gedeelde password tool voor alle onsite beheerder

per definitie is het opslaan op 1 plek voor alle user/pass niet echt een slim plan, waarom niet gewoon persoonlijke accounts per beheerder ?

Wij gebruiken zelf gewoon KeePass op een gedeelde share. Het wachtwoord op het bestand wordt elke 90 dagen gewijzigd en dit werkt zeer goed.

MuddyMagical schreef op dinsdag 22 januari 2013 @ 10:07:
Wij gebruiken zelf gewoon KeePass op een gedeelde share. Het wachtwoord op het bestand wordt elke 90 dagen gewijzigd en dit werkt zeer goed.

Eventueel kan je nog een keyfile aanmaken (welke je password aanvult). Ik heb nu ook password X op mijn keepass database, en een keyfile op een clouddienst met 2-step verification en password Y. De keyfile staat enkel op de apparaten die ik regelmatig gebruik. Het hele boeltje (behalve de keyfile) wordt gesynced via Dropbox.

KeePass, zou ik zeggen.

LiquidT_NL schreef op dinsdag 22 januari 2013 @ 10:43:
[...]

Eventueel kan je nog een keyfile aanmaken (welke je password aanvult). Ik heb nu ook password X op mijn keepass database, en een keyfile op een clouddienst met 2-step verification en password Y. De keyfile staat enkel op de apparaten die ik regelmatig gebruik. Het hele boeltje (behalve de keyfile) wordt gesynced via Dropbox.

Persoonlijk heb ik de password db ook op Dropbox staan maar ik gebruik geen keyfile. Omdat ik soms ook mijn mobiel gebruik om de db te openen vind ik dat niet zo makkelijk. Voor de rest is het echt ideaal.

MuddyMagical schreef op dinsdag 22 januari 2013 @ 11:03:
[...]

Persoonlijk heb ik de password db ook op Dropbox staan maar ik gebruik geen keyfile. Omdat ik soms ook mijn mobiel gebruik om de db te openen vind ik dat niet zo makkelijk. Voor de rest is het echt ideaal.

Ik gebruik ook de app, maar heb de keyfile dan gewoon op mijn telefoon/tablet staan, de app onthoudt de locatie. Ik heb hem ook specifiek op DB staan, maar goed, keyfile is niet heel veel meer moeite gelukkig.

Wij gebruiken PINS ook op een share

maar ik ben nog steeds benieuwt waarom een zakelijk (Afleidend aan al onze systeembeheerders ) dienstverlener zijn (algemene) beheerders wachtwoorden op dropbox/KeePass zou willen opslaan i.p.v. gepersonaliseerde user/password combo die gekoppeld is aan de gebruiker, en gewoon geen algemene accounts gebruiken.

In mijn ogen kan je nooit zeggen dat het verstandig is om alle algemene accounts op te slaan in een single DB en dan ook nog eens gedeeltes daarvan ( zoals een keyfile ) online plaatsen in een cloudservice/dropbox account, laat staan dat je nooit kan aantonen welke van je systeembeheerder welke taken uitvoert met de algemene accounts.

Ook systeembeheerders kunnen comprimised raken, en als dat gebeurt geef je ze volledige toegang tot anonieme beheerders wachtwoorden van al je systemen wat niet naar persoon te herleiden is, in tegen stelling tot gepersonaliseerde account waarbij je een verantwoordelijke heb of in ieder geval aan aanknopingspunt waar je wat moet verbeteren, of beginnen met zoeken.

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:08:
maar ik ben nog steeds benieuwt waarom een zakelijk (Afleidend aan al onze systeembeheerders ) dienstverlener zijn (algemene) beheerders wachtwoorden op dropbox/KeePass zou willen opslaan i.p.v. gepersonaliseerde user/password combo die gekoppeld is aan de gebruiker, en gewoon geen algemene accounts gebruiken.

Omdat niet alle systemen een centrale authenticatie mogelijkheid hebben en/of omfdat niet alle systemen meerdere logins toestaan.


Als andere optie, Lastpass. Net zoals keypass maar je kan wachtwoorden delen met mensen en iedereen heeft zijn eigen account.

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:08:
maar ik ben nog steeds benieuwt waarom een zakelijk (Afleidend aan al onze systeembeheerders ) dienstverlener zijn (algemene) beheerders wachtwoorden op dropbox/KeePass zou willen opslaan i.p.v. gepersonaliseerde user/password combo die gekoppeld is aan de gebruiker, en gewoon geen algemene accounts gebruiken.

Omdat je bijvoorbeeld 1 zakelijke account bij een bedrijf hebt waar je inkoopt en dat doen meerdere mensen.

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:08:
maar ik ben nog steeds benieuwt waarom een zakelijk (Afleidend aan al onze systeembeheerders ) dienstverlener zijn (algemene) beheerders wachtwoorden op dropbox/KeePass zou willen opslaan i.p.v. gepersonaliseerde user/password combo die gekoppeld is aan de gebruiker, en gewoon geen algemene accounts gebruiken.

Helemaal eens hoor, maar daar ga ik aan voorbij. Soms kan het gewoon schelen, hoewel het dan alsnog handig is dit wel af te splitsen van diensten die het wel kunnen.

In mijn ogen kan je nooit zeggen dat het verstandig is om alle algemene accounts op te slaan in een single DB en dan ook nog eens gedeeltes daarvan ( zoals een keyfile ) online plaatsen in een cloudservice/dropbox account

Je plaatst geen gedeelte van je passwords online, het is gewoon een deel van je password. Niets meer dan dat je "ghukguhh43k58f9e4t" op een briefje schrijft, en daarachter een onthouden wachtwoord typt.

Wolfboy schreef op dinsdag 22 januari 2013 @ 11:13:
[...]
Omdat niet alle systemen een centrale authenticatie mogelijkheid hebben en/of omdat niet alle systemen meerdere logins toestaan.

Das natuurlijk pure speculatie tevens kan ik mij geen enkel systeem voor de dag halen waar je maar max 1 account op kan aanmaken tevens als er gezegd word systeembeheerder dan kan er nog steeds lokaal meerdere accounts worden aangemaakt, een centraal georganiseerd systeem zou natuurlijk uitkomst bieden maar lokale gepersonaliseerde account met een maand wachtwoord expire is ook prima te doen mits je niet over honderden systemen praat. Als je daaar wel over praat is het gewoon erg slecht dat je niet op zijn minst een Radius/Tacas/NPS/AD systeem hebt om je users te beheren.

ResuCigam schreef op dinsdag 22 januari 2013 @ 11:14:
Omdat je bijvoorbeeld 1 zakelijke account bij een bedrijf hebt waar je inkoopt en dat doen meerdere mensen.

Kan je even het nut toelichten dan wat die "systeembeheerder" zou moeten doen ? Zelf in het allerergste geval dat je een applicatie hebt die bij een 3de partij staat en je dus niet zelf beheerd ken ik er nog steeds geen enkele die niet meerdere users ondersteunt sterker nog zeker als 3de partij zou je dat niet willen, en meestal eisen ze dit ook omdat het anders contract technisch niet te bewijzen valt dat het ook dit bedrijf is geweest immers " algemeen user password" dit soort dingen staat ook in 99% van de gevallen in het opgestelde contract tussen het bedrijf en die partij.

LiquidT_NL schreef op dinsdag 22 januari 2013 @ 11:18:
Je plaatst geen gedeelte van je passwords online, het is gewoon een deel van je password. Niets meer dan dat je "ghukguhh43k58f9e4t" op een briefje schrijft, en daarachter een onthouden wachtwoord typt.

Eens maar de security met het briefje kan geen enkel systeem tegen op overigens heeft dit wel al bijkomende effect dat je gebouw dan ook comprimised is en dat je per definitie een probleem hebt. m.b.t. privacy gegevens van jouw klanten hier word dus een extra "fysieke" barriere opgeworpen in tegenstelling tot het online benaderbaar zijn. Tevens heb je aan de keyfile genoeg om een recovery te doen van de database.

[ Voor 25% gewijzigd door ShadowBumble op 22-01-2013 11:26 ]

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:22:
Das natuurlijk pure speculatie tevens kan ik mij geen enkel systeem voor de dag halen waar je maar max 1 account op kan aanmaken tevens als er gezegd word systeembeheerder dan kan er nog steeds lokaal meerdere accounts worden aangemaakt, een centraal georganiseerd systeem zou natuurlijk uitkomst bieden maar lokale gepersonaliseerde account met een maand wachtwoord expire is ook prima te doen mits je niet over honderden systemen praat. Als je daaar wel over praat is het gewoon erg slecht dat je niet op zijn minst een Radius/Tacas/NPS/AD systeem hebt om je users te beheren.

Je reageert een beetje vanuit een perfecte wereld naar mijn idee. Het feit dat Radius of iets dergelijks beschikbaar is betekend nog niet dat je zomaar dit kan implementeren.
Ook op het moment dat bijvoorbeeld een Radius omgeving niet beschikbaar is moet je nog steeds toegang hebben op je systeem en ontkom je niet aan één username / password combinatie.

MuddyMagical schreef op dinsdag 22 januari 2013 @ 11:26:
[...]

Je reageert een beetje vanuit een perfecte wereld naar mijn idee. Het feit dat Radius of iets dergelijks beschikbaar is betekend nog niet dat je zomaar dit kan implementeren.

Ik denk niet dat het een perfecte wereld is ik denk gewoon dat op het moment dat je praat over een bedrijf met meerdere systeembeheerders je je toch eens achter je oren moet krabben wat het bedrijf doet om zijn klanten te beschermen zowel intern als extern. ( vergeet niet per wet hebben bedrijven deze verplichting zelfs, en kunnen aansprakelijk gesteld worden als dit niet in orde is )

Ook op het moment dat bijvoorbeeld een Radius omgeving niet beschikbaar is moet je nog steeds toegang hebben op je systeem en ontkom je niet aan één username / password combinatie.

Dubbel uitvoeren ? Zoveel resources en data vergt het niet hoor hooguit 2 VM in een virtuele cluster, dat vind ik een non argument, bovendien kan je dan prima een single user/pass hebben zolang deze maar inaktief is wanneer er communicatie is met de radius server. Geen communicatie met radius prima last resort wel communicatie mooi dan mag lokaal niet gebruikt worden.

[ Voor 5% gewijzigd door ShadowBumble op 22-01-2013 11:32 ]

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:22:
[...]


Das natuurlijk pure speculatie tevens kan ik mij geen enkel systeem voor de dag halen waar je maar max 1 account op kan aanmaken tevens als er gezegd word systeembeheerder dan kan er nog steeds lokaal meerdere accounts worden aangemaakt, een centraal georganiseerd systeem zou natuurlijk uitkomst bieden maar lokale gepersonaliseerde account met een maand wachtwoord expire is ook prima te doen mits je niet over honderden systemen praat. Als je daaar wel over praat is het gewoon erg slecht dat je niet op zijn minst een Radius/Tacas/NPS/AD systeem hebt om je users te beheren.

Ik heb de afgelopen paar jaren toch nog regelmatig spul (netwerkhardware, printers, etc.. gezien waar je een max van 1 beheerdersaccount had.

Tevens kan ik ook nog wel wat online diensten bedenken waar je maximaal 1 echte beheerder hebt en waar de rest van de accounts minder rechten hebben.

Wolfboy schreef op dinsdag 22 januari 2013 @ 11:39:
[...]
Ik heb de afgelopen paar jaren toch nog regelmatig spul (netwerkhardware, printers, etc.. gezien waar je een max van 1 beheerdersaccount had.

Ik niet printers vind ik overigens nog begrijpelijk maar de rest kan ik me totaal niet in vinden ( althans zolang we niet praten over consumer spul ).

Tevens kan ik ook nog wel wat online diensten bedenken waar je maximaal 1 echte beheerder hebt en waar de rest van de accounts minder rechten hebben.

Allereerst moet je je afvragen natuurlijk wat de meer waarde is van een beheerders account t.o.v. een gebruikers account, maar ook hier kan ik me weinig van voorstellen zeker omdat je niet over een dropbox accountje praat of een reseller pakketje voor hosting ( die overigens ook meedere beheerders accounts toestaan nu ik erover denk ).

Er word hier een vraag gesteld in het kader van zakelijk markt en dus niet consumer oriented dus ga ik ervan uit dat we het hier minimaal over een midden MKB bedrijfje hebben omdat we het over meerdere systeembeheerders hebben, klein MKB bedrijf heeft er zeer waarschijnlijk al niet 1 in vaste dienst.

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:30:
[...]
Ik denk niet dat het een perfecte wereld is ik denk gewoon dat op het moment dat je praat over een bedrijf met meerdere systeembeheerders je je toch eens achter je oren moet krabben wat het bedrijf doet om zijn klanten te beschermen zowel intern als extern. ( vergeet niet per wet hebben bedrijven deze verplichting zelfs, en kunnen aansprakelijk gesteld worden als dit niet in orde is )

Real life voorbeeldje:
VoIP systeem (geen consumer spul) dat maar 1 management account op de console heeft (verbouwde Linux versie)
Wel ondersteuning voor Radius, maar Security regelement staat geen non-people accounts toe waardoor er geen backups kunnen worden gedraaid en de beheersoftware van Level 1 en Level 2 support niet meer werkt.
Oplossing is natuurlijk om het security team een schop te geven, maar in de huidige sfeer van hacks, etc is men panisch om het wat losser te laten.
Resultaat: een VoIP omgeving die toegankelijk is met fucking ingewikkeld username / wachtwoord die regelmatig wordt gewijzigd. Daarom KeePass.

Ik snap dat je roept over verantwoordelijkheid tegenover interne en externe klanten, maar soms maak je keuzes waar je niet happy mee bent.

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:30:
[...]
Dubbel uitvoeren ? Zoveel resources en data vergt het niet hoor hooguit 2 VM in een virtuele cluster, dat vind ik een non argument, bovendien kan je dan prima een single user/pass hebben zolang deze maar inaktief is wanneer er communicatie is met de radius server. Geen communicatie met radius prima last resort wel communicatie mooi dan mag lokaal niet gebruikt worden.

Dus als last resort heb je dus wel één username/password. Hoe ga je die opslaan? In een kluis? Lastig met een team waarbij iedereen in een ander land / tijdzone zit.

KeePass portable is dan nog handiger. In dezelfde share als de database, en uiteraard de juiste rechten op die folder (admin only).

[ Voor 20% gewijzigd door aZuL2001 op 22-01-2013 12:22 . Reden: Linkje added ]

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:08:
maar ik ben nog steeds benieuwt waarom een zakelijk (Afleidend aan al onze systeembeheerders ) dienstverlener zijn (algemene) beheerders wachtwoorden op dropbox/KeePass zou willen opslaan i.p.v. gepersonaliseerde user/password combo die gekoppeld is aan de gebruiker, en gewoon geen algemene accounts gebruiken.

Ik beheer een paar systemen waarvan de services om security redenen onder verschillende accounts draaien. Elk account krijgt de rechten die nodig zijn en niks meer.
Hoe zou je daar volgens jou mee om moeten gaan? Alle applicaties onder 1 account laten draaien en dat moet dan ook nog eens het persoonlijke account van de beheerder zijn, omdat volgens jou alleen gepersonaliseerde accounts toegestaan zijn? Of mogen die passwords nergens vastgelegd worden? Dat lijkt me namelijk ook niet handig.

ShadowBumble schreef op dinsdag 22 januari 2013 @ 11:46:
[...]


Ik niet printers vind ik overigens nog begrijpelijk maar de rest kan ik me totaal niet in vinden ( althans zolang we niet praten over consumer spul ).

Om het maar over een niet-consumer online dienst te hebben, Loggly heeft maar 1 master account, de rest van de accounts kunnen niet alles.

En die dienst doet niets anders dan logs van servers uitlezen/analyseren.

Mailjet, een mailing service had tot voor kort helemaal geen aparte accounts, tegenwoordig wel maar nog steeds heb je niet met alle accounts alle rechten.

Bij VOIP hardware is het niet heel ongebruikelijk iig, maar ik ben ook al een aantal rackmountable (toegegeven, fairly cheap) firewalls tegen gekomen die op deze manier werken. Dat is toch zeker geen consumer spul

Verwijderd schreef op dinsdag 22 januari 2013 @ 09:43:
We zijn op zoek naar een (goedkope) wachtwoord manager welke toegankelijk moet zijn voor al onze systeembeheerders binnen het netwerk. Iets vergelijkbaar met Micro$oft [mbr]Microsoft[/] Secret server maar dan eenvoudiger en het mag niets kosten ;-)
Mensen die ervaring hebben met een bruikbare tool?

Keepass lijkt me het meest voor de hand liggend.

Als alternatief kun je ook een beveiligd Excel sheetje maken op een afgeschermd plekje. Mensen zullen roepen dat dat niet zo veilig is, maar in de praktijk zit daar denk ik nagenoeg geen verschil in.

ShadowBumble schreef op dinsdag 22 januari 2013 @ 09:49:
per definitie is het opslaan op 1 plek voor alle user/pass niet echt een slim plan, waarom niet gewoon persoonlijke accounts per beheerder ?

Dat laatste is natuurlijk niet altijd mogelijk. Je zou er wel aan kunnen denken (in het kader van risicospreiding) dat iedere beheerder zijn eigen password file bij zich houdt. Daarmee bereik je dat niet elke beheerder toegang heeft tot elk wachtwoord. Of dat bruikbaar is is natuurlijk afhankelijk van de grootte van de beheerclub.

Overigens is op één plek opslaan soms wel weer handig, want vaak is één plek weer beter te beveiligen (en te auditen) dan meerdere locaties.

MuddyMagical schreef op dinsdag 22 januari 2013 @ 10:07:
Wij gebruiken zelf gewoon KeePass op een gedeelde share. Het wachtwoord op het bestand wordt elke 90 dagen gewijzigd en dit werkt zeer goed.

90 dagen is wel erg streng. Denk er eens over na waarom je die 90 dagen aanhoudt? Je kunt beter de wachtwoorden behorende de admin accounts zo vaak wijzigen, dan het masterpassword van je manager. Waarom? OMdat het dan niet uit maakt als dat masterpassword gekraakt wordt, onderliggende accounts zijn dan niet direct gecompromitteerd.

Stel iemand krijgt een willekeurige versie van jouw keepass database in handen, en besluit deze te kraken, dan maakt het gekozen wachtwoord (en of deze nu elke dag veranderd of eens in het jaar) helemaal niet uit. Het is pas vervelend als dan blijkt dat van 90% van de accounts die erin opgenomen zijn het wachtwoord bekend raakt.

Wat ook vervelend is als je een oude kopie van die file uit je backup moet terughalen. Als je dat masterwachtwoord nergens opslaat (en iedereen is het ondertussen vergeten door de vele wijzigingen) wordt het wel heel lastig om een archiefversie van driekwartjaar terug te openen (omdat daar net dat ene account in stond wat we nodig hadden maar wat ondertussen gedelete was).