gutitm
Goto Top

Wie MA Passswörter merken lassen? Wie PBA mit mehren Nutzern?

Hallo,

ich will hier bei uns die Laptops verschlüsseln und habe mich für eine Vollverschlüsselung entschieden. Dachte da an TrueCrypt. Nun sollten ja die Passwörter mindestens 20 Zeichen sein, dies stösst aber bei den Mitarbeitern auf massivsten Widerstand (+Chef). Aussserdem werden ein paar Laptops von mehreren Leuten genutzt, so dass diese ja dann bei einer PBA alle das gleiche Passwort kennen müssten?

Daher meine Frage:

- Wie überzeugt ihr die Leute 15-20 stellige Passwörter zu verwenden?
- Was macht ihr wenn mehrere Leute einen Laptop verwenden? Geht dann überhaupt eine Vollverschlüsselung?

- Welche Möglichkeit gibt es bei PBA diese Passwörter abzunehmen?

Und Antworten a la....das musst du durchsetzen helfen mir nicht soviel. Bin neu in der Firma und mir liegt die Sicherheit am Herzen, aber ich habe nicht die Rückendeckung...

Grüße gutit

Content-ID: 100947

Url: https://administrator.de/forum/wie-ma-passswoerter-merken-lassen-wie-pba-mit-mehren-nutzern-100947.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

floetenfranz
floetenfranz 04.11.2008 um 10:42:03 Uhr
Goto Top
- Wie überzeugt ihr die Leute 15-20 stellige Passwörter zu
verwenden?

vlt. indem du ihnen die Möglichkeit gibst, Passworte mit tools wie
http://keepass.info/download.html
zu veralten.

- Was macht ihr wenn mehrere Leute einen Laptop verwenden? Geht dann
überhaupt eine Vollverschlüsselung?
damit lassen sich mehrere Beutzer/Passworte verwalten
http://www.utimaco.de

salut
gutitm
gutitm 04.11.2008 um 11:16:03 Uhr
Goto Top
Zitat von @floetenfranz:

> - Wie überzeugt ihr die Leute 15-20 stellige
Passwörter zu
> verwenden?

vlt. indem du ihnen die Möglichkeit gibst, Passworte mit tools
wie
http://keepass.info/download.html
zu veralten.

Danke für den Tipp, leider geht der nicht ganz, da die Leute ja das Passwort brauchen bevor sie den Rechner überhaupt anmachen....ist ja eine PBA für einen verschlüsselten Laptop.



> - Was macht ihr wenn mehrere Leute einen Laptop verwenden? Geht
dann
> überhaupt eine Vollverschlüsselung?
damit lassen sich mehrere Beutzer/Passworte verwalten
http://www.utimaco.de


Ich war schonmal auf der Webseite, hab aber weder Trials noch Infos bekommen... nur Infos quasi zum zuschicken. Ist mit der Software von Ultimaco auch eine PBA mit Fingerabdruck möglich?

salut



A+ face-smile
Pe-Ju-
Pe-Ju- 04.11.2008 um 14:03:55 Uhr
Goto Top
Hallo,

also ich glaube kaum das es User gibt die sich mit einem 15-20 stelligem Kennwort anfreunden können.
Da empfehle ich schon ehr die Authentifizierung mit einer Smartcard bzw. Token.
Die günstigste Lösung ist hier dann natürlich schon die Fingerprint Anmeldung die auch von dem Produkt Utimaco Safeguard Easy laut Datenblatt unterstützt wird.
Mit der Fingerprint Anmeldung ist es dann auch möglich mehrere Finger auf einem Gerät zu hinterlegen sodass sich auch mehrere User anmelden können.

Ich selber habe auch mit der Fingerprint Anmeldung experimentiert, allerdings in Zusammenhang mit einem anderen Produkt, und halte Sie für eine gute Lösung wenn die Finger erstmal erfasst worden sind.
gutitm
gutitm 04.11.2008 um 15:04:05 Uhr
Goto Top
Zitat von @pe-ju-:
Hallo,

also ich glaube kaum das es User gibt die sich mit einem 15-20
stelligem Kennwort anfreunden können.

Genau....das geht nicht!

Da empfehle ich schon ehr die Authentifizierung mit einer Smartcard
bzw. Token.

Dafür braucht man ja dann spezielle Software auf dem Rechner, wenn nicht sogar auf einem Server. Hab da mal etwas geschaut, die Möglichkeiten sind ganz schön breit gefächtert und ne richtige Übersicht habe ich da nie gefunden...sollte am Ende schon preislich attraktiv sein.

Die günstigste Lösung ist hier dann natürlich schon
die Fingerprint Anmeldung die auch von dem Produkt Utimaco Safeguard
Easy laut Datenblatt unterstützt wird.
Mit der Fingerprint Anmeldung ist es dann auch möglich mehrere
Finger auf einem Gerät zu hinterlegen sodass sich auch mehrere
User anmelden können.

Ja, das habe ich auch gedacht..so eine Lösung. TrueCrypt unterstützt das nicht?



Ich selber habe auch mit der Fingerprint Anmeldung experimentiert,
allerdings in Zusammenhang mit einem anderen Produkt, und halte Sie
für eine gute Lösung wenn die Finger erstmal erfasst worden
sind.


Habe mir nunmal eine Testversion von SafeGuardEasy bestellt. Wenn das klappt wär das super, wenn es zu teuer wird, aber auch nicht sinnvoll.

Bin für jeden Tipp dankbar ;)
gnarff
gnarff 05.11.2008 um 01:36:37 Uhr
Goto Top
Passwoerter von 15-20 zeichen laenge halte ich fuer baren Unsinn, da Du als Admin dann auch fuer immer ausgesperrt bist, wenn sie verloren gehen; mehr als 6 - stellig wuerde ich nicht einfuehren. Ich gehe mal davon aus, dass Du nicht fuer den BND oder sonstigen Geheimdienste arbeitest, wo ueberdies sowieso andere Schutzloesungen verwand werden, eine Vollverschluesselung, halte ich in 90% aller Faelle fuer ein ueberzogenes Mittel; denn, bis jetzt habe ich in meiner Berufpraxis feststellen muessen, dass nur Nichtigkeiten mit derartiger Verschluesselungssoftware geschuetzt wurden.

Benutzerbezogene Datentresore reichen voellig aus, zusammen mit einer vernuenftigen Benutzer-Authentifizierung.

saludos
gnarff
gutitm
gutitm 05.11.2008 um 09:24:14 Uhr
Goto Top
Zitat von @gnarff:
Passwoerter von 15-20 zeichen laenge halte ich fuer baren Unsinn, da
Du als Admin dann auch fuer immer ausgesperrt bist, wenn sie verloren
gehen; mehr als 6 - stellig wuerde ich nicht einfuehren. Ich gehe mal
davon aus, dass Du nicht fuer den BND oder sonstigen Geheimdienste
arbeitest, wo ueberdies sowieso andere Schutzloesungen verwand werden,
eine Vollverschluesselung, halte ich in 90% aller Faelle fuer ein
ueberzogenes Mittel; denn, bis jetzt habe ich in meiner Berufpraxis
feststellen muessen, dass nur Nichtigkeiten mit derartiger
Verschluesselungssoftware geschuetzt wurden.


Hi gnarff,

das ist ja mal eine andere Sicht ;)...ich versuche ja deswegen Meinungen zu hören. Wir haben halt kundenbezogene Verträge, Mails und Kontaktdaten, sowie Rechnungen, Projekte etc. auf den Laptops. Ich glaube das bei deiner Antwort Datenschützer und Kunden empfindlich reagieren würden ;).


Benutzerbezogene Datentresore reichen voellig aus, zusammen mit einer
vernuenftigen Benutzer-Authentifizierung.

saludos
gnarff


1.) Was ist denn eine vernünftige Benutzer-Authentifizierung unter Windows XP? Das Passwort kann es ja nicht sein, dass kann ich mit einer einfachen Boot-CD aushebeln und komem als Admin rein.

2.) Benutzerbezogene Datentresore sind super, aber was ist wenn der Nutzer anfängt die Daten doch wieder auf dem Desktop zu speichern?
Pe-Ju-
Pe-Ju- 05.11.2008 um 14:57:30 Uhr
Goto Top
Hi,

also zu Punkt 1 würde ich einfach mal sagen das eine Kennwort bzw. Smartcardanmeldung an Win XP schon vernünftig sind und auch einen gewissen Grundschutz bieten. Das Problem ist halt sobald man das System von einem anderen Medium aus starten kann das der Zugriff aus Dateisystem umgangen werden kann bzw. man die Kennwörter berechnen kann.
Hier könnte man evtl. noch ein BIOS Kennwort setzen und darüber verweigern von anderen Medien zu starten.
Letztendlich hilft gegen unberechtigten Zugriff nur die Verschlüsselung sei es in einem Container bzw. gleich die gesamte HDD.

zu Punkt 2 sehe ich genauso das mit den Datentresoren ist in den meisten Fällen ausreichend aber das Problem ist das der User angewiesen ist auch in diesem Container seine Daten zu speichern wenn Sie verschlüsselt sein sollen.
Die meisten User halten sich nur nicht daran und speichern wild auf der HDD rum bzw. ist Ihnen das zu aufwendig in so einem Container zu speichern. Daher sehe ich schon den Vorteil die gesamte HDD zu verschlüsseln und dadurch ist es letztendlich egal in welchem Ordner auf der HDD gespeichert wird.
DerWoWusste
DerWoWusste 21.12.2008 um 16:20:37 Uhr
Goto Top
Ein neuer Aspekt: TPM.
TPM wird beispielsweise von Bitlocker verwendet (sofern das Mainboard so einen Chip hat) und man braucht kein Kennwort einzugeben, der Chip regelt das. Zwischen Schurke und den Daten steht nur die Windows-Benutzeranmeldung, die es dann noch abzusichern gilt (auch an Angriffe über den Firewireport denken - Firewire muss ausgeschaltet werden am besten gar nicht vorhanden sein). Bauen Angreifer die Platte aus, fehlt der TPM-Chip und sie ist genauso sicher wie bei anderen Verschlüsselungen ohne TPM.
Wir haben Truecrypt-Vollverschlüsselung im Einsatz, jedoch mit kurzen Kennwörtern, Bitlocker haben wir auch.

Versuch doch mal zu beurteilen, wie schnell ein kurzes Kennwort (<10 Zeichen, aber dafür komplex) geknackt werden kann und ob das nicht schon ausreichend schützt.