thetoxic
Goto Top

Erfahrungswerte: Gruppenaccounts

Hallo zusammen,

mich würden eure Erfahrung zum schwiergen Thema mit dem Umgang zu "Gruppenaccounts" interessieren.

Zur Einleitung...
Es handelt sich um ein Unternehmen mit mehreren hundert Mitarbeitern. Aufgrund hoher Personalfluktuation, regelmäßigen Personalwechsel zwischen Abteilungen und kurzen Reaktionszeiten werden in mehreren Abteilungen Gruppenaccounts verwendet. Diese Accounts sind so weit wie möglich Eingeschränkt. Die Kernanwendung erfordert einen persönlichen Login. Bis dato wurden Passwörter bei diesen Gruppenlogins unregelmäßig geändert. Ein Wechsel von Benutzeraccount auf OS-Ebene ist aus Zeitgründen nicht möglich.

Es soll eine neue Regelung im Umgang mit Passwörtern gefunden werden.
Durch den regen Wechsel an Mitarbeitern, ist es erforderlich die Passwörter zugleich eingänglich als auch komplex zu gestalten.
Dies stellt für mich einen schwierigen Zwiespalt dar.
Den Mitarbeitern ist es leider nicht zumutbar Passwörter wie XjgoIU8/"! zu verwenden und diese dazu noch halbjährlich zu ändern. Dies würde ein heilloses Chaos anrichten.

Geplant ist ein Workshop um die KeyUser und Abteilungsleiter im Umgang mit sicheren Passwörtern explizit bei den Gruppenlogins zu schulen.
Es sollen komplexe Kennwörter, mit jährlichem Wechsel eingeführt werden.


Wie handhabt ihr die Problematik in der Praxis?

Gruß, TheToxic

P.S.: Ich würde mich über einen sachlichen/fachlichen Erfahrungsaustausch freuen , auch ohne Belehrungen und Aussagen wie "Wie kannst du nur", "Sowas geht gar nicht" "Du musst das aber so machen..." face-wink

Content-ID: 3688940652

Url: https://administrator.de/forum/erfahrungswerte-gruppenaccounts-3688940652.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

Kamikater
Kamikater 18.08.2022 aktualisiert um 16:19:12 Uhr
Goto Top
Google mal xkcd correct horse battery staple (ja, das hab ich jetzt auswendig geschrieben, bin grad in Eile)

XjgoIU8/"! ist KEIN sicheres Passwort! Das NIST hat schon vor 6 Jahren seine damaligen Empfehlungen revidiert.

Schau dir mal https://www.rempe.us/diceware/#german-dereko an. Das kannst du auch selbst im Unternehmen hosten.

/EDIT: harhar :D Das kommt daher, dass ich correct horse battery stable nicht googlen musste :D
SlainteMhath
SlainteMhath 18.08.2022 aktualisiert um 15:05:46 Uhr
Goto Top
Moin,

wie wär's mit correct horse battery staple?

lg,
Slainte

/EDIT: Mist, zu langsam :D
2423392070
2423392070 18.08.2022 um 18:18:27 Uhr
Goto Top
Wir haben sowas ähnliches für die Schichtsprecher der Linien oder Instandhalter.
Da wird aber nichts staatstragendes gemacht. Zugriff auf das Schichtbuch oder ein paar privilegierte Klicks im MES für den Vorgesetzten.

Im großen und ganzen ist sowas nicht gewollt und an vielen Stellen auch kritisch.
em-pie
em-pie 18.08.2022 um 18:57:31 Uhr
Goto Top
Moin,

Könnt ihr für die Gruppenaccounts nicht SmartCards o.Ä. Einsetzen.
Die Abteilubgsleiter erhalten 20 Stück (halt aktuelle MA-Anzahl + Reserve) und damit können die sich authentifizieren.
Verlässt ein MA die Abteilung/ das Unternehmen, muss er die SmartCard dem Vorgesetzten zurückgeben…


Keine Kennwörter erforderlich…

Gruß
em-pie
SeaStorm
SeaStorm 18.08.2022 um 19:51:51 Uhr
Goto Top
Hi

was für ein Problem soll denn der Gruppenaccount genau lösen? Das die IT nicht so oft neue Logins erstellen muss?
Automatisiert das halt.
Mehrere Menschen die an ein und dem selben Platz und Benutzer arbeiten vernichtet ja jegliche Nachvollziehbarkeit.
Passwörter müssen nicht komplex sein und schon gar nicht alles halbe Jahr geändert werden. Jesus ... ist ja wie nach dem Krieg.
Überhaupt: Warum macht ihr Gruppenaccounts deren Kennwörter eh jedem bekannt sind und ändert die dann auch noch ständig. Macht ja null Sinn. Das Kennwort ist bekannt. Also was soll das?

Wir haben in unserer Produktion entsprechenden Arbeitsinseln. Da steht auch ständig jemand anderes. Der hat aber eine Mitarbeiterkarte mit der er sich am System anmeldet. Karte an den Reader heben, PIN eingebe. Angemeldet. Mit seinem Account. So das auch nachvollziehbar ist wer wann was gemacht hat. Stell dir mal vor du vergisst dich aus deiner Software auszuloggen und der nächste macht in deinem Namen Mist.

Im schlechtesten Fall macht ihr das wie von em-pie beschrieben und es gibt halt mehrere Smartcards für den gleichen Account. Damit wäre zumindest mal das PW nicht mehr bekannt.
TheToxic
TheToxic 19.08.2022 um 07:10:46 Uhr
Goto Top
Da es im Unternehmen sehr viel Puplikumsverkehr von extern gibt, sperren sich die Clients und die Anwendungen automatisch nach kurzer Zeit. Die Anwender sind ebenso geschult diese betroffenen Arbeitsplätze beim Verlassen zu sperren.

@em-pie
Leider sind Smartcards für Abteilungsleiter so nicht möglich.
Ich stimme dir aber zu, Längerfristig wird ein RFID-Auth in irgendeiner Form für alle Mitarbeiter notwendig werden.

@SeaStorm
Danke für die Vorwurfsvollen formulierungen face-wink
Es hat schon alles seinen Grund warum mit Gruppenlogins gearbeitet werden muss.
Da zur Zeit mit Passwörtern gearbeitet werden muss, und man (wie oben beschrieben) eine hohe Personalfluktiation herscht, muss natürlich das Passwort regelmäßig bei genau diesen Accounts geändert werden. Die Komplexität halte ich für zwinged erforderlich, darauf gehe ich jetzt aber nicht näher ein.
Es kommt mir aber eher auf die Gestaltung der Passwörter an...

Komplexität/Länge + Merkbarkeit für Anwender + regelmäßige Änderung (regelmäßig heißt hier nicht wöchentlich!)

Daher...

@Kamikater
@SlainteMhath
Guter Beitrag, ich glaube damit kann man auf dauer das Problem mit komplexen und zu gleich einfach zu merkenden Passwörtern echt in den Griff bekommen.
heavenscent
heavenscent 19.08.2022 um 08:52:12 Uhr
Goto Top
Bei uns sind "Gruppenaccounts" derart eingeschränkt, dass man im Grunde damit keinen Schaden anrichten kann... Daher auch keine regelmäßigen Passwortwechsel.
Wer z.B. auf den Fileserver zugreifen will kann das nur mit einem persönlichen Account.
Mit Gruppenaccounts könnte man trotz logging hinterher nicht beweisen, wer dort Schaden angerichtet hat.