NigglzFIAE

Werde noch auf den anderen Thread antworten, ich bin mir nicht sicher wie ich das Projekt im allgemeinen erklären soll bzw. den Umfang

Das habe ich als Durchführungszeitraum eingegeben:

Meine IHK ist ein wenig curse, deswegen gibt es solche Formulare zur Dateneingabe. Denkt Ihr das geht von den Daten so? Ich habe mich an den Beispielanträgen von der IT-Berufe-Podcast-Seite orientiert.

Denkt Ihr, das geht als "Kurze Projektbeschreibung" im Projektantrag für die Abschlussprojektarbeit? Was haltet Ihr vom Thema, bekomme ich dadurch viele Probleme? Folgender Abschnitt: Projektbezeichnung: PasswortCheck: Überprüfung der Firmenpasswortrichtlinien und Kompromittierungsanalyse Kurze Projektbeschreibung: Das Ziel des Projekts besteht darin, eine clientunabhängige API für die *Firma* zu entwickeln, welche überprüft, ob das eingegebene Passwort den Unternehmensrichtlinien entspricht und möglicherweise kompromittiert ist. Die API wird in Visual Studio 2022 unter Verwendung von C# entwickelt. Die Unabhängigkeit der API ermöglicht eine vielseitige Anwendung. Das Hauptziel des Projekts umfasst die Entwicklung einer Passwortüberprüfung und die Betonung der Sicherheit von Kennwörtern. Die Kompromittierungsprüfung erfolgt durch das abgleichen mit der bereits gegebenen Datenbank. Falls das Passwort bereits vorhanden ist, wird es als kompromittiert betrachtet. Die Prüfung der Unternehmenspasswortrichtlinien, festgelegt vom internen Datenschutzbeauftragten, erfolgt im Backend der Anwendung, wo diese ebenfalls anpassbar ist. Die Windows Forms-Anwendung interagiert mit der API und ermöglicht dem Nutzer die Eingabe des Passworts. Nach der Passwortprüfung erhält der Nutzer über eine Anzeige auf der Nutzeroberfläche Informationen zum Kompromittierungsstatus sowie zur Einhaltung oder Nichtbeachtung der Richtlinien. Insgesamt zielt das Projekt darauf ab, eine sichere, flexible und benutzerfreundliche Lösung für die Passwortprüfung und Kompromittierungserkennung in der *Firma* Umgebung bereitzustellen.

Erstmal danke für die Antwort, da habe ich mich bei meinem Beispiel für den Projektantrag wohl ein wenig falsch ausgedrückt. Dabei werden die von den Mitarbeiter eingegebenen Passwörter nicht in der Datenbank abgespeichert, das Password wird verhashed und mit der Hashes (Passwörtern) in der DB angeglichen. Bezüglich der Richtlinien habe ich ein Vorgabe anhand der Kennwortrichtlinien der Firma erhalten, dort gibt es einen Abschnitt namens "Kennwort-Kompromittierung", bei welchen steht, dass ein entsprechender Workflow bereitgestellt wird, der die Passwörter auf Kompromittierung prüft. Aber naja, wie bereits hier erwähnt wurde, scheint es wohl, dass ich mir mit diesem Projektthema selbst mein Grab schaufle.

Ohje, ich merke das das nischt mit der Projektarbeit wird 😕 Mit der Projektbeschreibung ist leider richtig, da werde ich wohl nochmals versuchen was konkretes anzufordern. Es handelt sich um eine Datenbank, gefüllt mit kompromittierten Passwörtern. Dabei werde die von den Mitarbeiter eingegebenen Passwörter nicht in der Datenbank abgespeichert, das Password wird verhashed und mit der Hashes (Passwörtern) in der DB angeglichen. Bei den Passwortrichtlinien handelt es sich erstmal, wie du bereits erwähnt hast um die Länge usw. also 14 Zeichen, Großbuchstaben etc. Prinzipiell wäre es natürlich möglich die Mitarbeiter über das Programm zu schulen, falls es wirklich irgendwann eingesetzt werden sollte.

Das ist erstmal alles Text den ich mir ausgedacht (hingerotzt) habe, wie es später sein könnte, den richtigen Projektantrag werde ich dann noch verfassen müssen. Ich hab von meinem Unternehmen nur grob das Thema bekommen und mir wurde gesagt das es das Abschlussprojekt sin kann... Ein richtiges Lastenheft oder Ähnliches hab ich nicht. Ich habe nur die Passwortrichtlinien. Eigentl. soll nur gewährleistet werden, dass das Passwort nicht kompromittiert ist. Aktuell gibt es keine Firmen-Interne Möglichkeit die Passwörter zur prüfen.

Ne, es soll prinzipiell nur das Passwort nach der PW-Richtlinie u. nach der Kompromittierung prüfen, um erstmal firmeninterne Passwörter zu prüfen. Sonst gibt es ja Lösungen wie HaveIbeenpawned, aber die liegen im Internet. So hab ich das zumindest verstanden xD

Weißt du noch welcher Kurs das war?

Projektbegründnung: "Dieses Projekt wird umgesetzt, da die Notwendigkeit, Passwörter firmenintern zu überprüfen, ohne auf das Internet angewiesen zu sein (über das Intranet) besteht. Dies gewährleistet die Vertraulichkeit unserer Passwortdaten und minimiert das Risiko von Datenlecks und externen Abhängigkeiten. Die API bietet außerdem eine nahtlose Integration in unsere verschiedenen Produkte und Dienstleistungen. Ob es sich um E-Mail-Systeme, Datenbanken oder Zugangskontrollsysteme handelt, die API ermöglicht eine einheitliche Passwortprüfung und erhöht die Sicherheit. Die primäre Motivation hinter diesem Projekt liegt in der direkten Unterstützung der Anforderungen und Bedürfnisse unseres Unternehmens. Die interne Passwortprüfung ist von hoher Priorität, um Sicherheitsrisiken zu minimieren und Verwaltungsprozesse zu rationalisieren. Insgesamt gesehen stärkt die Implementierung dieser Passwortprüfungslösung unsere Sicherheitsmaßnahmen, optimiert interne Abläufe und gibt uns die Kontrolle über unsere Passwortverwaltung zurück. Dieses Projekt ist somit ein entscheidender Schritt in Richtung unserer unternehmensweiten Ziele und Visionen." -- Das wäre so prinzipiell die Begründung warum das Projekt durchgeführt wird.

Weil es theoretisch einen Drittanbieter-Lösung wäre

Aso ja AE

Moin Leute, im Sommer 2024 muss ich mein Projekt abgeben, ich mach mir bereits jetzt schon Gedanken über mein Abschlussprojekt. Prinzipiell hab ich meinen Ausbilder meinen "eventuellen" Projektantrag für mein Projekt, den ich im Januar - Februar abgeben muss vorgestellt, dieser meinte jedoch, dass das Projekt zu Umfangreich sei. Deswegen würde ich mir eine zweite Meinung einholen. Ist-Analyse: Firma XY verfügt derzeit über keine interne Lösung zur Überprüfung auf Kompromittierung von verwendeten Passwörtern bei der Windows Nutzeranmeldung. Die Kennwortrichtlinie der Firma XY erfordert jedoch eine solche Überprüfung, die bisher nicht durch Microsoft als Bordmittel bereitgestellt wird. Die Verwendung einer Drittanbieterlösung ist aus Sicherheitsgründen nicht erwünscht. Daher soll eine interne Lösung in Form eines Prüf-Tools entwickelt werden, welches die zu prüfenden Passwörter prüfen kann. Hierfür soll eine Datenbank mit kompromittierten Passwörtern, basierend auf MariaDB genutzt werden. Was soll am Ende erreicht werden? Das Ziel des Passwort-Tools besteht darin, ein Sicherheitsmaß zu erreichen, indem die Kompromittierung der eingegebenen Passwörter überprüft wird, zusätzlich sollen die eingegebenen Passwörter nach der vom Datenschutzbeauftragten erstellten Passwortrichtlinie erfüllt und überprüft werden. Durch die interne Prüfung wird ein effizienterer Prozess geschaffen, um die Sicherheit der Passwörter zu gewährleisten. So hab ich es mir vorgestellt: Also Prinzipiell hat man eine Oberfläche (Anhand Windows Forms o. Ä.), bei welcher man im Menu 4 Seiten hat: 1. Prüfung auf Kompromittierung / Richtlinien, 2. Verhashung von Klarpasswörtern (passwortlisten), 3. Import (Hash-Passwort-Listen o. Ä.) 4. Settings Die Oberfläche soll kaum Logik besitzen, diese sendet die Abfrage via. API an die DB und gibt die zu erfüllenden Richtlinien bzw. den Status der Kompromittierung zurück, die ganze Logik hängt in der Bibliothek-Schicht im Projekt. Die API ist dann somit universell Anbindbar. Abfrage: Klarpasswort (Eingabe) -> Passwortrichtlinien werden geprüft -> Passwort wird verhashed -> API gleicht Hash in DB ab -> API gibt resultat zurück. Prinzipiell meinte mein Ausbilder ich solle den Import, sowie das Verhashen weg lassen und beim Ist-Zustand angeben das die Datenbank bereits vorhanden ist, wobei ich eigentl. mit DB-First arbeite. Die eigentliche Projektarbeit soll nur aus der Logik (DB-Schicht, Verhashung, API, Oberfläche, Prüfklasse) darstellen. Denkt Ihr das reicht? Und würde das als Abschlussprojekt funktionieren? Und ist es schlimm, wenn ich mein eventuellen Projektantrag jetzt hier veröffentlicht habe (könnten draus Schwierigkeiten entstehen, wenn z. B. die IHK-Prüfer das sehen) xD?

Ich schreibe April 2024. Also würdest du eher von einem Vorbereitungskurs abraten?

Moin Leute, ich absolviere eine Ausbildung zum Fachinformatiker in AE und bin jetzt im 3 Lehrjahr, die Zeit ging ehrlich gesagt ganz schön schnell vorbei😅 Seit Anfang des Monats beschäftige ich mich mit der Prüfungsbereitung für die Abschlussprüfung (Teil 2), diese werde ich in Brandenburg abschließen. Irgendwie weiß ich nicht wo ich genau Anfang soll, ich habe mir die Themenliste von der Seite IT-Podcast angeschaut und mir dementsprechend eine kleine Excel-Übersichtsmappe angefertigt. Joa... im Endeffekt sind das um die 400 - 600 Themen + Unterthemen die ich gefunden habe. Für teuer Geld hab ich mir jetzt bei U-Form Prüfungssimulation für WISO & den Schriftlichen Teil gekauft. Wann fangt Ihr an für die Prüfung zu lernen? Von einem Schulkameraden wurde ich auf einen Vorbereitungskurs (Vorort) in Dresden aufmerksam gemacht, prinzipiell würde mir mein Ausbildungsbetrieb die Kosten für den Kurs stellen, ich müsste jedoch die Unterkunft bezahlen und 2-3 Wochen Dresden sind ganz schön teuer. Sonst habe ich im Internet Kurse für 300 - 600 € gefunden, bei denen man von zu Hause teilnehmen kann. Hat jemand diesbezüglich schon Erfahrungen? Da ich aktuell im Betrieb 2 größere Projekte habe, kann ich nicht den ganzen Tag lernen, und würde mir gerne eine Art Lehrplan erstellen, um die Themen aufzuteilen. Ich bedanke mich im Voraus für die Antworten. Einen angenehmen Abend noch!