Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Wie MA Passswörter merken lassen? Wie PBA mit mehren Nutzern?

Mitglied: gutitm
Hallo,

ich will hier bei uns die Laptops verschlüsseln und habe mich für eine Vollverschlüsselung entschieden. Dachte da an TrueCrypt. Nun sollten ja die Passwörter mindestens 20 Zeichen sein, dies stösst aber bei den Mitarbeitern auf massivsten Widerstand (+Chef). Aussserdem werden ein paar Laptops von mehreren Leuten genutzt, so dass diese ja dann bei einer PBA alle das gleiche Passwort kennen müssten?

Daher meine Frage:

- Wie überzeugt ihr die Leute 15-20 stellige Passwörter zu verwenden?
- Was macht ihr wenn mehrere Leute einen Laptop verwenden? Geht dann überhaupt eine Vollverschlüsselung?

- Welche Möglichkeit gibt es bei PBA diese Passwörter abzunehmen?

Und Antworten a la....das musst du durchsetzen helfen mir nicht soviel. Bin neu in der Firma und mir liegt die Sicherheit am Herzen, aber ich habe nicht die Rückendeckung...

Grüße gutit

Content-Key: 100947

Url: https://administrator.de/contentid/100947

Ausgedruckt am: 30.07.2021 um 10:07 Uhr

Mitglied: floetenfranz
floetenfranz 04.11.2008 um 10:42:03 Uhr
Goto Top
- Wie überzeugt ihr die Leute 15-20 stellige Passwörter zu
verwenden?

vlt. indem du ihnen die Möglichkeit gibst, Passworte mit tools wie
http://keepass.info/download.html
zu veralten.

- Was macht ihr wenn mehrere Leute einen Laptop verwenden? Geht dann
überhaupt eine Vollverschlüsselung?
damit lassen sich mehrere Beutzer/Passworte verwalten
http://www.utimaco.de

salut
Mitglied: gutitm
gutitm 04.11.2008 um 11:16:03 Uhr
Goto Top
Zitat von @floetenfranz:

> - Wie überzeugt ihr die Leute 15-20 stellige
Passwörter zu
> verwenden?

vlt. indem du ihnen die Möglichkeit gibst, Passworte mit tools
wie
http://keepass.info/download.html
zu veralten.

Danke für den Tipp, leider geht der nicht ganz, da die Leute ja das Passwort brauchen bevor sie den Rechner überhaupt anmachen....ist ja eine PBA für einen verschlüsselten Laptop.




> - Was macht ihr wenn mehrere Leute einen Laptop verwenden? Geht
dann
> überhaupt eine Vollverschlüsselung?
damit lassen sich mehrere Beutzer/Passworte verwalten
http://www.utimaco.de


Ich war schonmal auf der Webseite, hab aber weder Trials noch Infos bekommen... nur Infos quasi zum zuschicken. Ist mit der Software von Ultimaco auch eine PBA mit Fingerabdruck möglich?

salut



A+ :) face-smile
Mitglied: Pe-Ju-
Pe-Ju- 04.11.2008 um 14:03:55 Uhr
Goto Top
Hallo,

also ich glaube kaum das es User gibt die sich mit einem 15-20 stelligem Kennwort anfreunden können.
Da empfehle ich schon ehr die Authentifizierung mit einer Smartcard bzw. Token.
Die günstigste Lösung ist hier dann natürlich schon die Fingerprint Anmeldung die auch von dem Produkt Utimaco Safeguard Easy laut Datenblatt unterstützt wird.
Mit der Fingerprint Anmeldung ist es dann auch möglich mehrere Finger auf einem Gerät zu hinterlegen sodass sich auch mehrere User anmelden können.

Ich selber habe auch mit der Fingerprint Anmeldung experimentiert, allerdings in Zusammenhang mit einem anderen Produkt, und halte Sie für eine gute Lösung wenn die Finger erstmal erfasst worden sind.
Mitglied: gutitm
gutitm 04.11.2008 um 15:04:05 Uhr
Goto Top
Zitat von @Pe-Ju-:
Hallo,

also ich glaube kaum das es User gibt die sich mit einem 15-20
stelligem Kennwort anfreunden können.

Genau....das geht nicht!

Da empfehle ich schon ehr die Authentifizierung mit einer Smartcard
bzw. Token.

Dafür braucht man ja dann spezielle Software auf dem Rechner, wenn nicht sogar auf einem Server. Hab da mal etwas geschaut, die Möglichkeiten sind ganz schön breit gefächtert und ne richtige Übersicht habe ich da nie gefunden...sollte am Ende schon preislich attraktiv sein.

Die günstigste Lösung ist hier dann natürlich schon
die Fingerprint Anmeldung die auch von dem Produkt Utimaco Safeguard
Easy laut Datenblatt unterstützt wird.
Mit der Fingerprint Anmeldung ist es dann auch möglich mehrere
Finger auf einem Gerät zu hinterlegen sodass sich auch mehrere
User anmelden können.

Ja, das habe ich auch gedacht..so eine Lösung. TrueCrypt unterstützt das nicht?



Ich selber habe auch mit der Fingerprint Anmeldung experimentiert,
allerdings in Zusammenhang mit einem anderen Produkt, und halte Sie
für eine gute Lösung wenn die Finger erstmal erfasst worden
sind.


Habe mir nunmal eine Testversion von SafeGuardEasy bestellt. Wenn das klappt wär das super, wenn es zu teuer wird, aber auch nicht sinnvoll.

Bin für jeden Tipp dankbar ;)
Mitglied: gnarff
gnarff 05.11.2008 um 01:36:37 Uhr
Goto Top
Passwoerter von 15-20 zeichen laenge halte ich fuer baren Unsinn, da Du als Admin dann auch fuer immer ausgesperrt bist, wenn sie verloren gehen; mehr als 6 - stellig wuerde ich nicht einfuehren. Ich gehe mal davon aus, dass Du nicht fuer den BND oder sonstigen Geheimdienste arbeitest, wo ueberdies sowieso andere Schutzloesungen verwand werden, eine Vollverschluesselung, halte ich in 90% aller Faelle fuer ein ueberzogenes Mittel; denn, bis jetzt habe ich in meiner Berufpraxis feststellen muessen, dass nur Nichtigkeiten mit derartiger Verschluesselungssoftware geschuetzt wurden.

Benutzerbezogene Datentresore reichen voellig aus, zusammen mit einer vernuenftigen Benutzer-Authentifizierung.

saludos
gnarff
Mitglied: gutitm
gutitm 05.11.2008 um 09:24:14 Uhr
Goto Top
Zitat von @gnarff:
Passwoerter von 15-20 zeichen laenge halte ich fuer baren Unsinn, da
Du als Admin dann auch fuer immer ausgesperrt bist, wenn sie verloren
gehen; mehr als 6 - stellig wuerde ich nicht einfuehren. Ich gehe mal
davon aus, dass Du nicht fuer den BND oder sonstigen Geheimdienste
arbeitest, wo ueberdies sowieso andere Schutzloesungen verwand werden,
eine Vollverschluesselung, halte ich in 90% aller Faelle fuer ein
ueberzogenes Mittel; denn, bis jetzt habe ich in meiner Berufpraxis
feststellen muessen, dass nur Nichtigkeiten mit derartiger
Verschluesselungssoftware geschuetzt wurden.


Hi gnarff,

das ist ja mal eine andere Sicht ;)...ich versuche ja deswegen Meinungen zu hören. Wir haben halt kundenbezogene Verträge, Mails und Kontaktdaten, sowie Rechnungen, Projekte etc. auf den Laptops. Ich glaube das bei deiner Antwort Datenschützer und Kunden empfindlich reagieren würden ;).


Benutzerbezogene Datentresore reichen voellig aus, zusammen mit einer
vernuenftigen Benutzer-Authentifizierung.

saludos
gnarff


1.) Was ist denn eine vernünftige Benutzer-Authentifizierung unter Windows XP? Das Passwort kann es ja nicht sein, dass kann ich mit einer einfachen Boot-CD aushebeln und komem als Admin rein.

2.) Benutzerbezogene Datentresore sind super, aber was ist wenn der Nutzer anfängt die Daten doch wieder auf dem Desktop zu speichern?
Mitglied: Pe-Ju-
Pe-Ju- 05.11.2008 um 14:57:30 Uhr
Goto Top
Hi,

also zu Punkt 1 würde ich einfach mal sagen das eine Kennwort bzw. Smartcardanmeldung an Win XP schon vernünftig sind und auch einen gewissen Grundschutz bieten. Das Problem ist halt sobald man das System von einem anderen Medium aus starten kann das der Zugriff aus Dateisystem umgangen werden kann bzw. man die Kennwörter berechnen kann.
Hier könnte man evtl. noch ein BIOS Kennwort setzen und darüber verweigern von anderen Medien zu starten.
Letztendlich hilft gegen unberechtigten Zugriff nur die Verschlüsselung sei es in einem Container bzw. gleich die gesamte HDD.

zu Punkt 2 sehe ich genauso das mit den Datentresoren ist in den meisten Fällen ausreichend aber das Problem ist das der User angewiesen ist auch in diesem Container seine Daten zu speichern wenn Sie verschlüsselt sein sollen.
Die meisten User halten sich nur nicht daran und speichern wild auf der HDD rum bzw. ist Ihnen das zu aufwendig in so einem Container zu speichern. Daher sehe ich schon den Vorteil die gesamte HDD zu verschlüsseln und dadurch ist es letztendlich egal in welchem Ordner auf der HDD gespeichert wird.
Mitglied: DerWoWusste
DerWoWusste 21.12.2008 um 16:20:37 Uhr
Goto Top
Ein neuer Aspekt: TPM.
TPM wird beispielsweise von Bitlocker verwendet (sofern das Mainboard so einen Chip hat) und man braucht kein Kennwort einzugeben, der Chip regelt das. Zwischen Schurke und den Daten steht nur die Windows-Benutzeranmeldung, die es dann noch abzusichern gilt (auch an Angriffe über den Firewireport denken - Firewire muss ausgeschaltet werden am besten gar nicht vorhanden sein). Bauen Angreifer die Platte aus, fehlt der TPM-Chip und sie ist genauso sicher wie bei anderen Verschlüsselungen ohne TPM.
Wir haben Truecrypt-Vollverschlüsselung im Einsatz, jedoch mit kurzen Kennwörtern, Bitlocker haben wir auch.

Versuch doch mal zu beurteilen, wie schnell ein kurzes Kennwort (<10 Zeichen, aber dafür komplex) geknackt werden kann und ob das nicht schon ausreichend schützt.
Heiß diskutierte Beiträge
general
Telekom hat größere StörunganteNopeVor 1 TagAllgemeinInformationsdienste29 Kommentare

Moin, es scheint als hätte die Telekom gerade eine größere Störung. Bei vielen Kunden mit Telekom-Internetanschluss funktionieren Office 365 und auch IMAP-Mails nicht. Wartezeit in ...

question
Windows 365SarekHLVor 1 TagFrageWindows 1112 Kommentare

Hallo zusammen, nun ist es also soweit - Microsoft stellt mit "Windows 365" die Weichen in Richtung Windows as a Service: Wenn Microsoft da schreibt ...

question
Geplanter Server für Home LABraxxis990Vor 1 TagFrageServer-Hardware15 Kommentare

Guten Tag , Ich möchte gern meine aktuelle Hardware Tauschen. Im Einsatz ist ein kleiner Lenovo M93p ( Glaube ). Dort läuft ESXI mit 3 ...

question
Massive Probleme mit Windows Suche, Taskbar, Windows Standard Apps auf jedem Windows 10-PC im Firmennetzwerkrznr666Vor 22 StundenFrageWindows 1027 Kommentare

Hallo liebe Community, die PCs in unserem Unternehmen weisen folgende Probleme auf. Die Fehler treten nach einiger Zeit auf JEDEM Windows 10-PC auf, der genaue ...

question
Absicherung Exchange ServerLKleemannVor 22 StundenFrageExchange Server6 Kommentare

Hallo zusammen, wir sind bei uns in der Firma nun endlich vom Exchange POP3 Connector weggekommen und empfangen nun unsere E-Mail direkt über MX-Einträge. Nun ...

question
Anfragen an internen- und externen DNS Server gelöst BPeterVor 1 TagFrageWindows Server17 Kommentare

Hallo, im Homeoffice soll eine DNS Anfrage für Softphone über einen externen DNS Server laufen und nicht über den internen DNS Server. Dies soll aber ...

question
CMS für Lebenslauf einer Maschine gelöst rrobbyyVor 1 TagFrageCMS10 Kommentare

Hallo zusammen, im Zuge einer Masterarbeit loten wir gerade ein paar Möglichkeiten aus, wie man die (alle) technischen Daten einer Anlage (Kran-Anlagen) strukturiert und nachvollziehbar ...

question
Domainbenutzer Passwort lokal ändern?gecekusuVor 1 TagFrageWindows Userverwaltung9 Kommentare

Hallo zusammen, gibt es die Möglichkeit das Benutzerpasswort von lokalen Benutzer am PC der in einer (nicht verbundenen) Domain ist zu ändern? Sprich, Benutzer ist ...