Best practice bei Passwort-Datenbanken

M

maltris

Member
Bisher ist das ein völliges Durcheinander. Der eine hat mal das Passwort, der andere mal das. Dann ändert es einer weil er was dringend braucht, dann ist es wieder ein anderes. Ihr kennt das sicher.

Ich würde gerne mit einem Kollegen eine Art shared Passwort-Safe (über Internet synchronisiert) haben. Wie empfehlenswert ist es eine mit starkem Passwort gesicherte Datenbank von einem der diversen Passwort-Safes (z. B. KeePassX) auf einen FTP oder Windowsshare zu legen?

Und auf Dropbox? Und andere ähnliche Dienste?

Gibt es vielleicht sogar andere sichere Lösungen für diese Problematik?

Hoffe auf eine rege Diskussion! :)
 
Wir verwenden KeePass. Allerdings hat jeder eine eigene Datei. Was passiert wenn zwei gleichzeitig die DB auf Dropbox bearbeiten?
 
wenn hier schon nach BestPractice gefragt wird würde ich keine Firma nehmen, die US-Recht untersteht.
 
Ist Dir FR-Recht lieber?

Was genau im US-Recht spricht dagegen, verschlüsselte Daten auf US-Servern abzulegen?

Sorry, aber dieses unbegründete US-Bashing nervt.
 
Joe User said:
Was genau im US-Recht spricht dagegen, verschlüsselte Daten auf US-Servern abzulegen?
Click to expand...
Nichts, solange ich die absolute und alleinige Schlüsselhoheit habe. Und bei dem verlinkten Unternehmen bin ich mir nach grober Durchsicht nicht klar drüber.

Und US-Bashing würde ich das nicht nennen - man muss sich nur im klaren darüber sein, welche Rechte sich die jeweiligen Institutionen "dort drüben" jeweils herausnehmen können.

... das das für 99.9% aller Anwender nicht praxisrelevant ist ändert an der Tatsache an sich halt auch nichts.
 
Was passiert wenn zwei gleichzeitig die DB auf Dropbox bearbeiten?
Click to expand...
Zumindest Keepass2 merkt es und öffnet dann ein Popup das anbietet die Datei zu synchronisieren. Wir haben das so im Einsatz und läuft eigentlich sehr gut - bis auf zwei Ausnahmen
a) wenn einer offline an der Datei was ändert wird Dropbox die Datei auf dem Server einfach überschreiben oder eine "Conflicting copy" erstellen. Handarbeit ist also in beiden Fällen angebracht.
b) Man muss auf den anderen Rechner die Datenbank neu öffnen um Änderungen zu sehen. Es gibt keine integrierte Synchronisierung.

https://lastpass.com/de/enterprise/
Click to expand...
An Lastpass bin ich schon mehrmal gescheitert schlicht weil es kostet. Bei Keepass kann ich den Leuten sagen "stell dich nicht so an, lad es dir endlich runter und fertig" - aber man kann die Leute nicht dazu zwingen ein Produkt zu kaufen. Zumal Keepass für die meisten Endanwender mehr als ausreichend ist wenn man es mit Dropbox koppelt.
 
LastPass ist kostenlos, lediglich wenn man erweiterte Funktionen wie etwa Sync (Pro Version) oder wie beim OP Gruppenpasswörter (Enterprise Version) benötigt, zahlt man einen kleinen Betrag.
 
Joe User said:
LastPass ist kostenlos, lediglich wenn man erweiterte Funktionen [...] benötigt, zahlt man einen kleinen Betrag.
Click to expand...
Das ist so schon wahr. Allerdings sind alle Vorteile von Lastpass gegenüber Keepass zunichte wenn man es nicht tut und man ist sogar noch weiter eingeschränkt. Ich habe ja auch nicht behauptet Lastpass sei teuer, aber alles was überhaupt kostet ist deutlich schwerer anderen Leuten "auf zu schwatzen" als gratis. Leider =)
 
Nein. Aber die schreibenden Zugriffe sind eh eher überschaubar. In der Regel benutzt man ja eher persönliche Accounts und in den paar Fällen, in denen man shared Credentials hat, sind die eher langlebig.

Wir benutzen auch ein Repo für unsere SSL-Zertifikate. Bei dem sind die Zertifikate als Dateien eingecheckt und die dazugehörigen Passphrases in einem KeePass-File. Wenn ich einen neuen Key anlege, dann erstelle ich immer zuerst den Passphrase und checke den ein. Danach bin ich sicher, dass er nicht kollidieren kann und erzeuge mit dem den Key.
 
Der erste Satz des zweiten Absatzes des OP impliziert für mich, dass eine "cloudbasierte" Unternehmenslösung für Gruppenpassworte gesucht wird.
Genau diese Anforderung erfüllt LastPass Enterprise als einzige der hier bisher vorgeschlagenen Lösungen.
Die anderen Lösungen mögen ja für private Anwender noch halbwegs akzeptabel sein, aber in Unternehmensumgebungen haben derartige Frickellösungen nichts zu suchen.
Allein das "Einchecken" und "Auschecken" der Paaswordfiles, sei es per Git, per FTP, per SMB, per DAV, per Dropbox oder sonstwie, ist unwirtschaftlich und unpraktikabel. Hinzu kommt der garantierte Datenverlust, denn irgendwann werden mindestens zwei Kollegen gleichzeitig das Passwordfile verwenden und einer ein Passwort ändern/hinzufügen während ein anderer davon nichts mitbekommt und seine veraltete Version des Passwordfiles "einchecken" und damit die aktuelle Version überschreiben, Peng! Genau dieses Problem kommt mit LastPass Enterprise gar nicht erst auf und allein das ist die paar Dollar mehr als wert.


Nochmal: Es geht hier um Business nicht um Consumer...
 
Eine Alternative zu LastPass zum Selbst-Hosten scheint es aber nicht zu geben. Gerade bei so einer Anwendung (und dann noch im geschäftlichen Bereich) wäre Open Source ja nicht schlecht.
 
Früher hab ich einen Kollegen geraten seine Accountdaten und Logins alle aufzuschreiben. Ich weiß nicht, ob der Vorschlag weise war.

@Joe User: Bitte lass den OP das entscheiden, ob er eine Bussiness-Lösung sucht oder nicht.

Ich habe immer so ein flaues Gefühl im Magen, wenn es um das Thema Passwortmanager geht.

PS: explicit is better than implicit
 
Solange bestimmte Gruppen auf die Passwörter Zugriff haben müssen kommt man um die Cloud-Lösung schlecht herum. Man könnte ja selbst etwas programmieren... besser nicht xD
 
You must log in or register to reply here.
Back
Top