Projektantrag: Passwortverwaltung

[bogojing]

Hallo zusammen,

wollte die nächsten Tage meinen Antrag fürs Abschlussprojekt einreichen und würde mich freuen, wenn der ein oder andere noch etwas dazu sagen könnte.

Ausbildungsberuf: Fachinformatiker Anwendungsentwicklung.

----------------------------------------------------------------

Thema:

Entwicklung eines zentralen Passwort-Safes

Beschreibung:

In der Beispiel AG werden zurzeit die häufig benötigten Passwörter, z.B. für Datenbank- und Programmzugriffe interner Mitarbeiter, sowie externer Kunden, in Excel-Dateien abgelegt. Diese Excel-Dateien sind passwortgeschützt und werden in verschiedenen Ordnern, die ausschließlich von Administratoren eingesehen werden können, abgelegt. Durch das dezentrale Führen mehrerer Dateien liegen diese meist in unterschiedlichen Versionen vor, so dass eine auf Anhieb korrekte Auskunft über benötigte Zugangsdaten meist nicht möglich ist. Zusätzlich müssen die Zugangsdaten, um diese für externe Kunden zur Verfügung zu stellen, umständlich aus den einzelnen Excel-Dateien zusammengestellt werden. Des Weiteren ist es im Rahmen der PCI – Zertifizierung der Beispiel AG von Nöten, die eingesetzten Passwörter in einem vorgeschriebenen Zeitraum zu erneuern, die für diesen Zweck benötigte Übersicht über Erstellungsdatum der Passwörter ist jedoch zurzeit nicht gegeben.

Ziel dieser Projektarbeit ist, durch das Erstellen einer eigenständigen Applikation den Umgang mit Passwörtern einfacher, sicherer und effizienter zu gestalten. Die Applikation soll die Möglichkeit bieten, alle zu verwaltenden Passwörter an einer zentralen Stelle zu pflegen. Der Zugriff auf die verschiedenen Passwörter soll durch unterschiedliche Sicherheitsrollen geregelt werden. Die Daten werden dafür in einer zentralen und verschlüsselten FlatFile-Datenbankdatei abgelegt. Um die Daten den Kunden zur Verfügung stellen zu können, soll die Applikation eine Exportfunktion erhalten. Neben der Option Zugangsdaten der zugewiesenen Sicherheitsrolle zu pflegen, soll die Möglichkeit bestehen, eigene Passwörter ohne Zugriffsmöglichkeit von anderen zu verwalten. Zusätzlich soll die Applikation eine Anzeige für die Haltbarkeit der Passwörter erhalten, da diese im Rahmen der PCI-Zertifizierung in einem vorgegebenen Rhythmus erneuert werden müssen.

Für die Erstellung der Applikation steht aktuelle x86 Hardware samt Windows XP Betriebssystem zur Verfügung. Als Entwicklungsumgebung kommt das Borland Developer Studio 2006 zum Einsatz. Die zu verwendende Programmiersprache ist Delphi.

Projektumfeld:

Die Beispiel AG ist eine xyz Firma. Die Entwicklung und Umsetzung des Abschlussprojekts wird vollständig innerhalb der Beispiel AG stattfinden. Der Auftrag für die Umsetzung des Projektes erfolgt durch die Abteilung IT – Administration der Beispiel AG.

Projektphasen:

-- Analyse 4h

-> Ist – Analyse 2h

-> Gegenüberstellung fertiger Softwarelösungen und eigener Implementierung 2h

-- Pflichtenheft 6h

-- Entwurf 4h

-> GUI-Prototypen 2h

-> Erstellung Programmablaufplan 2h

-- Implementierung 35h

-> Gestaltung der Oberfläche 5h

-> Erstellung von Masken samt Funktionen 20h

-> Verschlüsselung der Daten 10h

-- Programmtests 10h

-> Durchführen von Testläufen 3h

-> Dokumentation der Testläufe 1h

-> Fehlerbehebung 6h

-- Dokumentation 11h

Gesamt: 70h

Dokumentation:

Die Dokumentation wird als prozessorientierter Projektbericht mit folgenden geplanten Anlagen geführt:

- Benutzerhandbuch

- Testprotokolle

- Quelltext

- Pflichtenheft

---------------------------------------------------

Vielen Dank schon mal!

mfg

bogojing

Bearbeitet 2. September 2010 von bogojing

[flashpixx]

Ich stelle einmal die Frage, warum muss man so etwas überhaupt realisieren? Mit einem LDAP Server und einem entsprechenden LDAP Client brauche ich dafür keine Eigenentwicklung.

Weiterhin begründest Du nicht, warum das ganze via FlatFile möglich sein muss. Wenn ich einen zentralen Passwort-Safe benötige wäre wohl eine zentrale Datenbank sinnvoll (die mit entsprechenden Zugriffen realisiert wird, da Du Windows als Basis System hast, hat man auch direkt Authentifizierungsmöglichkeiten via AD / Single Sign-on).

Ich kann beim besten Willen nicht nachvollziehen, warum Du 10 Stunden für die Verschlüsselung der Daten verwendest. 10 Stunden sind mir definitiv zu viel.

Weiterhin gibst Du keinen Einblick auf die Verschlüsselung der Daten. Da Du sie hier im Client implementierst, wäre durchaus die Frage nach der Sicherheit und damit nach der Art der Verschlüsselung wichtig. Z.B. wäre hier die Frage zu klären, wie angreifbar die Verschlüsselung gegen eine Brute-Force- oder Rainbow-Attake wäre

Ich sehe somit sehr viele ungeklärte Punkte

[lupo49]

Jede bereits existierende Passwortverwaltung wird mit hoher Wahrscheinlichkeit mehr Funktionen haben als deine am Ende des Projekts. Dein Projekt wird von der Wirtschaftlichkeit her nicht vertretbar sein.