich folgende Anforderungen:
- Nutzung unter Windows, Android, iOS
- Zentrale plattformübergreifende Ablage
- Dateianhänge zu einem Eintrag
- Unterteilung in Kategorien
- Einbindung in Browser

1Password hatte ich bis zur Einführung des Abo-Modells genutzt.
Dann bin ich auf Enpass gewechselt.
Der Export/Import war zwar holprig und erforderte viel Handarbeit, aber jetzt bin ich mit Enpass sehr zufrieden.

Ich speichere dort u. a. auch SW-Keys, Kopien wichtiger Dokumente (Ausweise, Führerscheine, etc.) und Rechnungen von Einkäufen (zwecks Garantie)

Auch kann ich zu einem Eintrag spezielle Felder hinzufügen, oder individuelle Templates erstellen.

So zumindest meine bisherige bescheidene Erfahrung.

Anmerkung:
Das Thema Security ist genauso individuell wie ein Auto oder Kleidung.
Da gibt es keine pauschale, eierlegende Wollmilchsau.
Ich hatte damals viele PW-Manager getestet und bin bei 1Password hängen geblieben.
Ich will kein Abo, daher der Umzug zu Enpass.