5
Kennwort lieber speichern oder eingeben
Hallo,
mal eine Einschätzungsfrage.
Ein Anwender hat ein Notebook. Windows 10 Pro, verschlüsselt mit Bitlocker (TPM), anmeldung biometrisch (Venenscanner) und nutzt dieses bei Kunden, im Hotel und allgemein Unterwegs.
Für die Einwahl geht er auf eine Web-Portal und meldet sich dort mit Zertifikat und TOTP (via Handy) an.
Danach RDP auf den RDS-Server (Nur AD-Benutzername und Kennwort).
Jetzt stellte sich die Frage was sicherer wäre für die RDS-Zugangsdaten.
A) Benutzername und Kennwort von Hand eingeben
Möglicher Angriff z.B. durch abschauen, versteckte Kamera, etc
B) Benutzername und Kennwort speichern in RDP
Möglicher Angriff auf das Notebook wenn Jemand Zugriff darauf hat (vergessen zu sperren und auf Klo gegangen z.B.)
Gibt es hier ein Killer-Argument was ich übersehe?
Stefan
mal eine Einschätzungsfrage.
Ein Anwender hat ein Notebook. Windows 10 Pro, verschlüsselt mit Bitlocker (TPM), anmeldung biometrisch (Venenscanner) und nutzt dieses bei Kunden, im Hotel und allgemein Unterwegs.
Für die Einwahl geht er auf eine Web-Portal und meldet sich dort mit Zertifikat und TOTP (via Handy) an.
Danach RDP auf den RDS-Server (Nur AD-Benutzername und Kennwort).
Jetzt stellte sich die Frage was sicherer wäre für die RDS-Zugangsdaten.
A) Benutzername und Kennwort von Hand eingeben
Möglicher Angriff z.B. durch abschauen, versteckte Kamera, etc
B) Benutzername und Kennwort speichern in RDP
Möglicher Angriff auf das Notebook wenn Jemand Zugriff darauf hat (vergessen zu sperren und auf Klo gegangen z.B.)
Gibt es hier ein Killer-Argument was ich übersehe?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5344765052
Url: https://administrator.de/contentid/5344765052
Printed on: April 25, 2024 at 05:04 o'clock
5 Comments
Latest comment
Moin,
also ich persönlich würde (auch wenn es manchmal nervig ist), die Nutzer Daten immer abfragen, Benutzernamen kann man ja speichern aber das Kennwort würde ich nicht speichern wenn es keinen drifitgeren Grund als gemütlichkeit gibt.
Das Abschauen vom Kennwort beim eintippen ist meiner Meinung nach die unwahrscheinlichere Variante.
Grüße
Flo
also ich persönlich würde (auch wenn es manchmal nervig ist), die Nutzer Daten immer abfragen, Benutzernamen kann man ja speichern aber das Kennwort würde ich nicht speichern wenn es keinen drifitgeren Grund als gemütlichkeit gibt.
Das Abschauen vom Kennwort beim eintippen ist meiner Meinung nach die unwahrscheinlichere Variante.
Grüße
Flo
Es ist die Frage ob das Speichern, in diesem Fall auf dem gesicherten Notebook, nicht sicherer als die Eingabe ist.
ich denke der wichtigste Punkt sitzt doch VORM Monitor. Technisch hat ja - wie du schreibst - beides eben seine Vor- und Nachteile... Wenn der Benutzer zB. selbst sagt er wills per Passwort-Eingabe dann wird der schon versuchen da das "abschauen" zu vermeiden. Und seien wir ehrlich - wenn da "versteckte Kamaras" usw. zum Einsatz kommen ist der Angriff schon sehr speziell. Dann kann man auch überlegen was passiert wenn sich eben jemand die Person schnappt u. mitm Ikea Kloppe in nem dunklen Raum nach dem Passwort fragt -> DANN musst du also schon noch andere Faktoren überlegen (2te Person aufm anderem Kontinent bestätigt die Anmeldung,...).
Wenn die Person aber eh schon von dem ganzen Kram genervt ist und sich denkt das nach der 17ten Anmeldung mit möglichst komplexen Passwörtern auch mal gut ist wirds die nich kümmern - dann hängt eben irgendwann der Sticker aufm Laptop (kann man ja abmachen wenns ins Office geht...). Oder man brüllt eben quer durch die Werkstatt "ey kollege, guck mal was auf meinem Rechner gezeigt wird - passwort ist 1234...". Dann ist es ggf. sinnvoller das einfach zu speichern...
Von daher würde ich auf dem Level einfach eher schauen was die Person selbst bevorzugt - das wird die Sicherheit idR. viel mehr erhöhen wenn die mitmachen als einfach was vorzugeben.
Wenn die Person aber eh schon von dem ganzen Kram genervt ist und sich denkt das nach der 17ten Anmeldung mit möglichst komplexen Passwörtern auch mal gut ist wirds die nich kümmern - dann hängt eben irgendwann der Sticker aufm Laptop (kann man ja abmachen wenns ins Office geht...). Oder man brüllt eben quer durch die Werkstatt "ey kollege, guck mal was auf meinem Rechner gezeigt wird - passwort ist 1234...". Dann ist es ggf. sinnvoller das einfach zu speichern...
Von daher würde ich auf dem Level einfach eher schauen was die Person selbst bevorzugt - das wird die Sicherheit idR. viel mehr erhöhen wenn die mitmachen als einfach was vorzugeben.
1
Das ist aus meiner Sicht eine Haftungsfrage, die du zu deinem Vorteil beantworten solltest.
Wenn du den Leuten sagst, dass das Speichern von Passwörtern okay ist und es kommt zu einem Vorfall, dann hängst du am Fliegenfänger. Wenn die User das Passwort eingeben müssen, dann liegt es in ihrer Verantwortung, dass da niemand zuschaut.
Ich sage den Leuten immer, dass IT-Sicherheit wie ein Schieberegler zu betrachten ist. Eine Seite ist die Sicherheit und die andere Seite ist "Einfachheit für den User". Man muss eben zusehen, dass der Schieberegler irgendwo da hängt wo beide mit leben können. Im Zweifelsfall jedoch zählt die IT-Sicherheit. Gibt ja auch sehr sperrige User.
Wenn du den Leuten sagst, dass das Speichern von Passwörtern okay ist und es kommt zu einem Vorfall, dann hängst du am Fliegenfänger. Wenn die User das Passwort eingeben müssen, dann liegt es in ihrer Verantwortung, dass da niemand zuschaut.
Von daher würde ich auf dem Level einfach eher schauen was die Person selbst bevorzugt - das wird die Sicherheit idR. viel mehr erhöhen wenn die mitmachen als einfach was vorzugeben.
Was die Person bevorzugt wird dir in den meisten Fällen nicht gefallen. Das typische Userverhalten ist "Ich will sofort und ohne Umschweife das machen was ich machen will" und "Für die Sicherheit bist zu zuständig und verantwortlich, aber ich will, dass du es so einfach wie möglich machst.Ich sage den Leuten immer, dass IT-Sicherheit wie ein Schieberegler zu betrachten ist. Eine Seite ist die Sicherheit und die andere Seite ist "Einfachheit für den User". Man muss eben zusehen, dass der Schieberegler irgendwo da hängt wo beide mit leben können. Im Zweifelsfall jedoch zählt die IT-Sicherheit. Gibt ja auch sehr sperrige User.
Weder noch.
Schalte remote credential guard ein. Somit brauchst du weder etwas eingeben, noch etwas einspeichern, denn dein bestehendes Kerberosticket wird verwendet.
Achtung: willst du andere credentials nutzen, als die eigenen, muss mstsc.exe als anderer Nutzer gestartet werden.
Schalte remote credential guard ein. Somit brauchst du weder etwas eingeben, noch etwas einspeichern, denn dein bestehendes Kerberosticket wird verwendet.
Achtung: willst du andere credentials nutzen, als die eigenen, muss mstsc.exe als anderer Nutzer gestartet werden.
