Zugangsdaten sicher verwahren - mobiler Zugriff
Hallo,
seit langem nutzen wir VPN-Zugangsdaten, um Wartungsmaßnahmen sowie Aktualisierungen unserer Software im Netzwerk der Kunden durchzuführen.
Aus Sicherheitsgründen hatten wir diese Zugangsdaten früher nur in Papierform im Tresor. Irgendwann haben wir begonnen, das Ganze auf einem separaten Computer zu speichern, welcher zum einen komplett verschlüsselt ist und zum anderen an keinem Netzwerk hängt.
Sicherlich ist das in dieser Form nicht besonders komfortabel, zumal sich je nach Kunde die Zugangsdaten regelmäßig ändern. Des Weiteren hat es den Nachteil, daß das so natürlich nur in der Firma nutzbar ist, d.h. im Homeoffice hat man schlechte Karten. Andererseits hat man ein gutes Gefühl, weil was nicht im Netzwerk liegt, kann schon mal nicht geklaut werden.
Und ehrlich gesagt traue ich es mir nicht zu, jederzeit die Hand ins Feuer zu legen und zu 100% die Sicherheit zu garantieren, d.h. wer kann schon wirklich sicher sagen, daß das eigene Netz soweit sicher ist, daß da auch keiner reinkommt, wenn er es denn wirklich möchte bzw. die Zeit und das Budget dafür hat. Dafür sind die Hard- und Softwarekomponenten viel zu komplex und Exploits können ja jahrelang unbemerkt bleiben. Dazu kommen weitere Faktoren wie z. B. Faulheit oder Bequemlichkeit von Mitarbeitern, also Dinge wie der klassische Zettel mit dem Passwort, welcher unter der Tastatur klebt.
Manchmal gibt es jedoch Situationen, da möchte man auch mobil Zugriff auf ein Passwort haben. Bisher war das einfach nicht möglich, außer, man hatte das Passwort im Kopf Ansonsten muss man halt dem Kunden sagen, daß bei Problemen außerhalb der Kernzeiten erst am nächsten Tag geholfen wird und wir -auch im Interesse der Kunden-, die Passwörter niemals mit uns führen oder -schlimmer- in der Cloud ablegen.
Meine Frage ist, ob es irgendwelche mobilen Devices gibt, welche verschlüsselt Zugangsdaten speichern können. Kein Smartphone, Passworttresor-App, USB-Stick o.ä., sondern ein Gerät, welches nicht im Netz hängt und manuell gesynct werden muß. Das wäre für mich ein kleines Zugeständnis an den Komfort. Das Gerät muß halt soweit sicher sein, daß da auch keiner etwas damit anfangen kann, wenn es gestohlen wird oder verloren geht, d.h. es muß einen echten Verschlüsselungschip enthalten und der Zugriff sollte zusätzlich biometrisch und/oder per Accesstoken authentifiziert werden.
Ich muß, wenn ich so etwas benutze, wirklich sicherstellen, daß wir als kleinerer Dienstleister nicht als Sprungbrett genutzt werden, damit ein Hacker über die uns anvertrauten Zugangsdaten in die Netzwerke unserer Kunden eindringt.
Da sicherlich auch andere sich bereits mit dieser Problemstellung befasst haben, bin ich über Eure Anregungen dankbar.
Liebe Grüße und danke
Head
seit langem nutzen wir VPN-Zugangsdaten, um Wartungsmaßnahmen sowie Aktualisierungen unserer Software im Netzwerk der Kunden durchzuführen.
Aus Sicherheitsgründen hatten wir diese Zugangsdaten früher nur in Papierform im Tresor. Irgendwann haben wir begonnen, das Ganze auf einem separaten Computer zu speichern, welcher zum einen komplett verschlüsselt ist und zum anderen an keinem Netzwerk hängt.
Sicherlich ist das in dieser Form nicht besonders komfortabel, zumal sich je nach Kunde die Zugangsdaten regelmäßig ändern. Des Weiteren hat es den Nachteil, daß das so natürlich nur in der Firma nutzbar ist, d.h. im Homeoffice hat man schlechte Karten. Andererseits hat man ein gutes Gefühl, weil was nicht im Netzwerk liegt, kann schon mal nicht geklaut werden.
Und ehrlich gesagt traue ich es mir nicht zu, jederzeit die Hand ins Feuer zu legen und zu 100% die Sicherheit zu garantieren, d.h. wer kann schon wirklich sicher sagen, daß das eigene Netz soweit sicher ist, daß da auch keiner reinkommt, wenn er es denn wirklich möchte bzw. die Zeit und das Budget dafür hat. Dafür sind die Hard- und Softwarekomponenten viel zu komplex und Exploits können ja jahrelang unbemerkt bleiben. Dazu kommen weitere Faktoren wie z. B. Faulheit oder Bequemlichkeit von Mitarbeitern, also Dinge wie der klassische Zettel mit dem Passwort, welcher unter der Tastatur klebt.
Manchmal gibt es jedoch Situationen, da möchte man auch mobil Zugriff auf ein Passwort haben. Bisher war das einfach nicht möglich, außer, man hatte das Passwort im Kopf Ansonsten muss man halt dem Kunden sagen, daß bei Problemen außerhalb der Kernzeiten erst am nächsten Tag geholfen wird und wir -auch im Interesse der Kunden-, die Passwörter niemals mit uns führen oder -schlimmer- in der Cloud ablegen.
Meine Frage ist, ob es irgendwelche mobilen Devices gibt, welche verschlüsselt Zugangsdaten speichern können. Kein Smartphone, Passworttresor-App, USB-Stick o.ä., sondern ein Gerät, welches nicht im Netz hängt und manuell gesynct werden muß. Das wäre für mich ein kleines Zugeständnis an den Komfort. Das Gerät muß halt soweit sicher sein, daß da auch keiner etwas damit anfangen kann, wenn es gestohlen wird oder verloren geht, d.h. es muß einen echten Verschlüsselungschip enthalten und der Zugriff sollte zusätzlich biometrisch und/oder per Accesstoken authentifiziert werden.
Ich muß, wenn ich so etwas benutze, wirklich sicherstellen, daß wir als kleinerer Dienstleister nicht als Sprungbrett genutzt werden, damit ein Hacker über die uns anvertrauten Zugangsdaten in die Netzwerke unserer Kunden eindringt.
Da sicherlich auch andere sich bereits mit dieser Problemstellung befasst haben, bin ich über Eure Anregungen dankbar.
Liebe Grüße und danke
Head
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283134
Url: https://administrator.de/forum/zugangsdaten-sicher-verwahren-mobiler-zugriff-283134.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
10 Kommentare
Neuester Kommentar
oder dem Kunden das Passwort geben? Dann muss er es ggf mitteilen?
Hy,
ich habe auf dem Ipad und dem Iphone das MiniKeePass: http://www.heise.de/download/minikeepass-1190285.html
gruß
ich habe auf dem Ipad und dem Iphone das MiniKeePass: http://www.heise.de/download/minikeepass-1190285.html
gruß
Hallo,
ich kann @emeriks nur zustimmen! Jedes verschlüsselte System ist bei entsprechendem Aufwand "knackbar". Die Frage ist nur, ist das System für mich (oder meinen Kunden) so interessant, dass sich der Aufwand lohnt.
Damit ist jedes eingesetzte System immer ein Kompromiss aus Aufwand, Kosten, Bedienbarkeit, Sicherheitsniveau usw..
Wenn Du ein so hohes Sicherheitsbedürfnis hast, solltest Du mal über Einmal-Paßworte https://de.wikipedia.org/wiki/Einmalkennwort (Token https://de.wikipedia.org/wiki/Security-Token ) oder über eine 2-Faktor-Authentfizierung für die Anmeldung an die Kundensysteme nachdenken.
An sonsten fällt mir nur der Passwort-Safe aus dem Film "The Da Vinci Code" ein.
http://cdn-games.bigfishsites.com/de_davincicode/screen2.jpg
http://www.replix.de/shop/media/detail-high/filmrepliken/more/da-vinci- ...
Jürgen
ich kann @emeriks nur zustimmen! Jedes verschlüsselte System ist bei entsprechendem Aufwand "knackbar". Die Frage ist nur, ist das System für mich (oder meinen Kunden) so interessant, dass sich der Aufwand lohnt.
Damit ist jedes eingesetzte System immer ein Kompromiss aus Aufwand, Kosten, Bedienbarkeit, Sicherheitsniveau usw..
Wenn Du ein so hohes Sicherheitsbedürfnis hast, solltest Du mal über Einmal-Paßworte https://de.wikipedia.org/wiki/Einmalkennwort (Token https://de.wikipedia.org/wiki/Security-Token ) oder über eine 2-Faktor-Authentfizierung für die Anmeldung an die Kundensysteme nachdenken.
An sonsten fällt mir nur der Passwort-Safe aus dem Film "The Da Vinci Code" ein.
http://cdn-games.bigfishsites.com/de_davincicode/screen2.jpg
http://www.replix.de/shop/media/detail-high/filmrepliken/more/da-vinci- ...
Jürgen
Wie wäre es, wenn Ihr das "Passwort" zweiteilt. Eine Hälfte des Schlüssels kennt der Kunde, Ihr die andere Hälfte. Ergaunert sich jemand von Euch die Eurige Hälfte, kann er damit noch nicht viel anfangen und muss erst noch eine zweite Hürde überwinden. Die " Kundenhälfte" könntet ihr ja vom Kunden - wenn er außerhalb der Kernzeit ein Problem hat - auf einem vorher vereinbarten (PIN PW Kd-Nr whatever) Weg abfragen. Deine Hälfte entnimmst Du aus einem verschlüsselten Container. Für die Kernarbeitszeit gibt es das Papier im Tresor. Nur mal als Denkansatz, wenn Du Bedenken hast, dass die bei Euch gespeicherten Zugangsdaten gehäckt werden könnten.
Gruß
Holger
Gruß
Holger
Hallo,
das ist doch eine Art 2-Faktor-Authentifizierung.
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung
Jürgen
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
das ist doch eine Art 2-Faktor-Authentifizierung.
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung
Jürgen
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
Zitat von @chiefteddy:
das ist doch eine Art 2-Faktor-Authentifizierung.
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
das ist doch eine Art 2-Faktor-Authentifizierung.
PS Ein Teil könnte zB. der Personalausweis mit seinem RFID-Chip sein.
Yep.
Aber bei der Zwei-Faktor-Authentifizierung hat der Nutzer immer einen "ganzen" Schlüssel, also ein komplettes Passwort und einen Benutzernamen oder ein PIN und ein Token.
Ich dachte eher in die Richtung, das Sicherheitsmekmal zu teilen / aufzuteilen. Ähnlich, wie man es in Filmen sieht, bei denen das US-Militär eine Rolle spielt: Zugang nur nach Authentifizierung zweier berechtigter Offiziere, die jeweils unterschiedliche persönliche Schlüssel haben (PIN, PW, Hardware)
Jetzt muss das mit dem Kunden nur noch ein Konzept entworfen werden - falls überhaupt - wie man diesen Prozess sicher und praktikabel gestalten kann. Dann kann der Service-Techniker z.B. immer einen verschlüsselten USB-Stick mitführen mit den "halben Zugangdaten".
Ich glaube ich hatte mal was von verschlüsselten USB-Sticks gelesen, die sich nach dem dritten Fehlversuch selber löschen....
Gruß
Holger