Passwort Manager Produktempfehlung
Hallo Kollegen,
ich bin auf der suche nach einem Passwort Manager mit folgenden Merkmalen:
1. AD integriert
2. am besten mit AD berechtigungen für den jeweiligen Benutzer "Tresor"
3. schön wäre es wenn der automatisch URL's erkennt und ggf. per drag and drop login aus dem Tresor vorschlägt.
4. in Language "deutsch"
Natürlich wäre Freeware am besten aber es darf auch was kosten.
Ich bin auf eure Empfehlungen gespannt.
Im Bündel mit einem 2Factor Auth wäre es perfekt.
Gruß user217
ich bin auf der suche nach einem Passwort Manager mit folgenden Merkmalen:
1. AD integriert
2. am besten mit AD berechtigungen für den jeweiligen Benutzer "Tresor"
3. schön wäre es wenn der automatisch URL's erkennt und ggf. per drag and drop login aus dem Tresor vorschlägt.
4. in Language "deutsch"
Natürlich wäre Freeware am besten aber es darf auch was kosten.
Ich bin auf eure Empfehlungen gespannt.
Im Bündel mit einem 2Factor Auth wäre es perfekt.
Gruß user217
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3191082569
Url: https://administrator.de/forum/passwort-manager-produktempfehlung-3191082569.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
36 Kommentare
Neuester Kommentar
Das wird schwierig!
Er möchte aber eine Empfehlung und keinen Testbericht durcharbeiten.
Wir nutzen KeePass, aber das kann nicht alles was der TO sich wünscht.
Wir nutzen KeePass, aber das kann nicht alles was der TO sich wünscht.
Ich pflege ganz altmodisch diverse A5 Ordner mit den Kollegen. Diese werden im Tresor des HR gelagert, wenn sie nicht gerade benötigt werden.
Digitale Lösungen, Mehrfachnutzung von Passwörter... usw ist nicht gewünscht.
Das ist eine der wenigen Sachen, bei denen ich misstrauisch bin.
Digitale Lösungen, Mehrfachnutzung von Passwörter... usw ist nicht gewünscht.
Das ist eine der wenigen Sachen, bei denen ich misstrauisch bin.
Kannst Du 1. und 2. erläutern? Da stellt sich evt. jeder etwas anderes drunter vor.
Was soll sich wie ins AD integrieren? Soll der Tresor-Nutzer von verschiedenen Leuten genutzt werden und trotzdem die selbe Authentifizierungsgrundlage (Kennwort/2FA) haben?
Was schon das kostenlose keepass kann:
Sicherung der KW-Datenbank über SmartCard (also 2FA, wird über ein Plugin realisiert) oder über eine Nutzeridentität (natürlich kann das auch ein AD-Nutzer sein). Allerdings gibt es da Feinheiten zu beachten; die SmartCard kann man nicht duplizieren, um sie von mehreren nutzbar zu machen. Auch müsste das AD-Konto auf ein und demselben Rechner benutzt werden, da es die lokale DPAPI nutzt.
Keepass gibt's auf deutsch und ein Plugin für das automatische Einfüllen von Kennwörtern auf besuchten Websites gibt's auch. Meiner Meinung nach ist das gut umgesetzt über kee: https://chrome.google.com/webstore/detail/kee-password-manager/mmhlnicco ...
Was soll sich wie ins AD integrieren? Soll der Tresor-Nutzer von verschiedenen Leuten genutzt werden und trotzdem die selbe Authentifizierungsgrundlage (Kennwort/2FA) haben?
Was schon das kostenlose keepass kann:
Sicherung der KW-Datenbank über SmartCard (also 2FA, wird über ein Plugin realisiert) oder über eine Nutzeridentität (natürlich kann das auch ein AD-Nutzer sein). Allerdings gibt es da Feinheiten zu beachten; die SmartCard kann man nicht duplizieren, um sie von mehreren nutzbar zu machen. Auch müsste das AD-Konto auf ein und demselben Rechner benutzt werden, da es die lokale DPAPI nutzt.
Keepass gibt's auf deutsch und ein Plugin für das automatische Einfüllen von Kennwörtern auf besuchten Websites gibt's auch. Meiner Meinung nach ist das gut umgesetzt über kee: https://chrome.google.com/webstore/detail/kee-password-manager/mmhlnicco ...
Zitat von @2423392070:
Ich pflege ganz altmodisch diverse A5 Ordner mit den Kollegen. Diese werden im Tresor des HR gelagert, wenn sie nicht gerade benötigt werden.
Digitale Lösungen, Mehrfachnutzung von Passwörter... usw ist nicht gewünscht.
Ich pflege ganz altmodisch diverse A5 Ordner mit den Kollegen. Diese werden im Tresor des HR gelagert, wenn sie nicht gerade benötigt werden.
Digitale Lösungen, Mehrfachnutzung von Passwörter... usw ist nicht gewünscht.
Kommt auf die Anzahl und Verteilugn der Kollegen an. Wir brauchen die Kennwörter nur zu zweit, aber in unterschiedlichen Gebäuden. Auch wir haben keine Mehrfachnutzung, zumindest nicht an wichtigen Bereichen. Da ust KeePass ganz praktisch. Liegt auf einer Freigabe wo nur wir zwei drauf zugreifen können und kennwortgeschützt beim Öffnen. Das kann man ganz gut handhaben.
Das ist eine der wenigen Sachen, bei denen ich misstrauisch bin.
Lagerung im HR Tresor macht dich nicht misstrauisch? Wieso sollte die HR-Abteilung die Möglichkeit haben das Domänenkennwort zu lesen? Ein Blick in den Ordner genügt ja an der Stelle.Gruß
Doskias
Zitat von @DerWoWusste:
Keepass gibt's auf deutsch und ein Plugin für das automatische Einfüllen von Kennwörtern auf besuchten Websites gibt's auch.
Keepass gibt's auf deutsch und ein Plugin für das automatische Einfüllen von Kennwörtern auf besuchten Websites gibt's auch.
Brauchst nicht mal ein Plugin. Zumindest die Websites, die wir so nutzen, funktionieren ohne Plugin. Website öffnen, ins Loginfeld klicken, Keepass öffnen, Passwort raussuchen, Str+V. fertig.
Gruß
Doskias
Wir IT-ler sind Hochwertziele. Da sollen prinzipbedingt keine Passwörter gespeichert werden oder abrufbar sein. Außerdem würden wir große Probleme im Audit bekommen.
Für die Ordner auf Papier ist dieses Thema im Audit in 10 Minuten erledigt.
Der Safe des HR ist der nächstgelegene Safe. Dort verschließen auch andere Abteilungen. Wir haben zwei Schubladen im Safe, die jeweils mit einem Schlüssel gezogen werden kann. Ersatzschlüssel gibt es nicht im Haus, sondern beim Hausmeister und dort auch nur unter den Augen des *rsch vom Dienst (Diensthabender Leiter) ausgehändigt unter Protokoll.
Wer die Schlüssel hat, wird aber nach Dienstende in der IT, Personal oder HR auch mit Schlüssel Alarm auslösen und die Zutrittskontrolle ist auch noch da.
Ich glaube auch nicht, dass das Personal Passwörter haben will ,;)
Für die Ordner auf Papier ist dieses Thema im Audit in 10 Minuten erledigt.
Der Safe des HR ist der nächstgelegene Safe. Dort verschließen auch andere Abteilungen. Wir haben zwei Schubladen im Safe, die jeweils mit einem Schlüssel gezogen werden kann. Ersatzschlüssel gibt es nicht im Haus, sondern beim Hausmeister und dort auch nur unter den Augen des *rsch vom Dienst (Diensthabender Leiter) ausgehändigt unter Protokoll.
Wer die Schlüssel hat, wird aber nach Dienstende in der IT, Personal oder HR auch mit Schlüssel Alarm auslösen und die Zutrittskontrolle ist auch noch da.
Ich glaube auch nicht, dass das Personal Passwörter haben will ,;)
@Doskias
Website öffnen, ins Loginfeld klicken, Keepass öffnen, Passwort raussuchen, Str+V. fertig.
Jou. Und die Zwischenablage ist ja keine Gefahr. Nee, klar. Schau Dir lieber kee an, das verschlüsselt den Transfer der Daten. Keepass kann das von sich aus nicht, selbst auto-type mit obfuscation ist unsicher.
Ich empfehle immer gerne Passbolt oder Bitwarden.
Beides zum on-prem bereitstellen.
Sicherlich ist auf Papier zu "speichern" durchaus sicherer, was den ungewollten Fernzugriff angeht. Die Frage der Machbarkeit ist aber bei dem ganzen Remote Office Thema immer zu klären. Und ich mache damit andere Baustellen für Sicherheit und Backup auf. Wenn's brennt z.B.
VG
Beides zum on-prem bereitstellen.
Sicherlich ist auf Papier zu "speichern" durchaus sicherer, was den ungewollten Fernzugriff angeht. Die Frage der Machbarkeit ist aber bei dem ganzen Remote Office Thema immer zu klären. Und ich mache damit andere Baustellen für Sicherheit und Backup auf. Wenn's brennt z.B.
VG
Zitat von @2423392070:
Wir IT-ler sind Hochwertziele. Da sollen prinzipbedingt keine Passwörter gespeichert werden oder abrufbar sein. Außerdem würden wir große Probleme im Audit bekommen.
Wurde in unseren Audits bislang nie bemängelt, sondern eher gelobt. So unterschiedlich sind die AuditorenWir IT-ler sind Hochwertziele. Da sollen prinzipbedingt keine Passwörter gespeichert werden oder abrufbar sein. Außerdem würden wir große Probleme im Audit bekommen.
Ich glaube auch nicht, dass das Personal Passwörter haben will ,;)
Es geht hier weniger um glauben und wollen, sondern eher um können. Aber scheint ja sicher zu sei, sonst würde das ja im Audit beanstandet werden Zitat von @DerWoWusste:
@Doskias
Vielleicht habe ich mich da unklar ausgedrückt. Strg+V bezog sich auf KeePass und ist der Shortcut für die AutoType-Funktion.. Da wird nichts in die Zwischenablage kopiert.@Doskias
Website öffnen, ins Loginfeld klicken, Keepass öffnen, Passwort raussuchen, Str+V. fertig.
Jou. Und die Zwischenablage ist ja keine Gefahr. Nee, klar. Schau Dir lieber kee an, das verschlüsselt den Transfer der Daten. Keepass kann das von sich aus nicht, selbst auto-type mit obfuscation ist unsicher.Aber ja es ist nicht verschlüsselt, aber das ist die Eingabe beim Abtippen von einem Ordner ja auch nicht Aber ich werde es mir dennoch bei Gelegenheit mal anschauen. Für Kennwörter, die im Browser eingegeben werden scheint es mir auf den ersten Blick wirklich zielführender zu sein, aber STRG+V aus Keepasss funktioniert auch bei Logins außerhalb des Browsers
Strg+V bezog sich auf KeePass und ist der Shortcut für die AutoType-Funktion.. Da wird nichts in die Zwischenablage kopiert.
Oh doch. Schau Dir die Doku mal genauer an:https://keepass.info/help/base/autotype.html
und
https://keepass.info/help/v2/autotype_obfuscation.html
(gerade letzerer Link wird in Zweifel gezogen, da der Autor offenbar nicht auf dem Stand der Technik ist - was er schreibt, gilt seid Vista nicht mehr).
STRG+V ist wie du siehst gar nicht autotype. Es benutzt die Zwischenablage. Autotype benutzt virtuelle Tastendrücke, die natürlich auch aufgezeichnet werden können.
Das besondere ist, dass wir die Auditoren bezahlen. Das machen viele, aber nicht alle.
Es geht da auch nicht unbedingt um eine absolute Sicherheit sondern um TOM.
Der Auditor will sehen wie es geregelt ist und wie es gelebt wird.
Unsere IT Auditoren sind von Fach und wissen wie Angriffe ablaufen würden uns Schwachstellen ausgenutzt werden.
Das Vorhandensein einer Datei oder Datenbank mit Passwörtern wird meiner Meinung nach als 10/10 eingeschätzt.
Es geht da auch nicht unbedingt um eine absolute Sicherheit sondern um TOM.
Der Auditor will sehen wie es geregelt ist und wie es gelebt wird.
Unsere IT Auditoren sind von Fach und wissen wie Angriffe ablaufen würden uns Schwachstellen ausgenutzt werden.
Das Vorhandensein einer Datei oder Datenbank mit Passwörtern wird meiner Meinung nach als 10/10 eingeschätzt.
Hi
Wir setzen das hier ein:
https://www.passwordsafe.com/
Alternative fällt mir noch das vom Testen ein:
https://www.password-depot.de
Beides deutsche Firmen und können deine oben genannten Anforderungen.
Kostet aber auch "ein bisschen"
Mit freundlichen Grüßen Nemesis
Wir setzen das hier ein:
https://www.passwordsafe.com/
Alternative fällt mir noch das vom Testen ein:
https://www.password-depot.de
Beides deutsche Firmen und können deine oben genannten Anforderungen.
Kostet aber auch "ein bisschen"
Mit freundlichen Grüßen Nemesis
Zitat von @DerWoWusste:
https://keepass.info/help/base/autotype.html
STRG+V ist wie du siehst gar nicht autotype. Es benutzt die Zwischenablage. Autotype benutzt virtuelle Tastendrücke, die natürlich auch aufgezeichnet werden können.
Strg+V bezog sich auf KeePass und ist der Shortcut für die AutoType-Funktion.. Da wird nichts in die Zwischenablage kopiert.
Oh doch. Schau Dir die Doku mal genauer an:https://keepass.info/help/base/autotype.html
STRG+V ist wie du siehst gar nicht autotype. Es benutzt die Zwischenablage. Autotype benutzt virtuelle Tastendrücke, die natürlich auch aufgezeichnet werden können.
Also ich Streite mich wirklich ungern mit dir DWW, aber:
Ich habe es grade ausprobiert und während ich Strg+V (in unser Version beschrieben als "Perform Auto-Type") getätigt habe, habe ich die Zwischenablage überwachen lassen. Es wurde hier nichts von dem Login in die Zwischenablage kopiert.
Wichtiger ist aber meiner Meinung nach:
Zitat von @2423392070:
Es geht da auch nicht unbedingt um eine absolute Sicherheit sondern um TOM.
Der Auditor will sehen wie es geregelt ist und wie es gelebt wird.
Unsere IT Auditoren sind von Fach und wissen wie Angriffe ablaufen würden uns Schwachstellen ausgenutzt werden.
Das Vorhandensein einer Datei oder Datenbank mit Passwörtern wird meiner Meinung nach als 10/10 eingeschätzt.
Es geht da auch nicht unbedingt um eine absolute Sicherheit sondern um TOM.
Der Auditor will sehen wie es geregelt ist und wie es gelebt wird.
Unsere IT Auditoren sind von Fach und wissen wie Angriffe ablaufen würden uns Schwachstellen ausgenutzt werden.
Das Vorhandensein einer Datei oder Datenbank mit Passwörtern wird meiner Meinung nach als 10/10 eingeschätzt.
Das wichtige ist: Wo sind die Schwachstellen und wie können diese ausgenutzt werden. Selbst wenn die Zwischenablage genutzt werden würde, ist das Kennwort aus KeePass ja "nur" eine Hürde. Beispielsweise unser Hypervisor ist ausschließlich aus dem Management-Netz erreichbar. Das Kennwort ist entsprechend komplex und lang. Das Kennwort steht im Keepass, Keepass ist Kennwortgeschützt und liegt auf der Freigabe wo zwei Benutzer mit vier Accounts drauf Zugriff haben.
Selbst wenn unser Login-Kennwort für die Hypervisoren nun bekannt werden würde, dann wäre der Zugriff immer noch nur aus dem MGMT Netz möglich, wofür der Angreifer sich physisch im Gebäude auf dem Stuhl eines Admins befinden müsste um sich mit den Credentials des MGMT-Accounts auf dem MGMT-Rechner anzumelden. Und wenn der soweit gekommen ist, dann haben wir ein gaaaaaanz anderes Problem
Erfahrungsgemäß werden für Angriffe sehr häufig interne Ressourcen benutzt.
Dass eine eingehende Verbindung Initial aufgebaut wird oder unterhalten ist eher was für Hollywood Filme.
Ich persönlich würde z.b. von Druckern ausgehend mich im Netz umgucken und ein separates Netz für das Management eines Hypervisor wäre überhaupt von Belang.
Dass eine eingehende Verbindung Initial aufgebaut wird oder unterhalten ist eher was für Hollywood Filme.
Ich persönlich würde z.b. von Druckern ausgehend mich im Netz umgucken und ein separates Netz für das Management eines Hypervisor wäre überhaupt von Belang.
Moin,
wir benutzen https://www.passwordsafe.com/en/.
Macht was es soll und wenn es Probleme gibt, dann hilft der Support wirklich schnell und kompetent.
BG
CreaTive
wir benutzen https://www.passwordsafe.com/en/.
Macht was es soll und wenn es Probleme gibt, dann hilft der Support wirklich schnell und kompetent.
BG
CreaTive
Hallo,
Keepassium
Aber was der im AD soll - keine Ahnung?!?
Gruß,
Jörg
Keepassium
Aber was der im AD soll - keine Ahnung?!?
Gruß,
Jörg
Du kommst mit munteren vier Zeilen daher, nachdem hier ausgiebig diskutiert und rückgefragt wurde? Das ist aber knapp. Ok:
Ja, so das man nach der AD Anmeldung keine zusätzlichen credentials benötigt.
Wie gesagt, das kann bereits keepass. Jedoch wird das zum Problem, wenn sich nicht mehrere ein und dieselbe Kennwortdatenbank teilen wollen, aber verschiedene Nutzerkonten nutzen. Aber darauf wolltest Du wohl nicht weiter eingehen.Zitat von @user217:
Hier sind die Top 3 (ab 4 Sterne)
1. Bitwarden (789) (Kostet 60EUR/p.a. / User - englisch)
Hier sind die Top 3 (ab 4 Sterne)
1. Bitwarden (789) (Kostet 60EUR/p.a. / User - englisch)
Gibts auch mit deutschem Sprachpaket.
Zitat von @user217:
(Eigentlich hatte ich den Traum davon das die Software gecryptete credentials direkt in der AD ablegt.. )
(Eigentlich hatte ich den Traum davon das die Software gecryptete credentials direkt in der AD ablegt.. )
???
Grundsätzlich teilt sich die Welt in Einzelnutzer-Passwortmanager, reine Mehrbenutzer-Passwortmanager und Mehrbenutzer-Passwortmanager mit IAM/PAM-Funktionen.
Das Defizit von reinen Mehrbenutzer-Passwortmanagern ist, dass ihr Hauptzweck - das Teilen von Passwörtern - eben ein Sicherheitsproblem ist, dem durch Rotation der Kennwörter begegnet werden muss. Dazu können erweiterte Lösungen in das jeweilige User-Registry (AD/AAD etc.) oder auf den konfigurierten Endpunkt (SQL-Server, Firewall, IIS-AppPool etc.) greifen und die Daten aktualisieren, auch automatisch, etwa nach Ablauf eines temporären Zugriffs auf das Passwort.
Zitat von @Doskias:
Er möchte aber eine Empfehlung und keinen Testbericht durcharbeiten.
Wir nutzen KeePass, aber das kann nicht alles was der TO sich wünscht.
Er möchte aber eine Empfehlung und keinen Testbericht durcharbeiten.
Wir nutzen KeePass, aber das kann nicht alles was der TO sich wünscht.
Richtig "cringe" wird es erst wenn man dem Link folgt und merkt, er nützt einem nix weil die die heisse Seite diesen nur vollständig anzeigt wenn man ein Abonnement hat oder ich bin zu doof das störende Pop-up Fenster wegzuklicken!
XD
Keepass wurde eh schon gefühlte 10 mal erwähnt, oder?
XD
Zitat von @Shepherd81
Richtig "cringe" wird es erst wenn man dem Link folgt und merkt, er nützt einem nix weil die die heisse Seite diesen nur vollständig anzeigt wenn man ein Abonnement hat oder ich bin zu doof das störende Pop-up Fenster wegzuklicken!
Nichts nützen würde ich nicht sagen. Ja, da brauch man schon das Abo - oder man geht noch so richtig oldschool in eine Bibliothek (für die Jüngeren: das ist ein großes Haus mit ganz vielen Büchern drin ) und schaut, ob die Zeitschrift c't 5/21 im Präsenzbestand vorhanden ist. Kostet keinen Taler und man muss nicht mal Mitglied sein. Richtig "cringe" wird es erst wenn man dem Link folgt und merkt, er nützt einem nix weil die die heisse Seite diesen nur vollständig anzeigt wenn man ein Abonnement hat oder ich bin zu doof das störende Pop-up Fenster wegzuklicken!
Grüße
TA
Zitat von @TwistedAir:
Grüße
TA
Zitat von @Shepherd81
Richtig "cringe" wird es erst wenn man dem Link folgt und merkt, er nützt einem nix weil die die heisse Seite diesen nur vollständig anzeigt wenn man ein Abonnement hat oder ich bin zu doof das störende Pop-up Fenster wegzuklicken!
Nichts nützen würde ich nicht sagen. Ja, da brauch man schon das Abo - oder man geht noch so richtig oldschool in eine Bibliothek (für die Jüngeren: das ist ein großes Haus mit ganz vielen Büchern drin ) und schaut, ob die Zeitschrift c't 5/21 im Präsenzbestand vorhanden ist. Kostet keinen Taler und man muss nicht mal Mitglied sein. Richtig "cringe" wird es erst wenn man dem Link folgt und merkt, er nützt einem nix weil die die heisse Seite diesen nur vollständig anzeigt wenn man ein Abonnement hat oder ich bin zu doof das störende Pop-up Fenster wegzuklicken!
Grüße
TA
Oder auch oldschool, man lädt sich die runter über dieses dings mit "the bay" und druckt sie dann nur die wichtigen 5 Seiten auf dem alten Tintenstrahldrucker aus. XD
Hallo @user217,
wie sieht es bei Vaultwarden mit der Lizenzierung aus? Finde dazu im Netz nur Widersprüchige Informationen.
Teilweise wird gesagt das Selfhosting keine Lizenz benötigt, andere sagen für Unternehmen schon?!?!
wie sieht es bei Vaultwarden mit der Lizenzierung aus? Finde dazu im Netz nur Widersprüchige Informationen.
Teilweise wird gesagt das Selfhosting keine Lizenz benötigt, andere sagen für Unternehmen schon?!?!
Zitat von @nachgefragt:
Danke für die Info,
nachdem im Beitrag nun 4x Vaultwarden steht, und 26x KeePass, tendiere ich zu KeePass (#27) und kann es ebenso empfehlen.
Danke für die Info,
nachdem im Beitrag nun 4x Vaultwarden steht, und 26x KeePass, tendiere ich zu KeePass (#27) und kann es ebenso empfehlen.
von KeePass werden wir weg gehen, da es nicht so viele Funktionen besitzt und nur auf eine Datei aus ist, die im Netzwerk gespeichert sein muss, damit jeder ein Zugriff drauf hat.
Für den Heimanwender sicherlich eine Gute Lösung, für Bastler und Personen die es auch auf anderen Geräten nutzen wollen, ist KeePass nicht wirklich zu gebrauchen. Außer man synct die Datei über ne Cloud.
Moim
Gruß
Doskias
von KeePass werden wir weg gehen, da es nicht so viele Funktionen besitzt und nur auf eine Datei aus ist, die im Netzwerk gespeichert sein muss, damit jeder ein Zugriff drauf hat.
Für den Heimanwender sicherlich eine Gute Lösung, für Bastler und Personen die es auch auf anderen Geräten nutzen wollen, ist KeePass nicht wirklich zu gebrauchen. Außer man synct die Datei über ne Cloud.
Das stimmt so nicht. Ein Sync in die Cloud ist absolut nicht notwendig bei KeyPass und würde ich persönlich bei keinem Passwort-Manager machen. Unser KeePass liegt auf Netzfreigaben mit entsprechenden Zugriffsrechte. Da wird nichts in die Cloud syncronisiert und die Funktionen sind für uns ausreichend. Aber hier kommt es ja immer auf die Anforderungen drauf an. Wir haben zum Beispiel kein Problem mit mehreren Dateien zu arbeiten, da man innerhalb einer Datei keine Zugriffsrechte verwalten kann. Bei anderen ist das ein Ausschlusskriterium.Für den Heimanwender sicherlich eine Gute Lösung, für Bastler und Personen die es auch auf anderen Geräten nutzen wollen, ist KeePass nicht wirklich zu gebrauchen. Außer man synct die Datei über ne Cloud.
Gruß
Doskias