Passworttracker gehostet

ChinaSonderzeichen_c315f8 · 12. Dezember 2007 um 12:58

Hallo,
ich habe hier im Geschäft folgende Anforderung:
(man frage bitte nicht nach der Sinnigkeit)
Wir brauchen ein gutes Passworttrackertool. Das ist ja ansich kein Problem.
Nur:
Es soll bei einem fremden Anbieter gehostet sein. Und mit diesem Anbieter sollen auch Verträge über die Erreichbarkeit und Zuverlässigkeit abgeschlossen werden können.
Kennt jemand ein gehostetes Passworttrackingtool?
(Zur Erklärung: Passworttracker ist für mich ein Tool, in dem ich all meine Passwörter hinterlegen kann, die verschlüsselt sind, und an die ich NUR mit einem Allgemeinen Key heran komme)

Frage an den Admin:
Bin ich in diesem Board richtig? Falls nicht, bitte den Artikel in ein sinnigeres Board verschieben.

Danke für antworten im Voraus, Gruß,
AlexR

Anonym_d5503925c587 · 12. Dezember 2007 um 21:42

Hi…

ich habe hier im Geschäft folgende Anforderung:
(man frage bitte nicht nach der Sinnigkeit)

D.h. Du weisst, daß es sinnlos ist, kannst aber Deinen Vorgesetzten nicht überzeugen. Ärgerlich.

Wir brauchen ein gutes Passworttrackertool. Das ist ja ansich
kein Problem.
Nur:
Es soll bei einem fremden Anbieter gehostet sein.

Die Verschlüsselung der Passwörter muß aus Sicherheitsgründen auf dem lokalen Rechner erfolgen, d.h. dort muß irgendwelche Software installiert sein. Das kann dann ein beliebiges Tool dieser Art sein, dessen Passwortdatenbank man dann auf ein Netzwerklaufwerk legt. Speicherplatz gibt es bei diversen Anbietern zu mieten.

genumi

ChinaSonderzeichen_c315f8 · 13. Dezember 2007 um 08:50

Hi…

ich habe hier im Geschäft folgende Anforderung:
(man frage bitte nicht nach der Sinnigkeit)

D.h. Du weisst, daß es sinnlos ist, kannst aber Deinen
Vorgesetzten nicht überzeugen. Ärgerlich.

jepp, ich bin der Meinung, Passwörter von produktiven Servern sollten nicht ausser Haus gehen!

Wir brauchen ein gutes Passworttrackertool. Das ist ja ansich
kein Problem.
Nur:
Es soll bei einem fremden Anbieter gehostet sein.

Die Verschlüsselung der Passwörter muß aus Sicherheitsgründen
auf dem lokalen Rechner erfolgen, d.h. dort muß irgendwelche
Software installiert sein. Das kann dann ein beliebiges Tool
dieser Art sein, dessen Passwortdatenbank man dann auf ein
Netzwerklaufwerk legt. Speicherplatz gibt es bei diversen
Anbietern zu mieten.

Das wäre noch eine Lösung, an die ich mich gewöhnen könnte. daran habe ich noch nicht gedacht.

Danke, AlexR

anon67740076 · 13. Dezember 2007 um 09:14

Wir brauchen ein gutes Passworttrackertool. Das ist ja ansich
kein Problem.
Nur:
Es soll bei einem fremden Anbieter gehostet sein.

Die Verschlüsselung der Passwörter muß aus Sicherheitsgründen
auf dem lokalen Rechner erfolgen, d.h. dort muß irgendwelche
Software installiert sein.

nicht unbedingt: eine verschluesslung laesst sich auch z.b. per javascript im browser machen so dass der server nur noch geheimtext, weder pass noch klartext zu sehen bekommt.

also weblog registrieren, kommentare abschalten, js-einlinken, klartext verschluesseln, geheimtext posten

Stefan_Schustereit · 13. Dezember 2007 um 11:43

(Zur Erklärung: Passworttracker ist für mich ein Tool, in dem
ich all meine Passwörter hinterlegen kann, die verschlüsselt
sind, und an die ich NUR mit einem Allgemeinen Key heran
komme)

Wird doch mit jedem Mac mitgeliefert: Schlüsselbund (Keychain Access).

Gruß,
Stefan

Little_H · 13. Dezember 2007 um 13:31

Hy,

ich habe hier im Geschäft folgende Anforderung:
(man frage bitte nicht nach der Sinnigkeit)

Dieses Vorgehen wäre in meinen Augen nicht nur Sinnbefreit, sondern grob fahrlässig (um es mal so nett zu formulieren).
Wenn es um ein Geschäft im Sinne von Firma geht spielen Dinge wie Haftbarkeit, Vertraulichkeit von Daten, Revisionssicherheit um nur mal ein paar Stichworte zu nenne eine Rolle. Gerade aus Securitygründen ist dieses Vorgehen bereits ein NoGo!!!

Wenn ein benutzer X sich seine 5 Passwörter, die sich warscheinlich alle 30 tage ändern (sollten) nicht merken kann, dann gibts diverse Ansätze von Passwortsafes (lokale Datei bzw. Datenbank, die verschlüsselt ablegt) bis hin zu einer zentralen pki oder anderen Sicherheitskonzepten. je nach Art und Grösse des Geschäfts.

Wir brauchen ein gutes Passworttrackertool. Das ist ja ansich
kein Problem.
Nur:
Es soll bei einem fremden Anbieter gehostet sein. Und mit
diesem Anbieter sollen auch Verträge über die Erreichbarkeit
und Zuverlässigkeit abgeschlossen werden können.
Kennt jemand ein gehostetes Passworttrackingtool?
(Zur Erklärung: Passworttracker ist für mich ein Tool, in dem
ich all meine Passwörter hinterlegen kann, die verschlüsselt
sind, und an die ich NUR mit einem Allgemeinen Key heran
komme)

Das was Du beschreibst ist ein Passwortsafe (suche in googel danach, gibts zig varianten davon) welches man ggf. verschlüsseln kann bzw. per Truecrypt einen Container erstellen kann in dem das abgelegt werden kann. diese könnte man dann z.B. per scp oder dergleichen wo-auch-immer hin übertragen und so „mobil Zugreifbar“ machen. hat aber mit einem Passwort nachverfolgungs Tool wenig zu tun

gruß
h.

Anonym_d5503925c587 · 13. Dezember 2007 um 17:42

Hi…

Die Verschlüsselung der Passwörter muß aus Sicherheitsgründen
auf dem lokalen Rechner erfolgen, d.h. dort muß irgendwelche
Software installiert sein.

nicht unbedingt: eine verschluesslung laesst sich auch z.b.
per javascript im browser machen so dass der server nur noch
geheimtext, weder pass noch klartext zu sehen bekommt.

Riskant, da man dem entfernten Server nur begrenzt vertrauen kann. Wer sich dort Zugriff verschafft, kann ein alternatives Script einbauen, welches die Passwörter nach seinen Wünschen verarbeitet.

Ich weiss auch nicht so recht, wie schnell eine vernünftige Crypto-Routine in JavaScript wäre.

genumi

ChinaSonderzeichen_c315f8 · 14. Dezember 2007 um 09:36

Hy,

Dieses Vorgehen wäre in meinen Augen nicht nur Sinnbefreit,
sondern grob fahrlässig (um es mal so nett zu formulieren).
Wenn es um ein Geschäft im Sinne von Firma geht spielen
Dinge wie Haftbarkeit, Vertraulichkeit von Daten,
Revisionssicherheit um nur mal ein paar Stichworte zu nenne
eine Rolle. Gerade aus Securitygründen ist dieses Vorgehen
bereits ein NoGo!!!

Es geht hier um eine Firma und ja, ich weiß auch, das das eigentlich ein NoGo ist!!! Aber wenn sich ein Chef das in den Kopf gesetzt hat… Es wurde ja auch versucht, ihm die Unsinnigkeit nahe zu bringen.

Wenn ein benutzer X sich seine 5 Passwörter

Es geht leider sogar um mehr als Benutzerpasswörter, das ist es ja! Es geht u.a. um DB oder Server Passwörter, die man nicht jeden Tag braucht

dann gibts diverse Ansätze von Passwortsafes (lokale Datei
bzw. Datenbank, die verschlüsselt ablegt)

Lokal sollte es ja eben nicht sein

zentralen pki oder anderen Sicherheitskonzepten.

Ein anderes Sicherheitskonzept, um nochmal eine Alternative anzubieten, bin ich grad am Überlegen.

Blöde Frage:
Was ist der Unterschied zwischen einem Passwortsafe und meinem beschriebenen Passworttracker? Das sind in meinem Verständnid Synonyme.

per Truecrypt einen Container
erstellen kann in dem das abgelegt werden kann. diese
könnte man dann z.B. per scp oder dergleichen
wo-auch-immer hin übertragen und so „mobil Zugreifbar“ machen.
hat aber mit einem Passwort nachverfolgungs Tool wenig zu tun

Das wäre auch ein Ansatz

gruß,
AlexR

Little_H · 14. Dezember 2007 um 11:23

Hy,

Dieses Vorgehen wäre in meinen Augen nicht nur Sinnbefreit,
sondern grob fahrlässig (um es mal so nett zu formulieren).
Wenn es um ein Geschäft im Sinne von Firma geht spielen
Dinge wie Haftbarkeit, Vertraulichkeit von Daten,
Revisionssicherheit um nur mal ein paar Stichworte zu nenne
eine Rolle. Gerade aus Securitygründen ist dieses Vorgehen
bereits ein NoGo!!!

Es geht hier um eine Firma und ja, ich weiß auch, das das
eigentlich ein NoGo ist!!! Aber wenn sich ein Chef das in den
Kopf gesetzt hat… Es wurde ja auch versucht, ihm die
Unsinnigkeit nahe zu bringen.

Wenn ein benutzer X sich seine 5 Passwörter

Es geht leider sogar um mehr als Benutzerpasswörter, das ist
es ja! Es geht u.a. um DB oder Server Passwörter, die man
nicht jeden Tag braucht

Dann sollte er jemanden damit beauftragen, der sich mit sowas auskennt oder EIN Passwort für ALLE Systeme verwenden und DAS Passwort dann aussen an seine Tür kleben! Sorry, aber das ist grob Fahrlässig so lernresistent zu sein! Egal ob es sich um einen Bäckerladen, ein Fuhrunternehmen, einen Arzt, Schlosser oder Architekturbüro handelt. Suche Ihm bitte entsprechende Paragraphen raus, such von mir aus in Wikipedia und sonst wo danach. Frag Ihn, ob er Dir dann am besten gleich sein Auto und hausschlüssel gibt. Allein die Kosten für die Stunden, die später der handlanger verreichten wird (weil es sicher passieren wird) um das vermurkste System wieder Gradezubiegen steht in keinster Relation zu den 2 Minuten, die Er aufwenden müsste sich das vernünftig (und nicht nach dem Motto „das hab ich bei Sternchen-TV gesehen. Das muss dann auch hier so sein“) durch den Kopf gehen zu lassen.

dann gibts diverse Ansätze von Passwortsafes (lokale Datei
bzw. Datenbank, die verschlüsselt ablegt)

Lokal sollte es ja eben nicht sein

Woanders hat das aber eigentlich nix zu suchen
Wenn, dann ggf. eine Unternehmensweite Datenbank (wie auch immer geartet) die verschlüsselt ist und an die Nur bestimmte benutzer Zugriff haben.

zentralen pki oder anderen Sicherheitskonzepten.

Ein anderes Sicherheitskonzept, um nochmal eine Alternative
anzubieten, bin ich grad am Überlegen.

Blöde Frage:
Was ist der Unterschied zwischen einem Passwortsafe und meinem
beschriebenen Passworttracker? Das sind in meinem Verständnid
Synonyme.

google nach beiden und Du wirst es sehen
Bei Dir ist es ein Passwortsafe, der irgendwo im Internet ist. Das ist dann defacto kein Passwortsafe, sondern eine offene Verbreitung der Passwörter, weil die Daten (egal ob in einer MySQL Datenbank oder als einzeldatei) bequem ausgelesen werden können und per Bruteforce (im „langweiligsten“ Fall) dechiffriert werden können! Nenne die Datei dann am liebsten noch „Passwortdatei.irgendwas“ und alles wird gut
*Kopfschüttel*

Gruß
h.