10
Zugangsdaten sicher verwahren - mobiler Zugriff
Hallo,
seit langem nutzen wir VPN-Zugangsdaten, um Wartungsmaßnahmen sowie Aktualisierungen unserer Software im Netzwerk der Kunden durchzuführen.
Aus Sicherheitsgründen hatten wir diese Zugangsdaten früher nur in Papierform im Tresor. Irgendwann haben wir begonnen, das Ganze auf einem separaten Computer zu speichern, welcher zum einen komplett verschlüsselt ist und zum anderen an keinem Netzwerk hängt.
Sicherlich ist das in dieser Form nicht besonders komfortabel, zumal sich je nach Kunde die Zugangsdaten regelmäßig ändern. Des Weiteren hat es den Nachteil, daß das so natürlich nur in der Firma nutzbar ist, d.h. im Homeoffice hat man schlechte Karten. Andererseits hat man ein gutes Gefühl, weil was nicht im Netzwerk liegt, kann schon mal nicht geklaut werden.
Und ehrlich gesagt traue ich es mir nicht zu, jederzeit die Hand ins Feuer zu legen und zu 100% die Sicherheit zu garantieren, d.h. wer kann schon wirklich sicher sagen, daß das eigene Netz soweit sicher ist, daß da auch keiner reinkommt, wenn er es denn wirklich möchte bzw. die Zeit und das Budget dafür hat. Dafür sind die Hard- und Softwarekomponenten viel zu komplex und Exploits können ja jahrelang unbemerkt bleiben. Dazu kommen weitere Faktoren wie z. B. Faulheit oder Bequemlichkeit von Mitarbeitern, also Dinge wie der klassische Zettel mit dem Passwort, welcher unter der Tastatur klebt.
Manchmal gibt es jedoch Situationen, da möchte man auch mobil Zugriff auf ein Passwort haben. Bisher war das einfach nicht möglich, außer, man hatte das Passwort im Kopf
Ansonsten muss man halt dem Kunden sagen, daß bei Problemen außerhalb der Kernzeiten erst am nächsten Tag geholfen wird und wir -auch im Interesse der Kunden-, die Passwörter niemals mit uns führen oder -schlimmer- in der Cloud ablegen.
Meine Frage ist, ob es irgendwelche mobilen Devices gibt, welche verschlüsselt Zugangsdaten speichern können. Kein Smartphone, Passworttresor-App, USB-Stick o.ä., sondern ein Gerät, welches nicht im Netz hängt und manuell gesynct werden muß. Das wäre für mich ein kleines Zugeständnis an den Komfort. Das Gerät muß halt soweit sicher sein, daß da auch keiner etwas damit anfangen kann, wenn es gestohlen wird oder verloren geht, d.h. es muß einen echten Verschlüsselungschip enthalten und der Zugriff sollte zusätzlich biometrisch und/oder per Accesstoken authentifiziert werden.
Ich muß, wenn ich so etwas benutze, wirklich sicherstellen, daß wir als kleinerer Dienstleister nicht als Sprungbrett genutzt werden, damit ein Hacker über die uns anvertrauten Zugangsdaten in die Netzwerke unserer Kunden eindringt.
Da sicherlich auch andere sich bereits mit dieser Problemstellung befasst haben, bin ich über Eure Anregungen dankbar.
Liebe Grüße und danke
Head
seit langem nutzen wir VPN-Zugangsdaten, um Wartungsmaßnahmen sowie Aktualisierungen unserer Software im Netzwerk der Kunden durchzuführen.
Aus Sicherheitsgründen hatten wir diese Zugangsdaten früher nur in Papierform im Tresor. Irgendwann haben wir begonnen, das Ganze auf einem separaten Computer zu speichern, welcher zum einen komplett verschlüsselt ist und zum anderen an keinem Netzwerk hängt.
Sicherlich ist das in dieser Form nicht besonders komfortabel, zumal sich je nach Kunde die Zugangsdaten regelmäßig ändern. Des Weiteren hat es den Nachteil, daß das so natürlich nur in der Firma nutzbar ist, d.h. im Homeoffice hat man schlechte Karten. Andererseits hat man ein gutes Gefühl, weil was nicht im Netzwerk liegt, kann schon mal nicht geklaut werden.
Und ehrlich gesagt traue ich es mir nicht zu, jederzeit die Hand ins Feuer zu legen und zu 100% die Sicherheit zu garantieren, d.h. wer kann schon wirklich sicher sagen, daß das eigene Netz soweit sicher ist, daß da auch keiner reinkommt, wenn er es denn wirklich möchte bzw. die Zeit und das Budget dafür hat. Dafür sind die Hard- und Softwarekomponenten viel zu komplex und Exploits können ja jahrelang unbemerkt bleiben. Dazu kommen weitere Faktoren wie z. B. Faulheit oder Bequemlichkeit von Mitarbeitern, also Dinge wie der klassische Zettel mit dem Passwort, welcher unter der Tastatur klebt.
Manchmal gibt es jedoch Situationen, da möchte man auch mobil Zugriff auf ein Passwort haben. Bisher war das einfach nicht möglich, außer, man hatte das Passwort im Kopf
Ansonsten muss man halt dem Kunden sagen, daß bei Problemen außerhalb der Kernzeiten erst am nächsten Tag geholfen wird und wir -auch im Interesse der Kunden-, die Passwörter niemals mit uns führen oder -schlimmer- in der Cloud ablegen.Meine Frage ist, ob es irgendwelche mobilen Devices gibt, welche verschlüsselt Zugangsdaten speichern können. Kein Smartphone, Passworttresor-App, USB-Stick o.ä., sondern ein Gerät, welches nicht im Netz hängt und manuell gesynct werden muß. Das wäre für mich ein kleines Zugeständnis an den Komfort. Das Gerät muß halt soweit sicher sein, daß da auch keiner etwas damit anfangen kann, wenn es gestohlen wird oder verloren geht, d.h. es muß einen echten Verschlüsselungschip enthalten und der Zugriff sollte zusätzlich biometrisch und/oder per Accesstoken authentifiziert werden.
Ich muß, wenn ich so etwas benutze, wirklich sicherstellen, daß wir als kleinerer Dienstleister nicht als Sprungbrett genutzt werden, damit ein Hacker über die uns anvertrauten Zugangsdaten in die Netzwerke unserer Kunden eindringt.
Da sicherlich auch andere sich bereits mit dieser Problemstellung befasst haben, bin ich über Eure Anregungen dankbar.
Liebe Grüße und danke
Head
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283134
Url: https://administrator.de/contentid/283134
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
oder dem Kunden das Passwort geben? Dann muss er es ggf mitteilen?
Hy,
ich habe auf dem Ipad und dem Iphone das MiniKeePass: http://www.heise.de/download/minikeepass-1190285.html
gruß
ich habe auf dem Ipad und dem Iphone das MiniKeePass: http://www.heise.de/download/minikeepass-1190285.html
gruß
Ich kenne Keepass sowie KyPass auf dem iPhone. Ist schon eine gute Lösung und für private Daten sicherlich ein guter Kompromiss aus Sicherheit und Komfort, aber ich möchte hier für die Firma auf eine spezialisierte Hardware setzen.
Ein Tablet -schon gar keinen Androiden- kann ich leider nicht einsetzen, da es bei Verlust eine große Angriffsfläche bietet und man mit genügend Zeit an sämtliche Daten rankommt, verschlüsselt oder nicht. Ist nur eine Frage des Aufwands, der eingesetzten Zeit und Rechenpower. Wa sich damit meine, wenn man erst mal die Passwortdatenbank vom Device kopieren kann, dann ist es auch kein weiter Weg, diese dann auch zu entschlüsseln.
Ich möchte wirklich eine spezielle Hardware, die für Verschlüsselung ausgelegt ist. Proprietär ist in diesem Fall sogar ein Vorteil, d.h. es hat dann vielleicht einen herstellerspezifischen Anschluss und Software zum "betanken" und nicht Standard-USB o.ä. und idealerweise soll es kompakt sein und in den Geldbeutel passen.
Wünsche über Wünsche...
Ein Tablet -schon gar keinen Androiden- kann ich leider nicht einsetzen, da es bei Verlust eine große Angriffsfläche bietet und man mit genügend Zeit an sämtliche Daten rankommt, verschlüsselt oder nicht. Ist nur eine Frage des Aufwands, der eingesetzten Zeit und Rechenpower. Wa sich damit meine, wenn man erst mal die Passwortdatenbank vom Device kopieren kann, dann ist es auch kein weiter Weg, diese dann auch zu entschlüsseln.
Ich möchte wirklich eine spezielle Hardware, die für Verschlüsselung ausgelegt ist. Proprietär ist in diesem Fall sogar ein Vorteil, d.h. es hat dann vielleicht einen herstellerspezifischen Anschluss und Software zum "betanken" und nicht Standard-USB o.ä. und idealerweise soll es kompakt sein und in den Geldbeutel passen.
Wünsche über Wünsche...
Wieviel Leute kennst Du, die ein mit langen Schlüsseln, mehrfach verschlüsseltes System in absehbarer Zeit knacken können? Wenn das mehr als Null sind: Wieso kennst Du solche Leute? Und warum glaubst Du, dass sie dann nicht auch "eine spezielle Hardware" knacken könnten?
1
Hallo,
ich kann @emeriks nur zustimmen! Jedes verschlüsselte System ist bei entsprechendem Aufwand "knackbar". Die Frage ist nur, ist das System für mich (oder meinen Kunden) so interessant, dass sich der Aufwand lohnt.
Damit ist jedes eingesetzte System immer ein Kompromiss aus Aufwand, Kosten, Bedienbarkeit, Sicherheitsniveau usw..
Wenn Du ein so hohes Sicherheitsbedürfnis hast, solltest Du mal über Einmal-Paßworte https://de.wikipedia.org/wiki/Einmalkennwort (Token https://de.wikipedia.org/wiki/Security-Token ) oder über eine 2-Faktor-Authentfizierung für die Anmeldung an die Kundensysteme nachdenken.
An sonsten fällt mir nur der Passwort-Safe aus dem Film "The Da Vinci Code" ein.
http://cdn-games.bigfishsites.com/de_davincicode/screen2.jpg
http://www.replix.de/shop/media/detail-high/filmrepliken/more/da-vinci- ...
Jürgen
ich kann @emeriks nur zustimmen! Jedes verschlüsselte System ist bei entsprechendem Aufwand "knackbar". Die Frage ist nur, ist das System für mich (oder meinen Kunden) so interessant, dass sich der Aufwand lohnt.
Damit ist jedes eingesetzte System immer ein Kompromiss aus Aufwand, Kosten, Bedienbarkeit, Sicherheitsniveau usw..
Wenn Du ein so hohes Sicherheitsbedürfnis hast, solltest Du mal über Einmal-Paßworte https://de.wikipedia.org/wiki/Einmalkennwort (Token https://de.wikipedia.org/wiki/Security-Token ) oder über eine 2-Faktor-Authentfizierung für die Anmeldung an die Kundensysteme nachdenken.
An sonsten fällt mir nur der Passwort-Safe aus dem Film "The Da Vinci Code" ein.
http://cdn-games.bigfishsites.com/de_davincicode/screen2.jpg
http://www.replix.de/shop/media/detail-high/filmrepliken/more/da-vinci- ...
Jürgen
Wie wäre es, wenn Ihr das "Passwort" zweiteilt. Eine Hälfte des Schlüssels kennt der Kunde, Ihr die andere Hälfte. Ergaunert sich jemand von Euch die Eurige Hälfte, kann er damit noch nicht viel anfangen und muss erst noch eine zweite Hürde überwinden. Die " Kundenhälfte" könntet ihr ja vom Kunden - wenn er außerhalb der Kernzeit ein Problem hat - auf einem vorher vereinbarten (PIN PW Kd-Nr whatever) Weg abfragen. Deine Hälfte entnimmst Du aus einem verschlüsselten Container. Für die Kernarbeitszeit gibt es das Papier im Tresor. Nur mal als Denkansatz, wenn Du Bedenken hast, dass die bei Euch gespeicherten Zugangsdaten gehäckt werden könnten.
Gruß
Holger
Gruß
Holger
Hallo,
das ist doch eine Art 2-Faktor-Authentifizierung.
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung
Jürgen
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
das ist doch eine Art 2-Faktor-Authentifizierung.
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung
Jürgen
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
Zitat von @chiefteddy:
das ist doch eine Art 2-Faktor-Authentifizierung.
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
das ist doch eine Art 2-Faktor-Authentifizierung.
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
Yep.
Aber bei der Zwei-Faktor-Authentifizierung hat der Nutzer immer einen "ganzen" Schlüssel, also ein komplettes Passwort und einen Benutzernamen oder ein PIN und ein Token.
Ich dachte eher in die Richtung, das Sicherheitsmekmal zu teilen / aufzuteilen. Ähnlich, wie man es in Filmen sieht, bei denen das US-Militär eine Rolle spielt: Zugang nur nach Authentifizierung zweier berechtigter Offiziere, die jeweils unterschiedliche persönliche Schlüssel haben (PIN, PW, Hardware)
Jetzt muss das mit dem Kunden nur noch ein Konzept entworfen werden - falls überhaupt - wie man diesen Prozess sicher und praktikabel gestalten kann. Dann kann der Service-Techniker z.B. immer einen verschlüsselten USB-Stick mitführen mit den "halben Zugangdaten".
Ich glaube ich hatte mal was von verschlüsselten USB-Sticks gelesen, die sich nach dem dritten Fehlversuch selber löschen....
Gruß
Holger
Vielen Dank für Eure Anregungen! Die Idee mit dem aufgeteilten Passwort finde ich ziemlich gut
Tokens möchte ich nur ungern einsetzen. Ich traue den Dingern irgendwie nicht. Stichwort RSA / Lockheed Martin
Tokens möchte ich nur ungern einsetzen. Ich traue den Dingern irgendwie nicht. Stichwort RSA / Lockheed Martin
