head-crash
Goto Top

Zugangsdaten sicher verwahren - mobiler Zugriff

Hallo,

seit langem nutzen wir VPN-Zugangsdaten, um Wartungsmaßnahmen sowie Aktualisierungen unserer Software im Netzwerk der Kunden durchzuführen.

Aus Sicherheitsgründen hatten wir diese Zugangsdaten früher nur in Papierform im Tresor. Irgendwann haben wir begonnen, das Ganze auf einem separaten Computer zu speichern, welcher zum einen komplett verschlüsselt ist und zum anderen an keinem Netzwerk hängt.

Sicherlich ist das in dieser Form nicht besonders komfortabel, zumal sich je nach Kunde die Zugangsdaten regelmäßig ändern. Des Weiteren hat es den Nachteil, daß das so natürlich nur in der Firma nutzbar ist, d.h. im Homeoffice hat man schlechte Karten. Andererseits hat man ein gutes Gefühl, weil was nicht im Netzwerk liegt, kann schon mal nicht geklaut werden.

Und ehrlich gesagt traue ich es mir nicht zu, jederzeit die Hand ins Feuer zu legen und zu 100% die Sicherheit zu garantieren, d.h. wer kann schon wirklich sicher sagen, daß das eigene Netz soweit sicher ist, daß da auch keiner reinkommt, wenn er es denn wirklich möchte bzw. die Zeit und das Budget dafür hat. Dafür sind die Hard- und Softwarekomponenten viel zu komplex und Exploits können ja jahrelang unbemerkt bleiben. Dazu kommen weitere Faktoren wie z. B. Faulheit oder Bequemlichkeit von Mitarbeitern, also Dinge wie der klassische Zettel mit dem Passwort, welcher unter der Tastatur klebt.

Manchmal gibt es jedoch Situationen, da möchte man auch mobil Zugriff auf ein Passwort haben. Bisher war das einfach nicht möglich, außer, man hatte das Passwort im Kopf face-smile Ansonsten muss man halt dem Kunden sagen, daß bei Problemen außerhalb der Kernzeiten erst am nächsten Tag geholfen wird und wir -auch im Interesse der Kunden-, die Passwörter niemals mit uns führen oder -schlimmer- in der Cloud ablegen.

Meine Frage ist, ob es irgendwelche mobilen Devices gibt, welche verschlüsselt Zugangsdaten speichern können. Kein Smartphone, Passworttresor-App, USB-Stick o.ä., sondern ein Gerät, welches nicht im Netz hängt und manuell gesynct werden muß. Das wäre für mich ein kleines Zugeständnis an den Komfort. Das Gerät muß halt soweit sicher sein, daß da auch keiner etwas damit anfangen kann, wenn es gestohlen wird oder verloren geht, d.h. es muß einen echten Verschlüsselungschip enthalten und der Zugriff sollte zusätzlich biometrisch und/oder per Accesstoken authentifiziert werden.

Ich muß, wenn ich so etwas benutze, wirklich sicherstellen, daß wir als kleinerer Dienstleister nicht als Sprungbrett genutzt werden, damit ein Hacker über die uns anvertrauten Zugangsdaten in die Netzwerke unserer Kunden eindringt.
Da sicherlich auch andere sich bereits mit dieser Problemstellung befasst haben, bin ich über Eure Anregungen dankbar.

Liebe Grüße und danke

Head

Content-ID: 283134

Url: https://administrator.de/forum/zugangsdaten-sicher-verwahren-mobiler-zugriff-283134.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

emeriks
emeriks 17.09.2015 aktualisiert um 11:01:32 Uhr
Goto Top
Hi,
ein Tablet ohne Internet und ein Programm wie z.B. Password Safe?

E.
117643
117643 17.09.2015 um 11:09:41 Uhr
Goto Top
oder dem Kunden das Passwort geben? Dann muss er es ggf mitteilen?
119138
119138 17.09.2015 um 11:23:56 Uhr
Goto Top
Hy,

ich habe auf dem Ipad und dem Iphone das MiniKeePass: http://www.heise.de/download/minikeepass-1190285.html

gruß
Head-Crash
Head-Crash 17.09.2015 um 11:41:41 Uhr
Goto Top
Ich kenne Keepass sowie KyPass auf dem iPhone. Ist schon eine gute Lösung und für private Daten sicherlich ein guter Kompromiss aus Sicherheit und Komfort, aber ich möchte hier für die Firma auf eine spezialisierte Hardware setzen.

Ein Tablet -schon gar keinen Androiden- kann ich leider nicht einsetzen, da es bei Verlust eine große Angriffsfläche bietet und man mit genügend Zeit an sämtliche Daten rankommt, verschlüsselt oder nicht. Ist nur eine Frage des Aufwands, der eingesetzten Zeit und Rechenpower. Wa sich damit meine, wenn man erst mal die Passwortdatenbank vom Device kopieren kann, dann ist es auch kein weiter Weg, diese dann auch zu entschlüsseln.

Ich möchte wirklich eine spezielle Hardware, die für Verschlüsselung ausgelegt ist. Proprietär ist in diesem Fall sogar ein Vorteil, d.h. es hat dann vielleicht einen herstellerspezifischen Anschluss und Software zum "betanken" und nicht Standard-USB o.ä. und idealerweise soll es kompakt sein und in den Geldbeutel passen.

Wünsche über Wünsche...
emeriks
emeriks 17.09.2015 um 11:47:18 Uhr
Goto Top
Wieviel Leute kennst Du, die ein mit langen Schlüsseln, mehrfach verschlüsseltes System in absehbarer Zeit knacken können? Wenn das mehr als Null sind: Wieso kennst Du solche Leute? Und warum glaubst Du, dass sie dann nicht auch "eine spezielle Hardware" knacken könnten?
chiefteddy
Lösung chiefteddy 17.09.2015, aktualisiert am 18.09.2015 um 09:04:36 Uhr
Goto Top
Hallo,

ich kann @emeriks nur zustimmen! Jedes verschlüsselte System ist bei entsprechendem Aufwand "knackbar". Die Frage ist nur, ist das System für mich (oder meinen Kunden) so interessant, dass sich der Aufwand lohnt.

Damit ist jedes eingesetzte System immer ein Kompromiss aus Aufwand, Kosten, Bedienbarkeit, Sicherheitsniveau usw..

Wenn Du ein so hohes Sicherheitsbedürfnis hast, solltest Du mal über Einmal-Paßworte https://de.wikipedia.org/wiki/Einmalkennwort (Token https://de.wikipedia.org/wiki/Security-Token ) oder über eine 2-Faktor-Authentfizierung für die Anmeldung an die Kundensysteme nachdenken.

An sonsten fällt mir nur der Passwort-Safe aus dem Film "The Da Vinci Code" ein.

http://cdn-games.bigfishsites.com/de_davincicode/screen2.jpg

http://www.replix.de/shop/media/detail-high/filmrepliken/more/da-vinci- ... face-smile

Jürgen
Dilbert-MD
Lösung Dilbert-MD 17.09.2015, aktualisiert am 18.09.2015 um 09:04:06 Uhr
Goto Top
Wie wäre es, wenn Ihr das "Passwort" zweiteilt. Eine Hälfte des Schlüssels kennt der Kunde, Ihr die andere Hälfte. Ergaunert sich jemand von Euch die Eurige Hälfte, kann er damit noch nicht viel anfangen und muss erst noch eine zweite Hürde überwinden. Die " Kundenhälfte" könntet ihr ja vom Kunden - wenn er außerhalb der Kernzeit ein Problem hat - auf einem vorher vereinbarten (PIN PW Kd-Nr whatever) Weg abfragen. Deine Hälfte entnimmst Du aus einem verschlüsselten Container. Für die Kernarbeitszeit gibt es das Papier im Tresor. Nur mal als Denkansatz, wenn Du Bedenken hast, dass die bei Euch gespeicherten Zugangsdaten gehäckt werden könnten.

Gruß
Holger
chiefteddy
chiefteddy 17.09.2015 aktualisiert um 18:31:10 Uhr
Goto Top
Hallo,

das ist doch eine Art 2-Faktor-Authentifizierung.

https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung

Jürgen

PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
Dilbert-MD
Lösung Dilbert-MD 17.09.2015, aktualisiert am 18.09.2015 um 09:04:19 Uhr
Goto Top
Zitat von @chiefteddy:
das ist doch eine Art 2-Faktor-Authentifizierung.
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.

Yep.
Aber bei der Zwei-Faktor-Authentifizierung hat der Nutzer immer einen "ganzen" Schlüssel, also ein komplettes Passwort und einen Benutzernamen oder ein PIN und ein Token.
Ich dachte eher in die Richtung, das Sicherheitsmekmal zu teilen / aufzuteilen. Ähnlich, wie man es in Filmen sieht, bei denen das US-Militär eine Rolle spielt: Zugang nur nach Authentifizierung zweier berechtigter Offiziere, die jeweils unterschiedliche persönliche Schlüssel haben (PIN, PW, Hardware)

Jetzt muss das mit dem Kunden nur noch ein Konzept entworfen werden - falls überhaupt - wie man diesen Prozess sicher und praktikabel gestalten kann. Dann kann der Service-Techniker z.B. immer einen verschlüsselten USB-Stick mitführen mit den "halben Zugangdaten".
Ich glaube ich hatte mal was von verschlüsselten USB-Sticks gelesen, die sich nach dem dritten Fehlversuch selber löschen....

Gruß
Holger
Head-Crash
Head-Crash 18.09.2015 um 09:14:04 Uhr
Goto Top
Vielen Dank für Eure Anregungen! Die Idee mit dem aufgeteilten Passwort finde ich ziemlich gut

Tokens möchte ich nur ungern einsetzen. Ich traue den Dingern irgendwie nicht. Stichwort RSA / Lockheed Martin