Passwortspeicher vs. Password Management

Passwörter bilden die Achilles-Sehne der IT. Niemand hat sie gern, aber überall trifft man sie in der IT-Welt an. Mit FIDO2 wurde zum Beispiel ein neuer Standard verabschiedet, der Passwörter überflüssig machen sollte. Aber die flächendeckende Implementation lässt auf sich warten. Auch andere Technologien zur Ablösung der Passwörter sind nicht flächendeckend implementiert. Somit müssen wir uns weiterhin mit Passwörtern herumschlagen.


Privater Passwortspeicher

Privat hat man heute DAS PASSWORT nur noch beim Passwortspeicher seines Vertrauens. Dieser speichert für uns alle Passwörter. Aber Hand aufs Herz, wer wechselt schon regelmässig alle darin gespeicherten Passwörter? Two-Factor-Authentication (2FA) Varianten wie One-Time-Password (OTP) können das Rotieren der Passwörter eleminieren. Aber 2FA wird auch nicht überall unterstützt. Und wenn es unterstützt wird, wird es nur von einer Minderheit genutzt.

Da der Dienst des Passwortspeichers auf all seinen mobilen oder weniger mobilen Geräten genutzt werden möchte, muss dieser auch alle gängigen OS-Plattformen unterstützten. Dadurch erhöht sich die Angriffsfläche des Passwortspeichers deutlich. Da steht der Komfort der Sicherheit einmal mehr im Wege…


Wie sieht es für eine Firma aus?

Wie verwaltet man Passwörter verantwortungsvoll in einer Firma? Ist der Ansatz vom Passwortspeicher auf den Clients wie im privaten Umfeld auch der richtige Weg für ein Unternehmen?

Welche zusätzlichen Anforderungen haben die Firmen?

  • On Premise Lösung
  • Zentrale Verwaltung
  • Verschlüsselte Datenbank
  • Hochverfügbarkeit
  • Speicherung von
    • Credentials (Anmeldename und Passwort)
    • SSH-Keys
  • Password History
  • Audit
  • Berechtigungen über AD Gruppen
  • 2FA für die Anmeldung am Passwortspeicher
  • Bedienbar über Anwendung & Web
  • Unterstützt von Smartphones über Tablets bis zu Laptops und Computers
  • Credential Sharing

Die Liste ist nicht komplett, aber zeigt auf, dass ein Passwortspeicher für eine Firma viele Bedürfnisse erfüllen sollte. Dazu kommt, dass eine Firma nicht nur einen zentralen Passwortspeicher haben möchte, sondern ein komplettes Password Management. In diesem Fall muss die Lösung zum Beispiel fähig sein, die Passwörter auf dem Zielsystem nach Gebrauch automatisch zu ändern. Sodass Passwörter nicht recycled werden können.


Herkömmlicher Passwortspeicher vs. Password Safe von BeyondTrust

Der Password Safe von BeyondTrust hat ein etwas anderer Ansatz als viele herkömmliche Passwortspeicher. Wenn der Password Safe von BeyondTrust genutzt wird, ruft man seinen Zielserver oder Webseite über den Password Safe auf. Das heisst, der Password Safe ist zwischen dem Client und dem Zielserver / Webseite und spielt Session Proxy. Dadurch kann der Password Safe die Credentials beim Anmeldevorgang des Zielservers oder Webseite selbständig injecten ohne dass der Benutzer je selbst Zugriff auf die Credentials haben muss. Natürlich kann eingestellt werden, dass der Benutzer das Passwort auschecken kann. Dies ist aber meist nur für Admins notwendig, die ein Service-Konto einrichten müssen. Apropos Service Konto – natürlich kann der Password Safe das Passwort von Service-Konten selbstständig ändern. Check Passwortspeicher vs. Password Management

Da Password Safe Session Proxy spielt, stehen ihm folgende Funktionen zur Verfügung:

  • Credential Injection Grüner Haken
  • Session Recording Grüner Haken
    RDP, SSH, VNC oder Web UI Zugriff
  • Netzwerk-Scan Grüner Haken
    durchsucht Netzwerke und registriert die Systeme
  • Auto-onboarding von Konten Grüner Haken
  • Password Rotation nach Gebrauch oder nach Intervall Grüner Haken
  • Für kritische Systeme Zugriffsfreigabe durch n Approver Passwortspeicher vs. Password Management Grüner Haken
  • Kompatibel mit RDP Tools wie Remote Desktop Manager Grüner Haken

Ich verstehe, dass man die Web Session vom Benutzer nicht aufzeichnen muss/darf. Aber bei administrativem Access ist ein Session Recording schon sexy. Vor allem, dass man bei einem Security-Vorfall nicht nur die RDP Session anschauen kann, sondern auch nach deren Keystrokes suchen kann. Passwortspeicher vs. Password Management Also nach den Shell Commands suchen kann. Dabei kann man sich nicht nur die Shell Commands sondern auch deren Output oder die komplette SSH-Session anzeigen lassen. Die Funktion geht noch weiter. Mit Password Safe kann festgelegt werden, welches unerlaubte Shell Commands sind. Passwortspeicher vs. Password Management Zum Beispiel wird das Command «kill» nicht erlaubt, aber der Admin bleibt in der SSH-Session und kann andere Commands absetzen. Oder die SSH-Session wird bei der Eingabe von unerlaubten Commands pausiert bis ein Approver die Session wieder freigibt. Es kann auch gleich die komplette SSH-Session terminiert werden.


Fazit von Password Safe von BeyondTrust

Es braucht am Anfang ein bisschen Mut um Password Rotation für die administrativen Accounts zu aktivieren. Aber das Vertrauen wächst schnell, wenn man dies einmal getestet hat und man weiss, dass im Notfall die ganze Password History angezeigt werden kann. Mit Password Safe von BeyondTrust hat man ein Tool für ein umfassendes Password Management im grossen Stil, Session Recording sowie ein vollumfängliches Auditing. Es ist eine Komplettlösung für Firmen. Geeignet für die Admins sowie für die Benutzer. Mich hat es überzeugt Grüner Haken


Der Beitrag Die Achilles-Sehne der IT – Passwortspeicher vs. Password Management erschien zuerst auf Tec-Bite.