Passwort Manager
Hallo an alle die das lesen,
im Grunde genommen bin ich ein glücklicher, dienstleistender KeePass Nutzer. In dieser Datenbank habe ich verschiedene Passwörter von meinen Kunden. Ich brauche ab und zu Hilfe von jemand Externen. Damit ich so jemanden zu einem Kunden schicken kann bräuchte so Jemand auch Zugriff auf das KeePass File. Wenn ich diese einmal aus der Hand geben würde hätte dieser einfach einmal Alles und ich habe keine Möglichkeit ihm die Datenbank wieder zu entziehen. Er könnte diese Datenbank kopieren, mitnehmen, behalten usw. Das möchte ich nicht!!!
Mit Berechtigungen kommt man hier auch nicht weit... lese Zugriff bedeutet auch kopieren geht.
Einfach alle Passwörter kurzerhand zu ändern ist keine Option.
Mir ist schon klar das Vertrauen auch eine Rolle spielt aber man weiß im Vorhinein nie warum sich eine Zusammenarbeit aufhört.
Als logischer Schritt wäre ein Webbasierter PW Manager sinnvoll.
Wichtig ist mir das das ganze So sicher wie nur irgendwie möglich ist. Dsgvo konform. App für IOS.
Eine NAS gäbe es. Ein VPS Server mieten wäre auch eine Möglichkeit.
Wir würdet Ihr dieses Thema lösen? Welche Software? Welcher Aufbau?
Ich denke nicht das ein Clouddienst in Betracht zu ziehen ist aber vielleicht denke ich hier zu old school mäßig!?!
Bitte um euren Input!
Danke euch
Lg
im Grunde genommen bin ich ein glücklicher, dienstleistender KeePass Nutzer. In dieser Datenbank habe ich verschiedene Passwörter von meinen Kunden. Ich brauche ab und zu Hilfe von jemand Externen. Damit ich so jemanden zu einem Kunden schicken kann bräuchte so Jemand auch Zugriff auf das KeePass File. Wenn ich diese einmal aus der Hand geben würde hätte dieser einfach einmal Alles und ich habe keine Möglichkeit ihm die Datenbank wieder zu entziehen. Er könnte diese Datenbank kopieren, mitnehmen, behalten usw. Das möchte ich nicht!!!
Mit Berechtigungen kommt man hier auch nicht weit... lese Zugriff bedeutet auch kopieren geht.
Einfach alle Passwörter kurzerhand zu ändern ist keine Option.
Mir ist schon klar das Vertrauen auch eine Rolle spielt aber man weiß im Vorhinein nie warum sich eine Zusammenarbeit aufhört.
Als logischer Schritt wäre ein Webbasierter PW Manager sinnvoll.
Wichtig ist mir das das ganze So sicher wie nur irgendwie möglich ist. Dsgvo konform. App für IOS.
Eine NAS gäbe es. Ein VPS Server mieten wäre auch eine Möglichkeit.
Wir würdet Ihr dieses Thema lösen? Welche Software? Welcher Aufbau?
Ich denke nicht das ein Clouddienst in Betracht zu ziehen ist aber vielleicht denke ich hier zu old school mäßig!?!
Bitte um euren Input!
Danke euch
Lg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 647670
Url: https://administrator.de/forum/passwort-manager-647670.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
14 Kommentare
Neuester Kommentar
Wenn du jemanden ein Passwort gibst kann er es IMMER auch kopieren - notfalls per Zettel und Stift. Was möchtest du also damit verhindern? Dann müsstest du one-time-passwörter verwenden (da gibts ja div. Tools für die das erledigen) - dann kannst du das an jeden geben und das is nur eine gewisse Zeit gültig. Du solltest natürlich nur sicherstellen das die Person nich grad noch eigene User generieren kann - sonst is das auch wieder sinnlos.
Moin,
wir nutzen selbst den Keepass. Als Alternative kann ich dir den Remotedesktopmanager (https://remotedesktopmanager.com/de) empfehlen. In der Pro-Version ist es durchaus möglich, dass du die Kennwörter eingibst und pflegst (Adminstatus), während du Benutzern nur die Verbindung mit dem hinterlegten Account freigibst. Das funktioniert super. Wir haben es damals im Systemhaus genutzt um RDP-Verbindungen, Teamviewerverbindungen, Website-Logins, VPN-Verbindungen, Sophos-Logins zu verwalten. Die Techniker hatten nur die freigegebenen Verbindungen und kannten die Kennwörter nicht. Dadurch musste beim Ausscheiden eines Mitarbeiters nicht alles geändert werden. Kostet aber auch ein bisschen Geld.
Wenn du nur ab und zu Hilfe brauchst, dann sind vielleicht Konten mit zeitlichem Zugriff eine Option? Wir haben unsere Firewall zum Beispiel so konfiguriert, dass Teamviewer nur nach Bestätigung für 1 Stunde möglich ist (bestehende Verbindungen werden erst um 20 Uhr getrennt) und ein AD-Account welches täglich um 21:00 Uhr per Skript wieder deaktiviert wird. Selbst wenn der DL die Daten weitergibt, kommt er durch den gesperrten Account nicht mehr rein. Ist aber nicht für alles (Login auf Websiten zum Beispiel) möglich.
Gruß
Doskias
wir nutzen selbst den Keepass. Als Alternative kann ich dir den Remotedesktopmanager (https://remotedesktopmanager.com/de) empfehlen. In der Pro-Version ist es durchaus möglich, dass du die Kennwörter eingibst und pflegst (Adminstatus), während du Benutzern nur die Verbindung mit dem hinterlegten Account freigibst. Das funktioniert super. Wir haben es damals im Systemhaus genutzt um RDP-Verbindungen, Teamviewerverbindungen, Website-Logins, VPN-Verbindungen, Sophos-Logins zu verwalten. Die Techniker hatten nur die freigegebenen Verbindungen und kannten die Kennwörter nicht. Dadurch musste beim Ausscheiden eines Mitarbeiters nicht alles geändert werden. Kostet aber auch ein bisschen Geld.
Wenn du nur ab und zu Hilfe brauchst, dann sind vielleicht Konten mit zeitlichem Zugriff eine Option? Wir haben unsere Firewall zum Beispiel so konfiguriert, dass Teamviewer nur nach Bestätigung für 1 Stunde möglich ist (bestehende Verbindungen werden erst um 20 Uhr getrennt) und ein AD-Account welches täglich um 21:00 Uhr per Skript wieder deaktiviert wird. Selbst wenn der DL die Daten weitergibt, kommt er durch den gesperrten Account nicht mehr rein. Ist aber nicht für alles (Login auf Websiten zum Beispiel) möglich.
Gruß
Doskias
Moin.
Dann ist keepass das falsche Produkt.
Password Safe kann granular Userberechtigungen setzen.
Das geht sogar soweit runter, das der User das Passwort nicht sehen kann, sondern nur per Tastenkombi
automatisch eingetragen wird,
Wenn ich mich recht entsinne, kann man sogar verhindern, das es in ein TXT File kopiert wird.
Ist allerdings nicht ganz günstig.
Gruß
Jasper
Dann ist keepass das falsche Produkt.
Password Safe kann granular Userberechtigungen setzen.
Das geht sogar soweit runter, das der User das Passwort nicht sehen kann, sondern nur per Tastenkombi
automatisch eingetragen wird,
Wenn ich mich recht entsinne, kann man sogar verhindern, das es in ein TXT File kopiert wird.
Ist allerdings nicht ganz günstig.
Gruß
Jasper
Zitat von @Jacolo:
Wichtig ist mir das das ganze So sicher wie nur irgendwie möglich ist. Dsgvo konform. App für IOS.
Schau dir mal Bitwarden an: https://bitwarden.com/products/Wichtig ist mir das das ganze So sicher wie nur irgendwie möglich ist. Dsgvo konform. App für IOS.
Ist quelloffen, transparent und kann on prem oder in der Cloud betrieben werden.
Nutze habe ich privat auf meinem Homeserver mit Docker zum testen damals deployt und ist mittlerweile auch im Unternehmen installiert. Funktioniert auf allen gängigen Plattformen, sowohl Desktop als auch mobil.
Zitat von @Jacolo:
Ich denke nicht das ein Clouddienst in Betracht zu ziehen ist aber vielleicht denke ich hier zu old school mäßig!?!
Ist nicht oldschool sondern vernünftig. Sensible Daten in eine public Cloud und damit auf fremde Rechner im Interntet zu packen bedeutet immer ein höheres Risiko. Es gibt Szenarien in denen Clouds sinnvoll sein können, zumal Cloud auch nicht gleich Cloud ist vom Sicherheits- und Datenschutzniveau. Aber nur weil es gerade hipp ist, sollte man nicht alles was bei 3 nicht auf dem Baum ist irgendwo ins Internet packen.Ich denke nicht das ein Clouddienst in Betracht zu ziehen ist aber vielleicht denke ich hier zu old school mäßig!?!
Am sichersten ist
- Server in Deutschland (Hetzner, Strato, ...)
- Absichern nach gängigen best practices (SSH Keys mit PW Schutz, SSL Zertifikat mit aktuellen Algorithmen etc)
- Möglichst nur das drauf was benötigt wird (kein GUI System für einen Webserver oder so was)
- Das ganze pflegen ~> Veraltete Software bedeutet immer ein höheres Angriffsrisiko
Zitat von @Jacolo:
Hallo an alle die das lesen,
Er könnte diese Datenbank kopieren, mitnehmen, behalten usw. Das möchte ich nicht!!!
Naja das Problem kannst du mit keinem PW Manager lösen. Mit Bitwarden könntest du ihm zwar den Zugriff entziehen. Aber das schützt nicht dagegen, dass er dieses PW danach noch benutzt. Es weiß ja keiner, was er bis dahin damit gemacht hat: Er könnte es z.B. rauskopiert, im Browser gespeichert oder schlichtweg auswendig gelernt haben. Diese Möglichkeit kannst du ihm auch nicht verwehren, wenn er sich irgendwo einloggt muss er die PWs kennen.Hallo an alle die das lesen,
Er könnte diese Datenbank kopieren, mitnehmen, behalten usw. Das möchte ich nicht!!!
Das einzige was du vorsorglich machen kannst ist
- PWs möglichst nicht gleich geben sondern erst wenn man sich besser kennt und Vertrauen da ist
- Wie du schon sagtest nicht gleich alle PWs, sondern nur die wo benötigt werden ~> Im Problemfall musst du weniger prüfen/ändern
- Wenn möglich nicht überall einen (Super-)Admin User ihm geben sondern einen eigenen Account der nur so viele Rechte wie nötig hat
Wenn ihr z.B. mal getrennte Wege geht, ist die einzig sichere Lösung sämtliche PW auf die er Zugriff hat zu ändern und auch zu kontrollieren, ob er evt. vorsorglich Backdoor-Accounts (zweiter A-User, Admin Token oder so was) eingebaut hat. Daran führt kein Weg vorbei - oder du lebst eben mit dem Restrisiko, dass er vielleicht die Zugänge irgendwo gesichert hat und damit Unsinn treibt.
Kann man so machen. Was ich noch empfehlen würde ist 2FA: https://bitwarden.com/help/article/setup-two-step-login/
Vor allem wenn kein VPN davor ist macht das sicherheitstechnisch sinn. Mit offenen Lösungen wie z.B. FreeOTP lässt sich das auch transparent umsetzen, ohne sich Datenkranken ins Haus zu holen.
Vor allem wenn kein VPN davor ist macht das sicherheitstechnisch sinn. Mit offenen Lösungen wie z.B. FreeOTP lässt sich das auch transparent umsetzen, ohne sich Datenkranken ins Haus zu holen.
Zitat von @Jacolo:
Man braucht seitens Bitwarden auf jedenfalls eine Enterprise Lizenz für 5Eur/User/Monat mit der kann man eine eigene Instanz
Wie ist eure Meinung dazu. Kann man das so machen oder wäre das grob fahrlässig?
Wenn du unbedingt ein Abomodell willst....klar....warum nicht ;)Man braucht seitens Bitwarden auf jedenfalls eine Enterprise Lizenz für 5Eur/User/Monat mit der kann man eine eigene Instanz
Wie ist eure Meinung dazu. Kann man das so machen oder wäre das grob fahrlässig?
Damit unterstützt man die Entwicklung eines transparenten PW Managers, das halte ich für keinen Fehler. Viele Alternativen (zumindest die teamfähigen) haben bereits auf Abos umgestellt. Und da hast du dann eine komplett proprietäre Blackbox, teilweise gibts die auch noch nur in der Cloud, sodass man voll von denen abhängig ist.
Wenn der Preis ein Problem ist, wäre ggf. Family eine Alternative. Kostet nur 40$ pro Jahr und beinhaltet bis zu 6 Konten. Habe ich privat auch, da ist die On-Prem Lizenz mit drin. Family ist eine etwas abgespeckte Enterprise-Variante, z.B. fehlen Gruppen oder SSO. Allerdings bin ich mir nicht sicher, ob sich Family wie es der Name sagt nur an privatpersonen richtet, oder ob du das kommerziell auch buchen darfst, wenn dir die Funktionen reichen.
Ich würde mal Vergleichen ob Enterprise Funktionen dabei sind die du brauchst:
https://bitwarden.com/pricing/business/
https://bitwarden.com/pricing/
Falls Family von den Funktionen her in Frage kommt, würde ich beim Support kurz nachfragen.
Wenn der Preis ein Problem ist, wäre ggf. Family eine Alternative. Kostet nur 40$ pro Jahr und beinhaltet bis zu 6 Konten. Habe ich privat auch, da ist die On-Prem Lizenz mit drin. Family ist eine etwas abgespeckte Enterprise-Variante, z.B. fehlen Gruppen oder SSO. Allerdings bin ich mir nicht sicher, ob sich Family wie es der Name sagt nur an privatpersonen richtet, oder ob du das kommerziell auch buchen darfst, wenn dir die Funktionen reichen.
Ich würde mal Vergleichen ob Enterprise Funktionen dabei sind die du brauchst:
https://bitwarden.com/pricing/business/
https://bitwarden.com/pricing/
Falls Family von den Funktionen her in Frage kommt, würde ich beim Support kurz nachfragen.
Zitat von @GNULinux:
Damit unterstützt man die Entwicklung eines transparenten PW Managers, das halte ich für keinen Fehler. Viele Alternativen (zumindest die teamfähigen) haben bereits auf Abos umgestellt. Und da hast du dann eine komplett proprietäre Blackbox, teilweise gibts die auch noch nur in der Cloud, sodass man voll von denen abhängig ist.
Damit unterstützt man die Entwicklung eines transparenten PW Managers, das halte ich für keinen Fehler. Viele Alternativen (zumindest die teamfähigen) haben bereits auf Abos umgestellt. Und da hast du dann eine komplett proprietäre Blackbox, teilweise gibts die auch noch nur in der Cloud, sodass man voll von denen abhängig ist.
Ich unterstützte auch die Entwickler, wenn ich eine Lizenz kaufe mit Maintenance ohne grundsätzlichen Abozwang und dann für mich selbst entscheide, ob ich das Update benötige und bei Bedarf verlängere.
Aber ich kaufe lieber die Lizenz einmal und habe eine Lifetime Lizenz inkl. OnPrem Server.