mrheisenberg
Goto Top

Passwortsafe

Einen schönen Montag,

ich bin gerade am überlegen wie ich unsere Passwörter sichere, derzeit ist KeePass im Einsatz, im Prinzip kein schlechtes Teil, nur ich spinne gerade in meinen Gedanken, da bei uns in der nähe eine Firma ausspioniert wurde, und zig Zugangsdaten auch aus der IT gestohlen wurden.

Wenn ich es mir recht überlege, eine Keepass DB ist relativ einfach zu "klauen", auch wenn wir die Key-Datei verwenden als 2ten Faktor.

Jetzt gibt es einige Anbieter welche in der Cloud agieren, 1Passwort als Beispiel, aber hier sehen meine Erfahrungen etwas mau aus, was würdet Ihr hier präferieren?

Browser-Passwort-Speicher-Dinger sind eher nix ;)

Freue mich auf euren Input


Grüße

Content-ID: 5966747209

Url: https://administrator.de/contentid/5966747209

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

aqui
aqui 13.02.2023, aktualisiert am 14.02.2023 um 19:41:42 Uhr
Goto Top
Wird ja gefühlt monatlich hier gefragt. Gruß von der Suchfunktion... face-wink

Crossplattform Passwortmanager
Passwortmanager gesucht iOS + Windows ohne Cloud o.ä
Nils02
Nils02 13.02.2023 um 15:36:28 Uhr
Goto Top
Hallo,

eine Empfehlung ist immer wieder Bitwarden, kann man selbst hosten, auch inklusive Benutzer/Rechteverwaltung, bzw den fork Vaultwarden, welcher diese Funktionen kostenlos anbietet.
Bitwarden ist ebenfalls Open-Source, daher auch deutlich empfehlenswerter als closed Lösungen, die dann rein in der Cloud laufen.

Benutze es privat und bin sehr zufrieden.
ShutterJx
ShutterJx 13.02.2023 um 15:40:25 Uhr
Goto Top
Hallo IT.

Ich habe in einer Firma mal das ganze mit Microsoft Teams gemacht (Eine Gruppe erstellt und über OneNote ein Notizbuch erstellt mit für jeden Teil eigenem Reiter und einer entsprechenden Tabelle). Das ist auch ganz übersichtlich und auch herzlich sicher, weil einen MS Account inkl. MFA zu bruteforcen erstmal eine Ansage ist. Allerdings ist halt alles auf entsprechenden Server, was aber der Firma herzlich egal war. Ich persönlich nutzte momentan auch KeePass. Die Datenbank liegt (wie man es vermuten kann) bei Microsoft im OneDrive. (Dafür braucht man allerdings für KeePass ein Add-On, welches die Möglichkeit bietet auf OneDrive zuzugreifen. Um die zu klauen, muss wiederum auch jemand den Account mit MFA knacken. Natürlich kann man sich jetzt darum streiten, dass das Add-On mal eine Lücke haben kann und somit auf meine DB zugriff hat. Aber kann auch passieren, dass ein Schwein anfängt zu fliegen ;) .

Dazu nutze ich auf meinem Handy auch noch eine Drittanbieter App, die auf das OneDrive zugreift und ggf dort sich die aktualisierungen abholt. Die App macht zudem noch eine lokale Sicherung von letzen Zugriff, also selbst wenn jemand alles (aus versehen) löscht, habe ich meine Daten immer noch.


Vielleicht ist das Teams-Ding was für dich oder sogar die OneDrive-Lösung. Beides setzt ja einen O365 Abo voraus.

MfG
Shutter_Jx
3063370895
3063370895 13.02.2023 um 15:41:01 Uhr
Goto Top
+1 für Vaultwarden
it-fraggle
it-fraggle 13.02.2023 aktualisiert um 15:46:11 Uhr
Goto Top
Du hast Angst, dass dir jemand die DB (2FA) der Keepass klaut und denkst jetzt an die Speicherung Online? Genau mein Humor. Klingt für mich wie "Ich habe Angst vor einem Unfall mit 200 Km/h, aber welche Rennwagen kaufe ich mir denn jetzt?"

Tante Google kann dich mit Sicherheitsvorfällen geradezu erschlagen, was solche Dienste angeht. WENN, dann hoste es bitte selbst und sorge dafür, dass man nur per VPN ran kommt.
MrHeisenberg
MrHeisenberg 13.02.2023 um 15:56:31 Uhr
Goto Top
Zitat von @it-fraggle:

Du hast Angst, dass dir jemand die DB (2FA) der Keepass klaut und denkst jetzt an die Speicherung Online? Genau mein Humor.

Wo steht dass ich daran denke? ;) , mir geht es um konstruktive Aussagen, ggf. ein Erfahrungsbericht wie es so manch andere Admins machen, deswegen war es als Diskussion und nicht als Frage ins Forum gestellt
DerWoWusste
DerWoWusste 13.02.2023 aktualisiert um 16:44:46 Uhr
Goto Top
Hi.

Es fehlt mir die Beschreibung dessen, was Du eigentlich versuchst.
Stellen wir uns mal simpel vor, du hast keepass und nutzt es ohne 2FA - wo siehst Du Gefahren?
Nun nutzt Du es mit 2FA: welche Gefahren bleiben übrig, die dich dazu bringen, zu schreiben
eine Keepass DB ist relativ einfach zu "klauen", auch wenn wir die Key-Datei verwenden als 2ten Faktor
?

Willst Du Dich dagegen schützen, dass jemand, der deinen Rechner kontrolliert (ungesperrt vorfindet, Malware implantiert) deine Aktionen im Kennwortmanager monitoren/aufzeichnen kann, dann ist das eine ganz andere Frage als "ich möchte meine DB-Datei verschlüsseln".

Also genau fragen, sonst kommt nur Murks heraus.

Keepass kannst Du an ein Konto binden und auch dieses Konto kannst Du natürlich mit 2FA absichern (SmartCard). Auch kannst Du mittels SmartCard-Plugin die DB selbst nur gegen Vorweisung der SmartCard öffnen lassen. Dennoch steht im Vordergrund das Handling: nimmst Du die Kennwörter in die Zwischenablage, muss auch diese gesichert werden.

Auch ist nicht mitgeteilt worden, ob Du die selbe Kennwort-DB mit mehreren nutzt - das schließt gewisse Techniken aus. Nutzt Du sie allein, ist alles einfacher.
opnsense
opnsense 13.02.2023 um 16:57:07 Uhr
Goto Top
Also das sicherste ist, das Passwort garnicht aufzuschreiben und es nur im Kopf zu behalten 😂

Aber keine wirkliche Lösung.
Wir nutzen Keepassxc mit einem Yubikey. Wenn du jetzt noch die Festplatte mit Bitlocker verschlüsselt, dann kann er die Platte ruhig klauen, wie soll er den da dran kommen? Ich würde sagen, das ist schon echt sicher.
Cloud wäre für mich garkeine Option, da kann ich meine Passwörter auch gleich der NSA oder dem BND per Post schicken 😬
Cloudrakete
Cloudrakete 13.02.2023 um 18:55:33 Uhr
Goto Top
Bitwarden.

Clouddienste sind hier nicht "per default" schlecht.
Wirst Du verschlüsselt oder deine Umgebung ist aus welchen Gründen auch immer futsch, solltest Du Dokus sowie Passwörter immer greifbar haben.

Diese solltest Du so ablegen, dass diese selbst im K-Fall (Welcher Art auch immer) funktionstüchtig bleiben und das ohne Risiko einer Infektion, im Falle eines Angriffes.
lcer00
lcer00 13.02.2023 um 21:55:48 Uhr
Goto Top
Hallo,

zum Thema Cloud - wir benutzen Keeper. Die Passwörter werden verschlüsselt in der Cloud (EU Rechenzentrum) gespeichert und per MasterPasswort auf dem Endgerät entschlüsselt. Dazwischen kann man noch eine 2FA schalten.

Was bleibt an Gefahren?
  • keylogger o.ä. am Endgerät
  • Backdoors durch Regierungsbehörden
  • Zweitschüssel, die es nicht geben dürfte, weil die Technik des Anbieters möglicherweise doch anders funktioniert
  • lang angelegtes Unterwandern des Anbietercodes durch Kriminelle

All das kann ich nicht verhindern, wenn ich irgendeine Software anwende. Egal ob Cloud oder OnPremise. Auch OpenSource muss man vertrauen (Wieso ist ein Haufen Nerds eigentlich vertrauenswürdiger als eine große Firma?). Wer die Punkte oben umsetzen kann, ist mindestens eine Nummer zu groß für mich (OK, gegen den Keylogger könnte man einiges unternehmen.., der Rest aber?)

Grüße

lcer
3063370895
3063370895 14.02.2023 um 06:51:09 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

zum Thema Cloud - wir benutzen Keeper. Die Passwörter werden verschlüsselt in der Cloud (EU Rechenzentrum) gespeichert und per MasterPasswort auf dem Endgerät entschlüsselt. Dazwischen kann man noch eine 2FA schalten.

Was bleibt an Gefahren?
  • keylogger o.ä. am Endgerät
  • Backdoors durch Regierungsbehörden
  • Zweitschüssel, die es nicht geben dürfte, weil die Technik des Anbieters möglicherweise doch anders funktioniert
  • lang angelegtes Unterwandern des Anbietercodes durch Kriminelle

All das kann ich nicht verhindern, wenn ich irgendeine Software anwende. Egal ob Cloud oder OnPremise. Auch OpenSource muss man vertrauen (Wieso ist ein Haufen Nerds eigentlich vertrauenswürdiger als eine große Firma?).
Es geht darum dass der Quellcode offen ist und von jedem eingesehen werden kann. So kann z.B. Backdoor des Herstellers ausgeschlossen werden, ebenso fehlerhafte und/oder schwache Verschlüsselung.
Wer die Punkte oben umsetzen kann, ist mindestens eine Nummer zu groß für mich (OK, gegen den Keylogger könnte man einiges unternehmen.., der Rest aber?)

Grüße

lcer
lcer00
lcer00 14.02.2023 um 07:16:08 Uhr
Goto Top
Hallo,
Zitat von @chaot1coz:

Es geht darum dass der Quellcode offen ist und von jedem eingesehen werden kann. So kann z.B. Backdoor des Herstellers ausgeschlossen werden, ebenso fehlerhafte und/oder schwache Verschlüsselung.
schon klar. Aber prüfst Du das selbst? Oder vertraust Du da einfach jemandem? Wenn ja - warum eigentlich?


Grüße

lcer
3063370895
3063370895 14.02.2023 um 07:45:02 Uhr
Goto Top
Zitat von @lcer00:

Hallo,
Zitat von @chaot1coz:

Es geht darum dass der Quellcode offen ist und von jedem eingesehen werden kann. So kann z.B. Backdoor des Herstellers ausgeschlossen werden, ebenso fehlerhafte und/oder schwache Verschlüsselung.
schon klar. Aber prüfst Du das selbst? Oder vertraust Du da einfach jemandem? Wenn ja - warum eigentlich?


Grüße

lcer

Offener source von bekannten Programmen wird regelmäßig von tausenden Leuten auf Schwachstellen untersucht...
lcer00
lcer00 14.02.2023 um 08:39:56 Uhr
Goto Top
Hallo,
Zitat von @chaot1coz:

Zitat von @lcer00:

Hallo,
Zitat von @chaot1coz:

Es geht darum dass der Quellcode offen ist und von jedem eingesehen werden kann. So kann z.B. Backdoor des Herstellers ausgeschlossen werden, ebenso fehlerhafte und/oder schwache Verschlüsselung.
schon klar. Aber prüfst Du das selbst? Oder vertraust Du da einfach jemandem? Wenn ja - warum eigentlich?


Grüße

lcer

Offener source von bekannten Programmen wird regelmäßig von tausenden Leuten auf Schwachstellen untersucht...

Die kenne ich nicht. Kennst Du welche persönlich? Wer sind die? Wo kann man das nachschauen? In Git-Repros sehe ich jedenfalls keine Liste der Prüfergebnisse. Dafür fehlen immer mal Paketbetreuer: https://www.debian.org/devel/wnpp/

Ich sage ja nicht, dass OpenSource problematisch ist. Es ist halt anders. Da der Einsatz einer PasswordSafe-Software Vertrauen erfordert, sollte man sich schon mal überlegen, wem man vertraut - und warum. Genau wie man sich überlegen sollte, warum man jemandem misstraut.

Grüße

lcer
WoenK0
WoenK0 15.02.2023 um 11:08:42 Uhr
Goto Top
Zitat von @chaot1coz:

Zitat von @lcer00:

Hallo,
Zitat von @chaot1coz:

Es geht darum dass der Quellcode offen ist und von jedem eingesehen werden kann. So kann z.B. Backdoor des Herstellers ausgeschlossen werden, ebenso fehlerhafte und/oder schwache Verschlüsselung.
schon klar. Aber prüfst Du das selbst? Oder vertraust Du da einfach jemandem? Wenn ja - warum eigentlich?


Grüße

lcer

Offener source von bekannten Programmen wird regelmäßig von tausenden Leuten auf Schwachstellen untersucht...

...und etliche davon nutzen die Schwachstellen davon aus oder verkaufen sie an den Meistbietenenden, ohne etwas dagegen zu tun.
Closed Source macht die Sache auch nicht sicherer.
In der Cloud etwas speichern ist allgemein eine schlechte Idee, zum einen weil sichergestellt werden muss das man selbst jederzeit darauf zugriff hat und zum anderen, weil da auch nicht sicher ist das nicht der Anbieter ein Sicherheitsloch hat (s. LastPass).

Ein guter Admin ist ein paranoider Admin.
Dein bester Kollege kann eine unverschlüsselte Kopie der ganzen Passwörter irgend wo haben (weil MFA zu nervig ist) und 2-3 Monate später damit das unternehmen verlassen.
Man darf niemanden vertrauen, auch nicht sich selbst.
Dr.Mabuse
Dr.Mabuse 16.02.2023 aktualisiert um 14:36:03 Uhr
Goto Top
Ich verstehe Dein Befürchtungen... Die anderen scheinbar nicht face-wink

Also, wir hatten auch Keepass, ist ein schönes Tool und ich nutze es Privat und dazu auch noch auf dem IPAD, damit der Shitstorm jetzt so richtig losgehen kann face-wink face-wink face-wink

Keepass in der Firma haben wir abgeschafft, weil wir seit Februar 2022 aufgefordert wurden, die Sicherheit zu erhöhen face-sad Dazu gehört auch, dass ein Mitarbeiter aus der IT, der das Unternehmen verlassen muss mit allen Keepass - Daten vom Hof reiten könnte oder sich vorher schon einen Ableger der DB aufm Stick gezogen hat.

Wir haben nun komplett alles auf Kryptische Kennwörter umgestellt und lassen uns von Passwordstate von https://www.clickstudios.com.au/ dabei unterstützen, die Kennwörter eben nicht alle im Kopf habe zu müssen. (liegt hier im Netz auf einem speziellen Server)

Es ist bis zu fünf User (glaube ich) Kostenlos, danach kostet es ein wenig. Vorteil meiner Meinung nach ist die Integration in viele Systeme, also nicht nur HTML Seiten befüllen, sondern auch in anderen Programmen wie Putty oder RMD die Daten, also User und Kennwort voll automatisiert zu übernehmen, viel Einfacher als bei Keepass.

Zusätzlich gibt es noch einen privaten Bereich in der Software in dem nur der User Zugriff hat und somit nicht im allgemeinen Datenpool liegt. Anfänglich war ich von der Vielzahl der Einstellungsmöglichkeiten erschlagen, aber es hat sich gelohnt, all die Möglichkeiten auszuschöpfen, jetzt macht das Produkt echt Spass.

An die Kritiker von Passwordstate sei gesagt, ja ich weiß dass die Firma gehackt wurde und empfinde es als sehr gut, dass die Firma daraus gelernt hat und vieles nun besser macht als andere Hersteller und auch offen damit umgeht.

Also MrHeisenberg, sicher ist "nichts", weder das eine noch das andere Programm, mit genug krimineller Energie lassen sich viele Dinge ausspionieren. Meiner Meinung nach wäre also eher die Frage, inwiefern kann Dich ein neues Tool in Deinem täglichen DOING unterstützen und dann kann man sich an die Auswahl eines geeigneten Tool machen, also in Deinem Fall einen Digitalen Passwort Safe.

Und vielleicht einfach mal die Kirche im Dorf lassen, da ich nicht davon ausgehe dass Du im Fort Knox oder bei der Nato arbeitest und selbst die wurden ja gerade vor ein paar Tagen geknackt face-wink

Beste Grüße
Andy
nachgefragt
nachgefragt 16.02.2023 aktualisiert um 14:24:20 Uhr
Goto Top
Zitat von @Dr.Mabuse:
Dazu gehört auch, dass ein Mitarbeiter aus der IT das Unternehmen mit
allen Keepass - Daten mitnehmen kann.
Das ist ein organisatorischer Fail,
klingt so als ob alles in einer Datenbank gespeichert wird.

Ist eigentlich ganz einfach, wäre nicht der erste Fall wo ein Admin z.B. keine Zugangsdaten vom Backup,... hat und bei einem Restore der DSB daneben steht.

Schön wäre natürlich vertrauensvolle Mitarbeiter, vor allen in den sensiblen Bereichen, zu haben.
Wo ein Wille ist i.d.R. immer ein Weg.
Dr.Mabuse
Dr.Mabuse 16.02.2023 um 14:44:02 Uhr
Goto Top
Zitat von @nachgefragt:
Das ist ein organisatorischer Fail, klingt so als ob alles in einer Datenbank gespeichert wird.

Jep hast recht was den Fail betrifft und sieht so aus dass Du Keepass nicht kennst. Keepass legt seine Kennwörter in einer FileDatabase ab und ist somit schlecht vor Diebstahl geschützt. face-smile auch bei einer 2 Faktor Authentifizierung, handelt es sich um eine Zertifikatsdatei usw. usw.
Aber ich kann mir natürlich auch täglich die Kennwörter mit denen ich arbeite in mein privates Handy eintragen. Wie ich schon sagte "Kirche und Dorf" und genügend Kriminelle Energie und man bekommt jede Situation geschrottet face-wink
nachgefragt
nachgefragt 16.02.2023 um 14:56:34 Uhr
Goto Top
Zitat von @Dr.Mabuse:
FileDatabase ab und ist somit schlecht vor Diebstahl geschützt
denk drüber nach face-wink
mach einfach ein Foto mit deinem iPad deiner Kennwörter
MrHeisenberg
MrHeisenberg 22.02.2023 um 08:16:59 Uhr
Goto Top
Leute vielen Dank für eure Kommentare, jetzt kann ich mir mal eine Übersicht schaffen