Passwort Manager Produktempfehlung

user217
Goto Top
Hallo Kollegen,

ich bin auf der suche nach einem Passwort Manager mit folgenden Merkmalen:
1. AD integriert
2. am besten mit AD berechtigungen für den jeweiligen Benutzer "Tresor"
3. schön wäre es wenn der automatisch URL's erkennt und ggf. per drag and drop login aus dem Tresor vorschlägt.
4. in Language "deutsch"

Natürlich wäre Freeware am besten aber es darf auch was kosten.

Ich bin auf eure Empfehlungen gespannt.

Im Bündel mit einem 2Factor Auth wäre es perfekt.

Gruß user217

Content-Key: 3191082569

Url: https://administrator.de/contentid/3191082569

Ausgedruckt am: 19.08.2022 um 03:08 Uhr

Mitglied: emeriks
emeriks 27.06.2022 um 15:16:18 Uhr
Goto Top
Zitat von @user217:
4. in Language "deutsch"
Das wird schwierig!
Mitglied: 148523
148523 27.06.2022 um 15:19:47 Uhr
Goto Top
Mitglied: Doskias
Doskias 27.06.2022 um 15:23:23 Uhr
Goto Top
Er möchte aber eine Empfehlung und keinen Testbericht durcharbeiten.

Wir nutzen KeePass, aber das kann nicht alles was der TO sich wünscht.
Mitglied: emeriks
emeriks 27.06.2022 um 15:25:50 Uhr
Goto Top
Password Depot
von AceBIT
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 15:35:45 Uhr
Goto Top
Ich pflege ganz altmodisch diverse A5 Ordner mit den Kollegen. Diese werden im Tresor des HR gelagert, wenn sie nicht gerade benötigt werden.
Digitale Lösungen, Mehrfachnutzung von Passwörter... usw ist nicht gewünscht.

Das ist eine der wenigen Sachen, bei denen ich misstrauisch bin.
Mitglied: DerWoWusste
DerWoWusste 27.06.2022 um 15:49:48 Uhr
Goto Top
Kannst Du 1. und 2. erläutern? Da stellt sich evt. jeder etwas anderes drunter vor.
Was soll sich wie ins AD integrieren? Soll der Tresor-Nutzer von verschiedenen Leuten genutzt werden und trotzdem die selbe Authentifizierungsgrundlage (Kennwort/2FA) haben?

Was schon das kostenlose keepass kann:
Sicherung der KW-Datenbank über SmartCard (also 2FA, wird über ein Plugin realisiert) oder über eine Nutzeridentität (natürlich kann das auch ein AD-Nutzer sein). Allerdings gibt es da Feinheiten zu beachten; die SmartCard kann man nicht duplizieren, um sie von mehreren nutzbar zu machen. Auch müsste das AD-Konto auf ein und demselben Rechner benutzt werden, da es die lokale DPAPI nutzt.

Keepass gibt's auf deutsch und ein Plugin für das automatische Einfüllen von Kennwörtern auf besuchten Websites gibt's auch. Meiner Meinung nach ist das gut umgesetzt über kee: https://chrome.google.com/webstore/detail/kee-password-manager/mmhlnicco ...
Mitglied: Doskias
Doskias 27.06.2022 um 15:58:21 Uhr
Goto Top
Zitat von @unbelanglos:
Ich pflege ganz altmodisch diverse A5 Ordner mit den Kollegen. Diese werden im Tresor des HR gelagert, wenn sie nicht gerade benötigt werden.
Digitale Lösungen, Mehrfachnutzung von Passwörter... usw ist nicht gewünscht.

Kommt auf die Anzahl und Verteilugn der Kollegen an. Wir brauchen die Kennwörter nur zu zweit, aber in unterschiedlichen Gebäuden. Auch wir haben keine Mehrfachnutzung, zumindest nicht an wichtigen Bereichen. Da ust KeePass ganz praktisch. Liegt auf einer Freigabe wo nur wir zwei drauf zugreifen können und kennwortgeschützt beim Öffnen. Das kann man ganz gut handhaben.

Das ist eine der wenigen Sachen, bei denen ich misstrauisch bin.
Lagerung im HR Tresor macht dich nicht misstrauisch? Wieso sollte die HR-Abteilung die Möglichkeit haben das Domänenkennwort zu lesen? Ein Blick in den Ordner genügt ja an der Stelle.

Gruß
Doskias
Mitglied: Doskias
Doskias 27.06.2022 um 16:01:32 Uhr
Goto Top
Zitat von @DerWoWusste:
Keepass gibt's auf deutsch und ein Plugin für das automatische Einfüllen von Kennwörtern auf besuchten Websites gibt's auch.

Brauchst nicht mal ein Plugin. Zumindest die Websites, die wir so nutzen, funktionieren ohne Plugin. Website öffnen, ins Loginfeld klicken, Keepass öffnen, Passwort raussuchen, Str+V. fertig.

Gruß
Doskias
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 16:09:28 Uhr
Goto Top
Wir IT-ler sind Hochwertziele. Da sollen prinzipbedingt keine Passwörter gespeichert werden oder abrufbar sein. Außerdem würden wir große Probleme im Audit bekommen.

Für die Ordner auf Papier ist dieses Thema im Audit in 10 Minuten erledigt.

Der Safe des HR ist der nächstgelegene Safe. Dort verschließen auch andere Abteilungen. Wir haben zwei Schubladen im Safe, die jeweils mit einem Schlüssel gezogen werden kann. Ersatzschlüssel gibt es nicht im Haus, sondern beim Hausmeister und dort auch nur unter den Augen des *rsch vom Dienst (Diensthabender Leiter) ausgehändigt unter Protokoll.
Wer die Schlüssel hat, wird aber nach Dienstende in der IT, Personal oder HR auch mit Schlüssel Alarm auslösen und die Zutrittskontrolle ist auch noch da.
Ich glaube auch nicht, dass das Personal Passwörter haben will ,;)
Mitglied: DerWoWusste
DerWoWusste 27.06.2022 um 16:15:59 Uhr
Goto Top
@Doskias
Website öffnen, ins Loginfeld klicken, Keepass öffnen, Passwort raussuchen, Str+V. fertig.
Jou. Und die Zwischenablage ist ja keine Gefahr. Nee, klar. Schau Dir lieber kee an, das verschlüsselt den Transfer der Daten. Keepass kann das von sich aus nicht, selbst auto-type mit obfuscation ist unsicher.
Mitglied: Tezzla
Tezzla 27.06.2022 aktualisiert um 16:21:14 Uhr
Goto Top
Ich empfehle immer gerne Passbolt oder Bitwarden.
Beides zum on-prem bereitstellen.

Sicherlich ist auf Papier zu "speichern" durchaus sicherer, was den ungewollten Fernzugriff angeht. Die Frage der Machbarkeit ist aber bei dem ganzen Remote Office Thema immer zu klären. Und ich mache damit andere Baustellen für Sicherheit und Backup auf. Wenn's brennt z.B.

VG
Mitglied: Doskias
Doskias 27.06.2022 um 16:31:06 Uhr
Goto Top
Zitat von @unbelanglos:
Wir IT-ler sind Hochwertziele. Da sollen prinzipbedingt keine Passwörter gespeichert werden oder abrufbar sein. Außerdem würden wir große Probleme im Audit bekommen.
Wurde in unseren Audits bislang nie bemängelt, sondern eher gelobt. So unterschiedlich sind die Auditoren

Ich glaube auch nicht, dass das Personal Passwörter haben will ,;)
Es geht hier weniger um glauben und wollen, sondern eher um können. Aber scheint ja sicher zu sei, sonst würde das ja im Audit beanstandet werden face-wink


Zitat von @DerWoWusste:
@Doskias
Website öffnen, ins Loginfeld klicken, Keepass öffnen, Passwort raussuchen, Str+V. fertig.
Jou. Und die Zwischenablage ist ja keine Gefahr. Nee, klar. Schau Dir lieber kee an, das verschlüsselt den Transfer der Daten. Keepass kann das von sich aus nicht, selbst auto-type mit obfuscation ist unsicher.
Vielleicht habe ich mich da unklar ausgedrückt. Strg+V bezog sich auf KeePass und ist der Shortcut für die AutoType-Funktion.. Da wird nichts in die Zwischenablage kopiert.

Aber ja es ist nicht verschlüsselt, aber das ist die Eingabe beim Abtippen von einem Ordner ja auch nicht face-wink Aber ich werde es mir dennoch bei Gelegenheit mal anschauen. Für Kennwörter, die im Browser eingegeben werden scheint es mir auf den ersten Blick wirklich zielführender zu sein, aber STRG+V aus Keepasss funktioniert auch bei Logins außerhalb des Browsers face-wink
Mitglied: DerWoWusste
DerWoWusste 27.06.2022 aktualisiert um 16:43:12 Uhr
Goto Top
Strg+V bezog sich auf KeePass und ist der Shortcut für die AutoType-Funktion.. Da wird nichts in die Zwischenablage kopiert.
Oh doch. Schau Dir die Doku mal genauer an:
https://keepass.info/help/base/autotype.html
und
https://keepass.info/help/v2/autotype_obfuscation.html
(gerade letzerer Link wird in Zweifel gezogen, da der Autor offenbar nicht auf dem Stand der Technik ist - was er schreibt, gilt seid Vista nicht mehr).

STRG+V ist wie du siehst gar nicht autotype. Es benutzt die Zwischenablage. Autotype benutzt virtuelle Tastendrücke, die natürlich auch aufgezeichnet werden können.
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 16:41:17 Uhr
Goto Top
Das besondere ist, dass wir die Auditoren bezahlen. Das machen viele, aber nicht alle.

Es geht da auch nicht unbedingt um eine absolute Sicherheit sondern um TOM.
Der Auditor will sehen wie es geregelt ist und wie es gelebt wird.
Unsere IT Auditoren sind von Fach und wissen wie Angriffe ablaufen würden uns Schwachstellen ausgenutzt werden.
Das Vorhandensein einer Datei oder Datenbank mit Passwörtern wird meiner Meinung nach als 10/10 eingeschätzt.
Mitglied: nEmEsIs
nEmEsIs 27.06.2022 um 16:55:45 Uhr
Goto Top
Hi

Wir setzen das hier ein:
https://www.passwordsafe.com/
Alternative fällt mir noch das vom Testen ein:
https://www.password-depot.de

Beides deutsche Firmen und können deine oben genannten Anforderungen.
Kostet aber auch "ein bisschen"

Mit freundlichen Grüßen Nemesis
Mitglied: Doskias
Doskias 27.06.2022 aktualisiert um 16:59:26 Uhr
Goto Top
Zitat von @DerWoWusste:

Strg+V bezog sich auf KeePass und ist der Shortcut für die AutoType-Funktion.. Da wird nichts in die Zwischenablage kopiert.
Oh doch. Schau Dir die Doku mal genauer an:
https://keepass.info/help/base/autotype.html
STRG+V ist wie du siehst gar nicht autotype. Es benutzt die Zwischenablage. Autotype benutzt virtuelle Tastendrücke, die natürlich auch aufgezeichnet werden können.

Also ich Streite mich wirklich ungern mit dir DWW, aber:
Ich habe es grade ausprobiert und während ich Strg+V (in unser Version beschrieben als "Perform Auto-Type") getätigt habe, habe ich die Zwischenablage überwachen lassen. Es wurde hier nichts von dem Login in die Zwischenablage kopiert.

Wichtiger ist aber meiner Meinung nach:

Zitat von @unbelanglos:
Es geht da auch nicht unbedingt um eine absolute Sicherheit sondern um TOM.
Der Auditor will sehen wie es geregelt ist und wie es gelebt wird.
Unsere IT Auditoren sind von Fach und wissen wie Angriffe ablaufen würden uns Schwachstellen ausgenutzt werden.
Das Vorhandensein einer Datei oder Datenbank mit Passwörtern wird meiner Meinung nach als 10/10 eingeschätzt.

Das wichtige ist: Wo sind die Schwachstellen und wie können diese ausgenutzt werden. Selbst wenn die Zwischenablage genutzt werden würde, ist das Kennwort aus KeePass ja "nur" eine Hürde. Beispielsweise unser Hypervisor ist ausschließlich aus dem Management-Netz erreichbar. Das Kennwort ist entsprechend komplex und lang. Das Kennwort steht im Keepass, Keepass ist Kennwortgeschützt und liegt auf der Freigabe wo zwei Benutzer mit vier Accounts drauf Zugriff haben.
Selbst wenn unser Login-Kennwort für die Hypervisoren nun bekannt werden würde, dann wäre der Zugriff immer noch nur aus dem MGMT Netz möglich, wofür der Angreifer sich physisch im Gebäude auf dem Stuhl eines Admins befinden müsste um sich mit den Credentials des MGMT-Accounts auf dem MGMT-Rechner anzumelden. Und wenn der soweit gekommen ist, dann haben wir ein gaaaaaanz anderes Problem face-smile
Mitglied: unbelanglos
unbelanglos 27.06.2022 um 17:02:56 Uhr
Goto Top
Erfahrungsgemäß werden für Angriffe sehr häufig interne Ressourcen benutzt.
Dass eine eingehende Verbindung Initial aufgebaut wird oder unterhalten ist eher was für Hollywood Filme.
Ich persönlich würde z.b. von Druckern ausgehend mich im Netz umgucken und ein separates Netz für das Management eines Hypervisor wäre überhaupt von Belang.
Mitglied: fuzzyLogic
fuzzyLogic 27.06.2022 um 17:24:10 Uhr
Goto Top
Mitglied: Bosnigel
Bosnigel 27.06.2022 um 17:52:12 Uhr
Goto Top
Hab bei einigen Kunden Keepass auf die Netzfreigabe gelegt und fertig.
Alle die es benötigen bekommen eine simple Verknüpfung auf den Desktop.
Geht auf Deutsch und auch Autofill für Webseiten geht.
Mitglied: Creative
Creative 27.06.2022 um 19:25:37 Uhr
Goto Top
Moin,

wir benutzen https://www.passwordsafe.com/en/.

Macht was es soll und wenn es Probleme gibt, dann hilft der Support wirklich schnell und kompetent.

BG
CreaTive
Mitglied: altmetaller
altmetaller 28.06.2022 um 07:25:31 Uhr
Goto Top
Hallo,

Keepassium

Aber was der im AD soll - keine Ahnung?!?

Gruß,
Jörg
Mitglied: emeriks
emeriks 28.06.2022 um 08:40:19 Uhr
Goto Top
Zitat von @altmetaller:
Aber was der im AD soll - keine Ahnung?!?
Ich vermute mal, hier ist SSO gemeint. Anmelden am Password Manager mit AD-Konto.
Mitglied: user217
user217 28.06.2022 aktualisiert um 13:58:06 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @altmetaller:
Aber was der im AD soll - keine Ahnung?!?
Ich vermute mal, hier ist SSO gemeint. Anmelden am Password Manager mit AD-Konto.

Danke für die zahlreichen Antworten und Diskussionen.
Ja, so das man nach der AD Anmeldung keine zusätzlichen credentials benötigt.
(Eigentlich hatte ich den Traum davon das die Software gecryptete credentials direkt in der AD ablegt.. )

Hat vllt. jemand erfahrung mit "Passwort Manager Pro" von MicroNova oder Keeper?
Mitglied: DerWoWusste
DerWoWusste 28.06.2022 aktualisiert um 14:15:10 Uhr
Goto Top
Du kommst mit munteren vier Zeilen daher, nachdem hier ausgiebig diskutiert und rückgefragt wurde? Das ist aber knapp. Ok:
Ja, so das man nach der AD Anmeldung keine zusätzlichen credentials benötigt.
Wie gesagt, das kann bereits keepass. Jedoch wird das zum Problem, wenn sich nicht mehrere ein und dieselbe Kennwortdatenbank teilen wollen, aber verschiedene Nutzerkonten nutzen. Aber darauf wolltest Du wohl nicht weiter eingehen.
Mitglied: user217
user217 28.06.2022 um 15:25:38 Uhr
Goto Top
Weniger ist oft mehr ;) Hier meine bisherigen Erkentnisse dazu.
Mittlerweile habe ich mit einigen Anbietern telefoniert und denke das die mehr oder weniger alle das gleiche anbieten, an Alleinstellungsmerkmalen ist mir bisher nichts aufgefallen.
Die geringste Schnittmenge bilden die wohl notwendigen Browser Extensions für Microsoft Edge/Chromium (Wir nutzen nix anderes und würden das auch gerne so lassen).

Hier sind die Top 3 (ab 4 Sterne)
1. Bitwarden (789) (Kostet 60EUR/p.a. / User - englisch)
2. LastPass (654) (Kostet 70EUR/p.a. / User - deutsch)
3. RoboForm Passwortmanager (484) (Kostet 30EUR/p.a. / User - deutsch)
(Kaspersky fällt ja derzeit raus)
Mitglied: Tezzla
Tezzla 28.06.2022 um 15:35:22 Uhr
Goto Top
Zitat von @user217:
Hier sind die Top 3 (ab 4 Sterne)
1. Bitwarden (789) (Kostet 60EUR/p.a. / User - englisch)

Gibts auch mit deutschem Sprachpaket.
Mitglied: C.R.S.
C.R.S. 28.06.2022 um 18:18:45 Uhr
Goto Top
Zitat von @user217:

(Eigentlich hatte ich den Traum davon das die Software gecryptete credentials direkt in der AD ablegt.. )

???

Grundsätzlich teilt sich die Welt in Einzelnutzer-Passwortmanager, reine Mehrbenutzer-Passwortmanager und Mehrbenutzer-Passwortmanager mit IAM/PAM-Funktionen.
Das Defizit von reinen Mehrbenutzer-Passwortmanagern ist, dass ihr Hauptzweck - das Teilen von Passwörtern - eben ein Sicherheitsproblem ist, dem durch Rotation der Kennwörter begegnet werden muss. Dazu können erweiterte Lösungen in das jeweilige User-Registry (AD/AAD etc.) oder auf den konfigurierten Endpunkt (SQL-Server, Firewall, IIS-AppPool etc.) greifen und die Daten aktualisieren, auch automatisch, etwa nach Ablauf eines temporären Zugriffs auf das Passwort.
Mitglied: user217
user217 29.06.2022 um 11:03:41 Uhr
Goto Top
Hat jemand Erfahrung mit Vaultwarden im Unternehmen?
Mitglied: Shepherd81
Shepherd81 29.06.2022 um 11:23:02 Uhr
Goto Top
Zitat von @Doskias:

Er möchte aber eine Empfehlung und keinen Testbericht durcharbeiten.

Wir nutzen KeePass, aber das kann nicht alles was der TO sich wünscht.

Richtig "cringe" wird es erst wenn man dem Link folgt und merkt, er nützt einem nix weil die die heisse Seite diesen nur vollständig anzeigt wenn man ein Abonnement hat oder ich bin zu doof das störende Pop-up Fenster wegzuklicken!
XD

Keepass wurde eh schon gefühlte 10 mal erwähnt, oder?
XD
Mitglied: TwistedAir
TwistedAir 29.06.2022 um 16:16:23 Uhr
Goto Top
Zitat von @Shepherd81
Richtig "cringe" wird es erst wenn man dem Link folgt und merkt, er nützt einem nix weil die die heisse Seite diesen nur vollständig anzeigt wenn man ein Abonnement hat oder ich bin zu doof das störende Pop-up Fenster wegzuklicken!
Nichts nützen würde ich nicht sagen. Ja, da brauch man schon das Abo - oder man geht noch so richtig oldschool in eine Bibliothek (für die Jüngeren: das ist ein großes Haus mit ganz vielen Büchern drin face-wink ) und schaut, ob die Zeitschrift c't 5/21 im Präsenzbestand vorhanden ist. Kostet keinen Taler und man muss nicht mal Mitglied sein. face-smile

Grüße
TA
Mitglied: Shepherd81
Shepherd81 29.06.2022 um 17:21:40 Uhr
Goto Top
Zitat von @TwistedAir:

Zitat von @Shepherd81
Richtig "cringe" wird es erst wenn man dem Link folgt und merkt, er nützt einem nix weil die die heisse Seite diesen nur vollständig anzeigt wenn man ein Abonnement hat oder ich bin zu doof das störende Pop-up Fenster wegzuklicken!
Nichts nützen würde ich nicht sagen. Ja, da brauch man schon das Abo - oder man geht noch so richtig oldschool in eine Bibliothek (für die Jüngeren: das ist ein großes Haus mit ganz vielen Büchern drin face-wink ) und schaut, ob die Zeitschrift c't 5/21 im Präsenzbestand vorhanden ist. Kostet keinen Taler und man muss nicht mal Mitglied sein. face-smile

Grüße
TA

Oder auch oldschool, man lädt sich die runter über dieses dings mit "the bay" und druckt sie dann nur die wichtigen 5 Seiten auf dem alten Tintenstrahldrucker aus. XD
Mitglied: user217
Lösung user217 30.06.2022 um 15:04:26 Uhr
Goto Top
Ich wollte abschließend nur loswerden das man Vaultwarden - Kostenlos dringend empfehlen kann. Ich möchte es nicht zu stark loben aber es wirklich ein sehr gelungenes Produkt.
Hier haben mir die Youtube Videos von schroederdennis sehr geholfen.

Falls jemand weis wie man die Chromium/Edge Browserextension Variablen per gpo o.ä. ansteuert wäre ich sehr dankbar!
Mitglied: SCORRPiO
SCORRPiO 19.07.2022 um 13:00:54 Uhr
Goto Top
Hallo @user217,

wie sieht es bei Vaultwarden mit der Lizenzierung aus? Finde dazu im Netz nur Widersprüchige Informationen.
Teilweise wird gesagt das Selfhosting keine Lizenz benötigt, andere sagen für Unternehmen schon?!?!
Mitglied: nachgefragt
nachgefragt 19.07.2022 um 13:06:58 Uhr
Goto Top
Danke für die Info,
nachdem im Beitrag nun 4x Vaultwarden steht, und 26x KeePass, tendiere ich zu KeePass (#27) und kann es ebenso empfehlen.
Mitglied: SCORRPiO
SCORRPiO 19.07.2022 um 13:49:30 Uhr
Goto Top
Zitat von @nachgefragt:

Danke für die Info,
nachdem im Beitrag nun 4x Vaultwarden steht, und 26x KeePass, tendiere ich zu KeePass (#27) und kann es ebenso empfehlen.

von KeePass werden wir weg gehen, da es nicht so viele Funktionen besitzt und nur auf eine Datei aus ist, die im Netzwerk gespeichert sein muss, damit jeder ein Zugriff drauf hat.
Für den Heimanwender sicherlich eine Gute Lösung, für Bastler und Personen die es auch auf anderen Geräten nutzen wollen, ist KeePass nicht wirklich zu gebrauchen. Außer man synct die Datei über ne Cloud.
Mitglied: Doskias
Doskias 19.07.2022 um 13:55:10 Uhr
Goto Top
Moim
von KeePass werden wir weg gehen, da es nicht so viele Funktionen besitzt und nur auf eine Datei aus ist, die im Netzwerk gespeichert sein muss, damit jeder ein Zugriff drauf hat.
Für den Heimanwender sicherlich eine Gute Lösung, für Bastler und Personen die es auch auf anderen Geräten nutzen wollen, ist KeePass nicht wirklich zu gebrauchen. Außer man synct die Datei über ne Cloud.
Das stimmt so nicht. Ein Sync in die Cloud ist absolut nicht notwendig bei KeyPass und würde ich persönlich bei keinem Passwort-Manager machen. Unser KeePass liegt auf Netzfreigaben mit entsprechenden Zugriffsrechte. Da wird nichts in die Cloud syncronisiert und die Funktionen sind für uns ausreichend. Aber hier kommt es ja immer auf die Anforderungen drauf an. Wir haben zum Beispiel kein Problem mit mehreren Dateien zu arbeiten, da man innerhalb einer Datei keine Zugriffsrechte verwalten kann. Bei anderen ist das ein Ausschlusskriterium.

Gruß
Doskias