Passwort Management System - zu "dünn"?

[Kölner]

Hi flashpixx.

Sehe schon mal einen Fehler in meiner Disskusionsfürhrung..

.....Bei Anwendung, soll heißen, bei Zugriff auf Kundensystem wird https/ssl Verbindung verwendet, also eigentlich auch nichts mit Klartext. Wo lieg ich ...

Gruß aus Köln

...meinte eigentlich https / ssh Verbindung. (ssl ist zwar hier nicht falsch, aber ssh war gemeint). Für die devices wird eben bei uns in selten Fällen WebUI und in der Regel ssh über putty oder ner anderen CLI verwendet.

Danke fürs Feedback;)

[SilentDemise]

wie genau machst du https ohne SSL?

[lupo49]

Was sollen denn die gehashten Passwörter in der Datenbank bringen?

So wie das im ersten Beitrag zu lesen ist, geht es darum, dass Paswörter ordentlich pro Kunde abgelegt werden können. Diese Passwörter müssen anschließend wieder im Klartext sichtbar werden, damit das Passwort für z. B. den VPN-Zugang beim Kunden eingesetzt werden können. Ich kann ja nicht den VPN-Tunnel mit einem Hash des Passworts aufbauen.

Ich gehe davon aus, dass er sowas wie Password Safe | Passwortverwaltung als Produkt sucht?

[flashpixx]

Was sollen denn die gehashten Passwörter in der Datenbank bringen?

So wie das im ersten Beitrag zu lesen ist, geht es darum, dass Paswörter ordentlich pro Kunde abgelegt werden können. Diese Passwörter müssen anschließend wieder im Klartext sichtbar werden, damit das Passwort für z. B. den VPN-Zugang beim Kunden eingesetzt werden können. Ich kann ja nicht den VPN-Tunnel mit einem Hash des Passworts aufbauen.

Passwörter gehören nicht im Klartext gespeichert, denn dies bietet die Möglichkeit des Zugriffes. VPN kann man auch via Zertifikate authentifizieren so dass kein Passwort notwendig ist, gleiches gilt für einen SSH Key. Das Problem ist durch eine Änderung der Infrastruktur lösbar. Der Passwortmanager ist letztendlich nur ein Heftpflaster und löst das Problem nicht.

[SilentDemise]

@flashpixx wie handhabst du dass dann mit webdiensten, also drittanbieter Systeme, die kein SSH anbieten?

[Kölner]

Guten Morgen Allerseits, hoffe ihr hattet ein schönes WE!

Vielen Dank für die rege Anteilnahme!

wie genau machst du https ohne SSL?

….entweder Https (ssl bzw. tls) oder ssh Verbindung (hab mich wieder missverständlich ausgedrückt)

Was sollen denn die gehashten Passwörter in der Datenbank bringen?

So wie das im ersten Beitrag zu lesen ist, geht es darum, dass Paswörter ordentlich pro Kunde abgelegt werden können. Diese Passwörter müssen anschließend wieder im Klartext sichtbar werden, damit das Passwort für z. B. den VPN-Zugang beim Kunden eingesetzt werden können. Ich kann ja nicht den VPN-Tunnel mit einem Hash des Passworts aufbauen.

Ich gehe davon aus, dass er sowas wie Password Safe | Passwortverwaltung als Produkt sucht?

EXACT! Dankeschön

Nein, in diesem Fall würde ich SSH mit Key nutzen, ist jedenfalls bei uns im Rechenzrentrum das Standardverfahren + zentraler Authentifizierungsserver via LDAP. Administrative Tätigkeiten werden hier nur per SSH gemacht.

Wenn ich das richtig verstehe:

Bei einem zentralen Authentifizierungsserver (welcher bei jedem Kunden vorhanden sein müsste?),

wäre ich für das ganze Netzwerk des Kunden authentifiziert und hätte Zugriff auf jegliche Maschine des Kunden?

Bei Authetifizierung direkt an der zu administrierenden Maschine, müsste dies in dem device erst einmal so (wiederum vom Kunden und für jede Maschine welche Support benötigt oder benötigen könnte) eingerichtet werden?

Liebe Grüsse aus Köln

[flashpixx]

Wenn ich das richtig verstehe:

Bei einem zentralen Authentifizierungsserver (welcher bei jedem Kunden vorhanden sein müsste?),

wäre ich für das ganze Netzwerk des Kunden authentifiziert und hätte Zugriff auf jegliche Maschine des Kunden?

Bei Authetifizierung direkt an der zu administrierenden Maschine, müsste dies in dem device erst einmal so (wiederum vom Kunden und für jede Maschine welche Support benötigt oder benötigen könnte) eingerichtet werden?

Nein der SSH Key wird auf jeder Maschine auf der Du Dich einloggen willst einmal abgelegt bzw. man kann auch über einen zentralen Server, der z.B. die Homelaufwerke hostet, den Key auf alle Maschinen bekommen. Ein Schlüsselpaar kann für einen User / Server / LAN. Aber ich empfehle dazu, dass Du einmal die entsprechende Literatur dazu liest z.B. ein Einstieg wäre Secure Shell

Ich finde nur, dass die Diskussion hier durchaus etwas seltsam ist, denn vgl Projektantrag

Das Betätigungsfeld der Firma besteht hauptsächlich in dem Vertrieb und Support von IT Sicherheitslösungen. Des Weitern bietet die „XYZ“ auch Schulungen rund um die IT Sicherheit an.

bekomme ich überlste Bauchschmerzen, denn eine Firma, die "IT Sicherheit" bietet und nun hier in einem Abschlussprojekt verschiedene Sicherheitsaspekte durchkauen, scheint durchaus Probleme bezügl. Sicherheit zu haben.

[Kölner]

Nabends.

N

bekomme ich überlste Bauchschmerzen, denn eine Firma, die "IT Sicherheit" bietet und nun hier in einem Abschlussprojekt verschiedene Sicherheitsaspekte durchkauen, scheint durchaus Probleme bezügl. Sicherheit zu haben.

Bis her fand ich deinen style noch konstruktiv, bis weilen etwas von oben herab, aber konstruktiv.

Nicht die Firma kaut hier irgend etwas durch, sondern meiner einer in Persona.

Zu meiner Person: Ich mache eine 2 jährige Umschulung und bin selber wenig begeistert von dem was meine Schule glaubt, was richtiger Lehrplan sei oder auch nicht, nur soviel, diese Schule würd ich meinem ärgsten Feinden nicht empfehlen.

Aber wie auch immer 2 Jahre sind schlecht weg ein Witz, wenn es um diese Ausbildung geht und ja ich hatte es mir anders vorgestellt. Und nein ich bin nicht zu faul mir etwas anzueignen. Nun schön und gut. Nach 1 1/2 Jahren der tollen Schule, darf ich nun ein Praktikum bei einer Firma machen, welche Sicherheit vertreibt (wofür ich sehr dankbar sein kann und auch bin). So what, macht mich das jetzt zum Sicherheitsexperten? Nein bestimmt nicht und das liegt auch nicht an der Firma oder deren Mitarbeiter. Die haben schlecht weg auch was bessere zu tuen, als mich nun komplet auszubilden. By the way, die Personen die ich evtl fragen könnte weil es sie direkt angeht, sind derweil in Urlaub, soll ja mal vorkommen und soll ihnen auch gegönnt sein.

Von mir aus haut auf meinem zu klein geratenen Kopf rum, ich weiss wie es meine "Ausbildung" steht, aber schwingt euch nicht zum "Meister der offensichtlich vom Himmel viel" auf und kloppt dabei mal einfach auf Unbeteiligte.

Junge Junge da geht mir der Hut hoch, dieses bescheidene bashing in allen möglichen Foren k**zt mich an.

Tue mir einen Gefallen, fühl dich bitte nicht genötigt weiterhin irgend einen post zu beantworten. Ich möchte nicht an deinem Reiz am Enddarm schuld sein.

Schönen Dank :upps

[Goulasz]

Dich hindert niemand daran, dein Projekt so durchzuführen. Unter Umständen hindert dich nur der PA daran, deinen Berufsabschluss zu erwerben.

Auch: Dein Ton ist absolut unangemessen.

/Nachtrag: flashpixx und die anderen haben hier gute Hinweise gegeben, was für Fragen im FG aufkommen könnten und welche Punkte im Projekt vielleicht anders betrachtet werden sollten. Was du daraus machst, ist einzig und allein dir überlassen. Ich kann die Situation, dass man so was unter Zeitdruck und ohne Ansprechpartner nicht hören will, mehr als nachvollziehen, aber deine Reaktion darauf ist einfach nur unreif und unangemessen.

OnTopic: Klartext-Passwörter gehen gar nicht.

Bearbeitet 20. August 2013 von Goulasz
Siehe Nachtrag.

[Kölner]

....

Auch: Dein Ton ist absolut unangemessen.

..... dass man so was unter Zeitdruck und ohne Ansprechpartner nicht hören will, mehr als nachvollziehen, aber deine Reaktion darauf ist einfach nur unreif und unangemessen.

OnTopic: Klartext-Passwörter gehen gar nicht.

Wenn es so rüberkommt, sorry.

Meine Reaktion ist dem bashing auf "Unbeteiligte" geschuldet. Was soll das: "Ihr als IT Sicherheits Firma" Komentare (war jetzt auch nicht das erste mal) ? Spricht nicht unbedingt für guten Stiel, triftt nicht den Kern und hilft auch sonst nicht wirklich weiter. Wird aber ohne weiters deduldet. Genasuso Ansetzte wie : "Das ist doch Schwachsinn" waren hier schon zu lesen, das ist direkt angreifend und wird widrum geduldet.

Weshalb hab ich überhaupt diese Diskussion weitergeführt?

Ich bin immer noch der Meinung, das Produkte wie der angesprochene PasswordSafe, ihre Daseinsberechtigung haben. (hier werden Passwörter aber nun mal verschlüsselt und nicht gehasht)

Weshalb vertrete ich die Meinung: Aus dem Disskusionsverlauf, denn Strategien wie SingleSignOn sind auszuschliessen. Eine zentrale Authentifizierung bedingt bei jedem Kunden eine Authetifizierungstelle wie z.B. ein Radius server oder Ähnliches und die hat nicht jeder Kunde. Authentifiezierung direkt am Gerät wird nicht immer von allen Hersteller unterstützt. Was bleibt ist das Nutzen von Passwörtern. Soweit konnte ICH zumindest folgen und wenn das falsch ist, gut ist es eben falsch. Aber noch mal auch mir gegenüber darf man respektvoll sein (muss man nicht, kann ich mit leben), was gar nicht geht ist, irgendwelche Firmen oder deren Mitarbeiter runter zu ziehen. Aber nur meine bescheidene Meinung...

[flashpixx]

Ich bin immer noch der Meinung, das Produkte wie der angesprochene PasswordSafe, ihre Daseinsberechtigung haben. (hier werden Passwörter aber nun mal verschlüsselt und nicht gehasht)

Im privaten Umfeld ja, im Businessumfeld nein, denn es geht dabei um die Sicherheit von Unternehmsdaten und da sollte definitiv höhere Standards gegeben sein, als zuhause auf dem privaten Rechner (Stichwort Industriespionage).

Aus dem Disskusionsverlauf, denn Strategien wie SingleSignOn sind auszuschliessen. Eine zentrale Authentifizierung bedingt bei jedem Kunden eine Authetifizierungstelle wie z.B. ein Radius server oder Ähnliches und die hat nicht jeder Kunde.

Das mag sein, spricht nicht gegen ein gesichertes System

Authentifiezierung direkt am Gerät wird nicht immer von allen Hersteller unterstützt.

Bei Businesssysteme werden entsprechende Authentifizierungsmöglichkeiten geben, eben z.B. Zertifikate, SSH ...

Wenn wir hier über die Verwaltung einer SOHO Routers reden, dann sieht das anders aus.

Was bleibt ist das Nutzen von Passwörtern. Soweit konnte ICH zumindest folgen und wenn das falsch ist, gut ist es eben falsch. Aber noch mal auch mir gegenüber darf man respektvoll sein (muss man nicht, kann ich mit leben), was gar nicht geht ist, irgendwelche Firmen oder deren Mitarbeiter runter zu ziehen.

Es geht um Deinen Antrag und wenn Du bei dem Antrag als Mitarbeiter einer Sicherheitsfirma mit Klartextpasswörtern hantierst (was Du machen kannst), dann wird aber sicher die Frage nach der fachlichen Komponente kommen, denn Klartextpasswörter sind nun mal nicht sicher. Du sollst Dir für eine Problemstellung eine fachliche und wirtschaftliche Lösung überlegen, die eben gewisse Anforderungen erfüllt, niemand sagt, dass das leicht ist. Wir haben Dir hier einige Ansätze genannt.

Wie Goulasz schreibt, ist es letztendlich alleine Deine Entscheidung was Du machst, nur gehe davon aus, dass der PA nachfragen wird und im schlimmsten Fall, musst Du die Prüfung wiederholen. Du solltest bedenken, dass Du danach bewertet wirst, wie fachlich und wirtschaftlich Dein Problem gelöst wurde und wenn Du als Mitarbeiter eines Sicherheitsunternehmens mit unverschlüsselten Passwörtern arbeitest, dann ist das schon bedenklich, weil ich ja z.B. als Auftraggeber weiß, dass Ihr mein Passwort irgendwo im Klartext gespeichert habt und im Grunde keine Handhabe habe, was damit passiert.

Mal anders gefragt: Würdest Du einem Schlüsseldienst Deinen Haustürschlüssel geben, nur weil es ein Schlüsseldienst ist?

[Crash2001]

Also ich denke irgendwie, dass manche Leute hier das eigentliche Problem nicht so ganz verstehen, oder aber die vorgegebenen Gegebenheiten einfach ändern wollen, was aber nicht "mal eben" möglich ist.

Ich kenne auch diverse Dienstleister und weiß auch, dass entsprechende Tools (Passwortsafe, u.s.w.) vonnöten sind, denn man kann wohl kaum deinem Kunden die Pistole auf die Brust setzen und die Implementierung von z.B. Single-Sign-On oder Authentifizierung per Zertifikat verlangen, nur damit man sich bei ihm "sicher" einloggen kann.

WENN man eigene Zugänge beim Kunden (Router u.s.w.) hat, DANN kann man das durchaus selber implementieren, oder alternativ dem Kunden dies halt anbieten. Ich denke aber nicht, dass alle Kunden das überhaupt haben wollen (Mehrkosten, komplizierter, Kontrolle in Händen von wem anders, benötigte Infrastruktur falls in eigener Hand, Wartung, ...), sondern oftmals einfach bei ihren Standardpasswörtern bleiben wollen lieber.

Was sagt ihr einem Kunden, der die Kontrolle über Zugänge nicht abgeben will, der z.B. per Citrix den Zugang zu einer Maschine zur Verfügung stellt und Authentifizierung per Zertifikaten nicht unterstützt, sondern z.B. nur per festen Zugangsdaten (Username / Password) über eine Anbindung per VPN-Tunnel den Zugang zur Verfügung stellt.

Würdet ihr ihn als Kunden ablehnen, nur weil er nicht euren eigenen Ansprüchen an bestimmte Kriterien (Authentifizierung u.s.w.) entspricht? Ich denke mal, das kann sich nicht unbedingt jedes Unternehmen leisten.

Gut - wenn man eine bestimmte Securitysuite anbietet, dann kann man einen entsprechenden Managementzugang mit Authentifizierung per Zertifikat und allem PiPaPo natürlich direkt mit implementieren. Ob der Zugang dafür dann in den Firewalls aber vom Kunden freigeschaltet wird, ist noch die andere Frage.

Wenn man hingegen für die Administration von diversen Sachen (Fremdanbieter) zuständig ist, dann ist das wohl nicht so einfach, außer halt man verlangt vom Kunden, dass er eine Zugangssoftware irgendwo installiert, über die man dann remote zum Kunden verbinden kann. Da das aber ein Zwang wäre, würden diverse Kunden vermutlich sagen, dass sie das nicht wollen, oder aber laut ihren internen Sicherheitsbestimmungen die Software nicht eingesetzt werden dürfe.

Die Frage ist halt, ob man überhaupt Einfluss hat, auf welchem Wege man irgendwelche Sachen administrieren soll beim Kunden, wenn man ihn als Kunden behalten möchte, oder ob der Kunde (bzw. dessen IT-Abteilung) hier nicht doch eher die Entscheidung fällt und man halt mit den gegebenen Umständen sich bestmöglich arrangieren und unter Einsatz bestimmter Ressourcen eine möglichst sichere Speichermöglichkeit der Kundendaten gewährleisten kann. Wenn der Kunde nun einmal darauf besteht, dass man sich mit Username "admin" und Passwort "gott0815" einloggen soll, was soll man denn dagegen tun? :confused: Klar man kann sagen "Nein, das ist nicht sicher, das mache ich nicht.", aber dann kann es ganz schnell sein, dass er ein Ex-Kunde ist.

Ihr macht hier den Threadersteller rund und sagt immer wieder das gleiche - dass Passwörter gehasht und gesalzen werden sollen - nur bringt ihm das absolut nichts, wenn er nun einmal die Klartextpasswörter zwingend benötigt. Man kann doch nicht einfach die Anforderung ändern, nur weil es einem gerade mal so in den Kram passt.

Dass das nicht der Idealfall ist, sollte jedem klar sein, nur wie soll man es denn sonst anders lösen? Die Passwörter wöchentlich zu wechseln (zufallsgeneriert) und jeweils in einem Safe hinterlegen, zu dem man nur zu zweit Zugang hat und evtl sich noch beide per Batch und Irisscan authentifizieren müssen fände ich hier dann doch ein wenig übertrieben.

[Kölner]

….

/Nachtrag: flashpixx und die anderen haben hier gute Hinweise gegeben, was für Fragen im FG aufkommen könnten und welche Punkte im Projekt vielleicht anders betrachtet werden sollten. Was du daraus machst, ist einzig und allein dir überlassen.

….

Und bevor es völlig untergeht: Ich habe es auch so verstanden und zumeist eher als konstruktiv gewertet. Und viel wichtiger: Ich bin wirklich Dankbar für den Einsatz aller Beteiligten und habe es eigentlich auch schon ein paarmal erwähnt, aber trotzdem noch mal

Vielen Dank für eure Geduld und Mitarbeit!

@flashpixx Sorry für die übertriebene Reaktion.

@crash2011 DAAAAAAAAANKE schön :beagolisc

[flashpixx]

@flashpixx Sorry für die übertriebene Reaktion.

Kein Problem. Ist schon vergessen. Mir ist durchaus die soziale Komponente bei solchen Projekten bewusst (never touch a running system). Ich halte das aber gerade im Business- / Sicherheitsumfeld für nicht akzeptable (1. Punkt). Weiterhin ist schon klar, dass man nicht einfach mal "schnell" alles ändern kann (2. Punkt), nur hier sollte eigentlich der Kaufmann durchkommen und es dem Kunden schmackhaft machen. Letztes erfordert aber, dass man zuerst die fachliche Ebene erkennt, bewertet und danach dann für den Kunden eine Lösung entwirft. Ich schließe nicht aus, dass man auch eine Hybridlösung machen kann, nur würde ich dazu raten, erst einmal die technischen Systeme zu evaluieren, dann zu schauen, wie man mit entsprechenden Mechanismen gesichert diese Systeme verwalten kann und danach nimmt man entsprechende Tools zur Hand.

Der erste Antrag war kurz gefasst "nehmen wir nen Passwort-Safe, passt schon" und das ist definitiv nicht der richtige Ansatz, erst einmal breit an das Themenfeld heran gehen und dann evtl überlegen wie man es für den Kunden passend aufbereitet. Zusätzlich muss man aber immer im Hinterkopf haben, dass es um Sicherheit geht