jacolo
Goto Top

Passwort Manager

Hallo an alle die das lesen,
im Grunde genommen bin ich ein glücklicher, dienstleistender KeePass Nutzer. In dieser Datenbank habe ich verschiedene Passwörter von meinen Kunden. Ich brauche ab und zu Hilfe von jemand Externen. Damit ich so jemanden zu einem Kunden schicken kann bräuchte so Jemand auch Zugriff auf das KeePass File. Wenn ich diese einmal aus der Hand geben würde hätte dieser einfach einmal Alles und ich habe keine Möglichkeit ihm die Datenbank wieder zu entziehen. Er könnte diese Datenbank kopieren, mitnehmen, behalten usw. Das möchte ich nicht!!!
Mit Berechtigungen kommt man hier auch nicht weit... lese Zugriff bedeutet auch kopieren geht.
Einfach alle Passwörter kurzerhand zu ändern ist keine Option.
Mir ist schon klar das Vertrauen auch eine Rolle spielt aber man weiß im Vorhinein nie warum sich eine Zusammenarbeit aufhört.

Als logischer Schritt wäre ein Webbasierter PW Manager sinnvoll.
Wichtig ist mir das das ganze So sicher wie nur irgendwie möglich ist. Dsgvo konform. App für IOS.
Eine NAS gäbe es. Ein VPS Server mieten wäre auch eine Möglichkeit.

Wir würdet Ihr dieses Thema lösen? Welche Software? Welcher Aufbau?
Ich denke nicht das ein Clouddienst in Betracht zu ziehen ist aber vielleicht denke ich hier zu old school mäßig!?!

Bitte um euren Input!
Danke euch
Lg

Content-ID: 647670

Url: https://administrator.de/contentid/647670

Ausgedruckt am: 19.11.2024 um 04:11 Uhr

maretz
maretz 03.02.2021 um 14:30:21 Uhr
Goto Top
Wenn du jemanden ein Passwort gibst kann er es IMMER auch kopieren - notfalls per Zettel und Stift. Was möchtest du also damit verhindern? Dann müsstest du one-time-passwörter verwenden (da gibts ja div. Tools für die das erledigen) - dann kannst du das an jeden geben und das is nur eine gewisse Zeit gültig. Du solltest natürlich nur sicherstellen das die Person nich grad noch eigene User generieren kann - sonst is das auch wieder sinnlos.
Doskias
Doskias 03.02.2021 um 15:02:38 Uhr
Goto Top
Moin,

wir nutzen selbst den Keepass. Als Alternative kann ich dir den Remotedesktopmanager (https://remotedesktopmanager.com/de) empfehlen. In der Pro-Version ist es durchaus möglich, dass du die Kennwörter eingibst und pflegst (Adminstatus), während du Benutzern nur die Verbindung mit dem hinterlegten Account freigibst. Das funktioniert super. Wir haben es damals im Systemhaus genutzt um RDP-Verbindungen, Teamviewerverbindungen, Website-Logins, VPN-Verbindungen, Sophos-Logins zu verwalten. Die Techniker hatten nur die freigegebenen Verbindungen und kannten die Kennwörter nicht. Dadurch musste beim Ausscheiden eines Mitarbeiters nicht alles geändert werden. Kostet aber auch ein bisschen Geld.

Wenn du nur ab und zu Hilfe brauchst, dann sind vielleicht Konten mit zeitlichem Zugriff eine Option? Wir haben unsere Firewall zum Beispiel so konfiguriert, dass Teamviewer nur nach Bestätigung für 1 Stunde möglich ist (bestehende Verbindungen werden erst um 20 Uhr getrennt) und ein AD-Account welches täglich um 21:00 Uhr per Skript wieder deaktiviert wird. Selbst wenn der DL die Daten weitergibt, kommt er durch den gesperrten Account nicht mehr rein. Ist aber nicht für alles (Login auf Websiten zum Beispiel) möglich.

Gruß
Doskias
JasperBeardley
JasperBeardley 03.02.2021 um 15:52:03 Uhr
Goto Top
Moin.

Dann ist keepass das falsche Produkt.
Password Safe kann granular Userberechtigungen setzen.
Das geht sogar soweit runter, das der User das Passwort nicht sehen kann, sondern nur per Tastenkombi
automatisch eingetragen wird,

Wenn ich mich recht entsinne, kann man sogar verhindern, das es in ein TXT File kopiert wird.
Ist allerdings nicht ganz günstig.

Gruß
Jasper
bastian23
bastian23 03.02.2021 um 18:33:34 Uhr
Goto Top
schau Dir mal Teampass an.
Wir protokolliert was er anschaut.
Kannst auch recht auf jedes Passwort setzen
tech-flare
tech-flare 03.02.2021 um 21:35:45 Uhr
Goto Top
Wir nutzen Passwort Depot von Acebit (deutscher Hersteller) OnPrem in der Enterprise Version
.
Web, App und nativer Client ist verfügbar.

Berechtigungen auf Ordner und AD Anbindung sind kein Problem
GNULinux
GNULinux 04.02.2021 um 19:33:46 Uhr
Goto Top
Zitat von @Jacolo:
Wichtig ist mir das das ganze So sicher wie nur irgendwie möglich ist. Dsgvo konform. App für IOS.
Schau dir mal Bitwarden an: https://bitwarden.com/products/
Ist quelloffen, transparent und kann on prem oder in der Cloud betrieben werden.
Nutze habe ich privat auf meinem Homeserver mit Docker zum testen damals deployt und ist mittlerweile auch im Unternehmen installiert. Funktioniert auf allen gängigen Plattformen, sowohl Desktop als auch mobil.

Zitat von @Jacolo:
Ich denke nicht das ein Clouddienst in Betracht zu ziehen ist aber vielleicht denke ich hier zu old school mäßig!?!
Ist nicht oldschool sondern vernünftig. Sensible Daten in eine public Cloud und damit auf fremde Rechner im Interntet zu packen bedeutet immer ein höheres Risiko. Es gibt Szenarien in denen Clouds sinnvoll sein können, zumal Cloud auch nicht gleich Cloud ist vom Sicherheits- und Datenschutzniveau. Aber nur weil es gerade hipp ist, sollte man nicht alles was bei 3 nicht auf dem Baum ist irgendwo ins Internet packen.

Am sichersten ist
- Server in Deutschland (Hetzner, Strato, ...)
- Absichern nach gängigen best practices (SSH Keys mit PW Schutz, SSL Zertifikat mit aktuellen Algorithmen etc)
- Möglichst nur das drauf was benötigt wird (kein GUI System für einen Webserver oder so was)
- Das ganze pflegen ~> Veraltete Software bedeutet immer ein höheres Angriffsrisiko

Zitat von @Jacolo:
Hallo an alle die das lesen,
Er könnte diese Datenbank kopieren, mitnehmen, behalten usw. Das möchte ich nicht!!!
Naja das Problem kannst du mit keinem PW Manager lösen. Mit Bitwarden könntest du ihm zwar den Zugriff entziehen. Aber das schützt nicht dagegen, dass er dieses PW danach noch benutzt. Es weiß ja keiner, was er bis dahin damit gemacht hat: Er könnte es z.B. rauskopiert, im Browser gespeichert oder schlichtweg auswendig gelernt haben. Diese Möglichkeit kannst du ihm auch nicht verwehren, wenn er sich irgendwo einloggt muss er die PWs kennen.

Das einzige was du vorsorglich machen kannst ist
- PWs möglichst nicht gleich geben sondern erst wenn man sich besser kennt und Vertrauen da ist
- Wie du schon sagtest nicht gleich alle PWs, sondern nur die wo benötigt werden ~> Im Problemfall musst du weniger prüfen/ändern
- Wenn möglich nicht überall einen (Super-)Admin User ihm geben sondern einen eigenen Account der nur so viele Rechte wie nötig hat

Wenn ihr z.B. mal getrennte Wege geht, ist die einzig sichere Lösung sämtliche PW auf die er Zugriff hat zu ändern und auch zu kontrollieren, ob er evt. vorsorglich Backdoor-Accounts (zweiter A-User, Admin Token oder so was) eingebaut hat. Daran führt kein Weg vorbei - oder du lebst eben mit dem Restrisiko, dass er vielleicht die Zugänge irgendwo gesichert hat und damit Unsinn treibt.
Jacolo
Jacolo 05.02.2021 um 17:55:15 Uhr
Goto Top
Danke für euren Input, mit Bitwarden teste ich schon herum und gefällt mir eigentlich ganz gut. Da kann man Sammlungen erstellen zB Kunde1, Kunde2 und auf diese Sammlungen kann man Berechtigungen setzten. Somit kann man auch Berechtigungen wieder entziehen. Die Clients aktualisieren sich jede halben Stunde selbstständig. Das bedeutet man kann dem zuarbeitenden immer den Kunden freigeben für den gerade Zugriffe benötigt werden.
Man braucht seitens Bitwarden auf jedenfalls eine Enterprise Lizenz für 5Eur/User/Monat mit der kann man eine eigene Instanz hosten und noch andere Einstellungen treffen die sinnvoll sind.
Eigene Instanz zb. Bei Ionos auf einem Virtuellen Server hosten? Hier könnte man zum Beispiel via VPN den Zugriff auf die gehostete Instanz absichern. Oder aber man lässt es ohne VPN laufen...aber mit MFA... Tja... wäre bequemer...
Entschlüsselung findet nur am Client statt. Am Server liegen die Daten nur verschlüsselt. Port wäre nur der notwendige sonst gar nix.
Berechtigung für den Zuarbeitenden kann man so einstellen das nichts exportiert werden kann. Wenn er böse ist kann er sich hinsetzten und gezielt einzelne Einträge herausziehen. Vertrauen spielt hier ja auch eine große Rolle und ausschließlich von vorsätzlicher Böswilligkeit ausgehen ist auch kein Weg.

Wie ist eure Meinung dazu. Kann man das so machen oder wäre das grob fahrlässig?
lg
GNULinux
GNULinux 05.02.2021 um 23:42:04 Uhr
Goto Top
Kann man so machen. Was ich noch empfehlen würde ist 2FA: https://bitwarden.com/help/article/setup-two-step-login/
Vor allem wenn kein VPN davor ist macht das sicherheitstechnisch sinn. Mit offenen Lösungen wie z.B. FreeOTP lässt sich das auch transparent umsetzen, ohne sich Datenkranken ins Haus zu holen.
tech-flare
tech-flare 06.02.2021 um 14:55:57 Uhr
Goto Top
Zitat von @Jacolo:
Man braucht seitens Bitwarden auf jedenfalls eine Enterprise Lizenz für 5Eur/User/Monat mit der kann man eine eigene Instanz
Wie ist eure Meinung dazu. Kann man das so machen oder wäre das grob fahrlässig?
Wenn du unbedingt ein Abomodell willst....klar....warum nicht ;)
GNULinux
GNULinux 06.02.2021 um 16:09:04 Uhr
Goto Top
Damit unterstützt man die Entwicklung eines transparenten PW Managers, das halte ich für keinen Fehler. Viele Alternativen (zumindest die teamfähigen) haben bereits auf Abos umgestellt. Und da hast du dann eine komplett proprietäre Blackbox, teilweise gibts die auch noch nur in der Cloud, sodass man voll von denen abhängig ist.

Wenn der Preis ein Problem ist, wäre ggf. Family eine Alternative. Kostet nur 40$ pro Jahr und beinhaltet bis zu 6 Konten. Habe ich privat auch, da ist die On-Prem Lizenz mit drin. Family ist eine etwas abgespeckte Enterprise-Variante, z.B. fehlen Gruppen oder SSO. Allerdings bin ich mir nicht sicher, ob sich Family wie es der Name sagt nur an privatpersonen richtet, oder ob du das kommerziell auch buchen darfst, wenn dir die Funktionen reichen.

Ich würde mal Vergleichen ob Enterprise Funktionen dabei sind die du brauchst:
https://bitwarden.com/pricing/business/
https://bitwarden.com/pricing/

Falls Family von den Funktionen her in Frage kommt, würde ich beim Support kurz nachfragen.
tech-flare
tech-flare 07.02.2021 aktualisiert um 13:11:05 Uhr
Goto Top
Zitat von @GNULinux:

Damit unterstützt man die Entwicklung eines transparenten PW Managers, das halte ich für keinen Fehler. Viele Alternativen (zumindest die teamfähigen) haben bereits auf Abos umgestellt. Und da hast du dann eine komplett proprietäre Blackbox, teilweise gibts die auch noch nur in der Cloud, sodass man voll von denen abhängig ist.

Ich unterstützte auch die Entwickler, wenn ich eine Lizenz kaufe mit Maintenance ohne grundsätzlichen Abozwang und dann für mich selbst entscheide, ob ich das Update benötige und bei Bedarf verlängere.

Aber ich kaufe lieber die Lizenz einmal und habe eine Lifetime Lizenz inkl. OnPrem Server.
Jacolo
Jacolo 11.03.2021 um 15:56:19 Uhr
Goto Top
Hallo zusammen,
ich habe jetzt Bitwarden vor und zurück getestet. Ich kann nur sagen das es ein toller Passwort Manager ist. Allerdings hält mich derzeit eine Tatsache zurück auf Bitwarden umzusteigen.
Ich würde eine Sammlung für jeden Kunden anlegen. Super Sache... aber wenn der Kunde irgendwann mal den Wunsch äußert, das er gerne alle seine Passwörter haben möchte.... tja dann gibt es keine Möglichkeit eben nur diese Sammlung zu exportieren.
Alles exportieren also wirklich alles...alle Sammlungen geht - als CSV, man kann sich dann auch alles in Excel raussuchen aber will man das?
Ich halte das nicht für sinnvoll einfach alles exportieren zu müssen um eine Sammlung weitergeben zu können.
Vielleicht bin ich da zu paranoid aber solche Daten auch nur kurz unverschlüsselt am Rechner zu haben ist eigentlich fahrlässig. Und wenn es schon sein muss.. eben um dem Kunden das ganze als PDF für den Tresor geben zu können...müsste es möglich sein eben nur diese entsprechende Sammlung exportieren zu können.
Bitte um euren Gedanken Input hierzu.
lg und bleibt gesund!
Jacolo
Jacolo 08.07.2022, aktualisiert am 09.07.2022 um 15:43:17 Uhr
Goto Top
Habe mich immer noch nicht entscheiden können🥴
Wie macht ihr das? Was nutzt Ihr?
Doskias
Doskias 11.07.2022 um 08:24:24 Uhr
Goto Top
Moin,

ist das jetzt dein Ernst? Nach 16 Monaten das alte Thema wieder raus zu kramen, weil du dich immer noch nicht entscheiden konntest? Mach eine Nutzwertanalyse. Das lernt man in der Ausbildung. Danach hast du das Programm, welches deinen Anforderungen in Gänze am ehesten entspricht.

Gruß
Doskias