Wachtwoordbeheer verschillende klanten - Privacy en beveiliging

maandag 1 mei 2017 15:47

Acties:

0 Henk 'm!

platvoet

Topicstarter

Mede-auteur:

speedykeurntjes

Hallo allen,

een vraag aan de server beheerders (van meerdere klanten).
ik ben opzoek naar een password manager voor meerdere klanten die wij kunnen gebruiken op de wachtwoorden in op te slaan. door de wildgroei aan password managers kom ik hier niet helemaal uit. ik vroeg mij af wat jullie gebruiken om wachtwoorden van klanten te beheren (administrator wachtwoorden van servers, routers, switches).
momenteel maken we gebruik van een excel sheet, lijkt me niet echt super veilig

maandag 1 mei 2017 15:48

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wat zijn jullie eisen en wensen met betrekking tot password beheer, en welke tools heb je al getest en waarom voldeden deze niet?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 1 mei 2017 15:49

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Misschien is dit topic leuk leesvoer:
[Password Managers] Discussie- en reviewtopic

Ah, snap! Nevermind!

Anyway, om er toch op in te gaan. In de tijd toen ik stage liep gebruiken we ons eigen CRM systeem hiervoor. Was in Filemaker gebouwd. De admin/root gegevens waren alleen maar bij ons bekend, dus die werden toch niet door anderen gewijzigd. Verder was het CRM-systeem allen maar bereikbaar op het interne netwerk (of via RDP).

Wat gebruik je nu om je klanten en systemen, software en licenties in te beheren?

[ Voor 77% gewijzigd door AW_Bos op 01-05-2017 15:53 ]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 1 mei 2017 16:33

Acties:

0 Henk 'm!

platvoet

Topicstarter

Question Mark schreef op maandag 1 mei 2017 @ 15:48:
Wat zijn jullie eisen en wensen met betrekking tot password beheer, en welke tools heb je al getest en waarom voldeden deze niet?

Om te beginnen gestart met Lastpass vanwege de vele positieve reviews, hier toch maar weer snel vanaf gestapt vanwege het trage reageren. ook met Keepass gespeeld maar dit vindt ik niet een veilig gevoel geven (in verband met vertrekkende collega's die gemakkelijk het bestandje kunnen kopieren en meenemen) het mooiste zou iets zijn met SQL database en clients, dit dan met windows authentificatie. tips?

AW_Bos schreef op maandag 1 mei 2017 @ 15:49:
Misschien is dit topic leuk leesvoer:
[Password Managers] Discussie- en reviewtopic

Ah, snap! Nevermind!

Anyway, om er toch op in te gaan. In de tijd toen ik stage liep gebruiken we ons eigen CRM systeem hiervoor. Was in Filemaker gebouwd. De admin/root gegevens waren alleen maar bij ons bekend, dus die werden toch niet door anderen gewijzigd. Verder was het CRM-systeem allen maar bereikbaar op het interne netwerk (of via RDP).

Wat gebruik je nu om je klanten en systemen, software en licenties in te beheren?

om een eigen CRM systeem te ontwikkelen zal men niet op prijs stellen, en ons huidige ERP systeem biedt deze mogelijkheid niet / is omslachtig. momenteel wordt er in Excel documentjes gewerkt (gebeurt al heel lang) en dit is naar mijn idee niet echt het toppunt kwa beveiliging.

maandag 1 mei 2017 16:43

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

platvoet schreef op maandag 1 mei 2017 @ 16:33:
[...]

Om te beginnen gestart met Lastpass vanwege de vele positieve reviews, hier toch maar weer snel vanaf gestapt vanwege het trage reageren. ook met Keepass gespeeld maar dit vindt ik niet een veilig gevoel geven (in verband met vertrekkende collega's die gemakkelijk het bestandje kunnen kopieren en meenemen) het mooiste zou iets zijn met SQL database en clients, dit dan met windows authentificatie. tips?

Ook al zou een bestand niet te kopieren zijn. Dat weerhoudt werknemers er niet van om de data uit te lezen en in een eigen Excel file neer te plaatsen. Dat kan ongeacht tool altijd gebeuren.

Eigenlijk zou je als een beheerder uit dienst gaat, alle (admin)accounts waar hij toegang tot gehad heeft moeten resetten.

Wat zijn je eisen en wensen nu eignelijk? Want die mis ik nog steeds...

Zou je granulair toegang willen kunnen verlenen?
Moet de tool toegang tot accounts ook gaan auditten, en zo ja op welk niveau?
In hoeverre moet er support zijn vanuit de leverancier
Wil je een bepaalde minimale vorm van encryptie bij het opslaan van credentials
etc.

Je enige eisen/wensen die je nu genoemd hebt zijn "iets met SQL en een client", en Windows Authenticatie. Maar dan zou Laspass ook wel voldoen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 1 mei 2017 16:47

Acties:

0 Henk 'm!

Piebas

https://1password.com/teams/
Kost wat geld per user maar daar krijg je ooj veel voor terug vind ik....
Is te gebruiken via een web-interface of met een app, multi platform.
Gebruik het zelf ook al heel lang...

of
http://teampass.net/

[ Voor 6% gewijzigd door Piebas op 01-05-2017 16:50 ]

maandag 1 mei 2017 16:47

Acties:

0 Henk 'm!

MADG0BLIN

Wij gebruiken om de zaak Secret Server van Thycotic met Multi Factor Authentication erbij.
Ik weet dat er toen naar meerdere oplossing is gekeken maar deze eruit is gekomen.
Ik werk er maar beperkt mee, maar werkt voor mij prima. Is niet gratis, maar wie weet is het wat voor je.

maandag 1 mei 2017 16:50

Acties:

0 Henk 'm!

Meekoh

Wij hebben ook Secret Server een tijdlang gebruikt. Maar nu overgestapst naar Password Manager Pro, werkt opzich ook prima (alhoewel ik meer fan ben van Secret Server). Beide doen prima hun werk, PMP was alleen wat trager, maar wij hebben ook duizenden passwords voor meerdere klanten teams.

Lastpass vind het trouwens ook niet zo tof als je veel passwords hebt.(met name als al je medewerkers toegang tot diezelfde passwords heeft)

[ Voor 19% gewijzigd door Meekoh op 01-05-2017 16:50 ]

Computer says no

maandag 1 mei 2017 16:53

Acties:

0 Henk 'm!

Tsurany

⭐⭐⭐⭐⭐

Wat QuestionMark ook al aangeeft, kijk vooral naar het beleid als je je zorgen maakt om het kunnen meenemen van wachtwoorden. Goed bijhouden tot welke wachtwoorden een collega toegang heeft en zodra hij uit dienst gaat per direct deze wachtwoorden wijzigen. Ook zorgen dat iemand nooit toegang heeft tot wachtwoorden die hij niet nodig heeft. Beleid kan een hoop verschil maken.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

maandag 1 mei 2017 17:01

Acties:

0 Henk 'm!

downtime

Everybody lies

Question Mark schreef op maandag 1 mei 2017 @ 16:43:
[...]

Ook al zou een bestand niet te kopieren zijn. Dat weerhoudt werknemers er niet van om de data uit te lezen en in een eigen Excel file neer te plaatsen. Dat kan ongeacht tool altijd gebeuren.

De betere tools bieden auditing waardoor je kunt zien wie er naar welke passwords hebben gekeken, bulkexports kunnen geblokkeerd worden, er kunnen ACL's op groepen passwords gezet worden, je kunt het aantal passwords wat een medewerker in een gegeven periode opvraagt beperken, etc.
Zo zou je bij vertrek van een medewerker bijvoorbeeld na kunnen gaan welke passwords die medewerker in de laatste 6 maanden heeft benaderd en alleen die accounts resetten.

maandag 1 mei 2017 17:08

Acties:

0 Henk 'm!

Der Rudi

Ondanks de opmerking dat Lastpass niet voldoet (waarom?):
Kijk toch ook/weer eens naar Lastpass Enterprise. Deze heeft buiten de 'standaard' Lastpass functies ook tooling voor gebruik in grotere omgevingen zoals beheer(s) tools, auditing logs, automagisch gebruikers gedeelde wachtwoorden laten gebruiken (onder water; zonder inzicht door gebruiker), zg secret notes per gebruiker, team, en gedeeld (bv voor ssh info), koppeling aan AD en 2FA systemen, etc.

Ook niet onbelangrijk: om hoeveel gebruikers gaat het in totaal?

maandag 1 mei 2017 17:09

Acties:

0 Henk 'm!

TheBorg

Resistance is futile.

Crypt-o werkt met een centrale database. Je betaald alleen per user en als je er veel hebt die tegelijk in de database willen dan kan het wel kostbaar worden. Voor zover ik weet werkt het alleen op een LAN en niet WAN.
https://www.soft-o.com/

maandag 1 mei 2017 17:17

Acties:

0 Henk 'm!

Meekoh

Der Rudi schreef op maandag 1 mei 2017 @ 17:08:
Ondanks de opmerking dat Lastpass niet voldoet (waarom?):
Kijk toch ook/weer eens naar Lastpass Enterprise. Deze heeft buiten de 'standaard' Lastpass functies ook tooling voor gebruik in grotere omgevingen zoals beheer(s) tools, auditing logs, automagisch gebruikers gedeelde wachtwoorden laten gebruiken (onder water; zonder inzicht door gebruiker), zg secret notes per gebruiker, team, en gedeeld (bv voor ssh info), koppeling aan AD en 2FA systemen, etc.

Ook niet onbelangrijk: om hoeveel gebruikers gaat het in totaal?

Nou ik werk nu een tijdje met Lastpass Enterprise, maar ik vind het echt super traag werken. Met name waneer je toegang hebt tot veel wachtwoorden (1000+). Daarnaast vind ik die browser plugin veel te irritant van ze.

Computer says no

maandag 1 mei 2017 18:34

Acties:

0 Henk 'm!

BelJoost

platvoet schreef op maandag 1 mei 2017 @ 16:33:
ook met Keepass gespeeld maar dit vindt ik niet een veilig gevoel geven (in verband met vertrekkende collega's die gemakkelijk het bestandje kunnen kopieren en meenemen)

Zoals Question Mark al aangeeft, als de medewerkers de wachtwoorden kunnen lezen, dan ...

Question Mark schreef op maandag 1 mei 2017 @ 16:43:
Ook al zou een bestand niet te kopieren zijn. Dat weerhoudt werknemers er niet van om de data uit te lezen en in een eigen Excel file neer te plaatsen. Dat kan ongeacht tool altijd gebeuren.

... en dan blijft er niks anders over dan:

Eigenlijk zou je als een beheerder uit dienst gaat, alle (admin)accounts waar hij toegang tot gehad heeft moeten resetten.

Voor situaties waar wachtwoorden resetten en verspreiden een issue is heb je Single Sign-On (SSO) oplossingen, waarbij de medewerker alleen zijn eigen persoonlijke wachtwoord kent; en daarmee toegang krijgt tot elk toegestaan systeem. Omdat niet elk systeem de mogelijkheid voor SSO heeft zijn er (kostbare) oplossingen die overal mee weten te integreren zoals bijvoorbeeld CyberArk Password Vault.

maandag 1 mei 2017 18:47

Acties:

+1 Henk 'm!

DJSmiley

Hier ook Secretserver.

Kan eventueel 2-factor doen met je mobiel, en integreren in je AD. User uit dienst = niet meer inloggen. Daarnaast ook een rechtenset mogelijk en auditing.

maandag 1 mei 2017 18:58

Acties:

0 Henk 'm!

speedykeurntjes

Topicstarter

Belangrijkste voor ons de vier belangrijkste punten zijn met name:

1. Stand-a-lone (i.v.m. veiligheid en eigen beheer)

2. Koppelbaar met AD i.v.m. verloop van personeel en borgen van onze bedrijfsgegevens en nog belangrijker van onze klanten. (een andere mogelijkheid die dit kan regelen is ook prima)

3. Betaalbaar liefst eenmalige aanschaf met uitbreiding m.b.t. users

4. Logging m.b.t. wijzigingen binnen de passwords door een gebruiker, en wat daarbij de oude waarde was voor de wijziging.

ps: Prijstechnisch, waarmee moet ik rekening houden bij secret server? (eenmalig of abonnement)

maandag 1 mei 2017 19:00

Acties:

0 Henk 'm!

Room42

speedykeurntjes schreef op maandag 1 mei 2017 @ 18:58:
[...]

Al die punten kan de ontwikkelaar je haarfijn uitleggen: https://thycotic.com/prod...secret-server-on-premise/

En wat is betaalbaar? Sowieso denk ik niet dat je uit kunt gaan van een eenmalige aanschaf, want er zal sowieso onderhoud gepleegd moeten worden op de software. Je zal dus hoe dan ook rekening moeten houden met een terugkerend bedrag.

[ Voor 95% gewijzigd door Room42 op 01-05-2017 19:04 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

maandag 1 mei 2017 19:10

Acties:

0 Henk 'm!

Joepv

Volgens dit artikel is KeePass het veiligste, al zijn de meeste flaws al gepatched in de andere password managers.

Je moet ook nadenken of je de wachtwoorden in de cloud wilt hebben staan, en waar ze dan staan, in de EU of USA, of on premise.

Wij kunnen alleen in onze database vanaf onze Citrix omgeving. Zelfs niet met de eigen laptops rechtstreeks vanaf het werk LAN. Je moet eerst inloggen op Citrix en dan kun je in een silo in de wachtwoorden database kijken die centraal in een db staat (encrypted).

[ Voor 29% gewijzigd door Joepv op 01-05-2017 19:13 ]

Visit my Smart Home Adventure blog at https://docs.joepverhaeg.nl with lots of awesome FIBARO home automation!

maandag 1 mei 2017 21:06

Acties:

0 Henk 'm!

unezra

Ceci n'est pas un sous-titre.

Heb je al eens gekeken naar de gpg plugin voor Vim?
https://vim.sourceforge.io/scripts/script.php?script_id=3645

Misschien is het niet direct je ding en het eindresultaat is een free-format password database, maar het werkt en het leuke is, als iemand uit dienst gaat, verwijder je gewoon dienst gpg pubkey uit het bestand. (Moet diegene natuurlijk niet een kopie van het bestand thuis hebben.)

Ná Scaoll. - Don’t Panic.

maandag 1 mei 2017 21:11

Acties:

+1 Henk 'm!

johnkeates

Wij gebruiken voor wachtwoord strings eigenlijk overal KRA (met IdM / IPA) en soms nog Hasicorp Vault. Maar in de meeste gevallen is alles pubkey of kerberos based en zijn er eigenlijk geen 'wachtwoorden' meer in gebruik. Alleen met sommige Windows GUI applicaties heb je dat nog wel eens, maar die zijn zo goed als uitgefaseerd.

maandag 1 mei 2017 21:20

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

Joepv schreef op maandag 1 mei 2017 @ 19:10:
Volgens dit artikel is KeePass het veiligste, al zijn de meeste flaws al gepatched in de andere password managers.

Je moet ook nadenken of je de wachtwoorden in de cloud wilt hebben staan, en waar ze dan staan, in de EU of USA, of on premise.

Wij kunnen alleen in onze database vanaf onze Citrix omgeving. Zelfs niet met de eigen laptops rechtstreeks vanaf het werk LAN. Je moet eerst inloggen op Citrix en dan kun je in een silo in de wachtwoorden database kijken die centraal in een db staat (encrypted).

Ik kan dat nergens vinden in het artikel wat je linkt, of de bron die het artikel gebruikt

Hele term keepass komt alleen maar voor in de comments

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 2 mei 2017 09:10

Acties:

0 Henk 'm!

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS -> Beveiliging & Virussen

Al denk ik dat je ook een hoop kunt vinden in [Password Managers] Discussie- en reviewtopic

Zwembad (te koop) - Braaihok (te koop) - Bouwproject -BraaiTV - Funda

dinsdag 2 mei 2017 11:42

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

unezra schreef op maandag 1 mei 2017 @ 21:06:
Heb je al eens gekeken naar de gpg plugin voor Vim?
https://vim.sourceforge.io/scripts/script.php?script_id=3645

Misschien is het niet direct je ding en het eindresultaat is een free-format password database, maar het werkt en het leuke is, als iemand uit dienst gaat, verwijder je gewoon dienst gpg pubkey uit het bestand. (Moet diegene natuurlijk niet een kopie van het bestand thuis hebben.)

Zo doe ik het ook, het is voor mij een redelijk compromis tussen gemak en veiligheid, maar echt ideaal vind ik het niet. Het nadeel is dat ik dan de hele wachtwoordlijst op m'n scherm heb staan.

This post is warranted for the full amount you paid me for it.

dinsdag 2 mei 2017 12:59

Acties:

0 Henk 'm!

platvoet

Topicstarter

Wij gaan eens een poging doen met Secret server te werken, kijken of dat voldoet aan de eisen. Bedankt allen, als men nog suggesties heeft hoor ik dit graag.

dinsdag 2 mei 2017 13:14

Acties:

0 Henk 'm!

unezra

Ceci n'est pas un sous-titre.

CAPSLOCK2000 schreef op dinsdag 2 mei 2017 @ 11:42:
[...]

Zo doe ik het ook, het is voor mij een redelijk compromis tussen gemak en veiligheid, maar echt ideaal vind ik het niet. Het nadeel is dat ik dan de hele wachtwoordlijst op m'n scherm heb staan.

Dat vind ik ook een nadeel, maar dat is op te lossen:
http://vim.wikia.com/wiki/Folding

Nog niet uitgebreid mee getest, wel vaker gezien. Als je zorgt dat dat automatisch gebeurt bij je passwordfiles en je entries altijd op dezelfde manier opmaakt moet je het volgens mij zo kunnen gebruiken dat je alleen dat password revealed dat je nodig hebt.

Ná Scaoll. - Don’t Panic.

dinsdag 2 mei 2017 13:39

Acties:

+1 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Dat is een aardig idee, maar die folding plugin kan alleen hele regels verbergen, ik wil juist een kolom verbergen. Maar op zich is het een goed idee dus ik ga even kijken of ik een andere manier kan vinden om hetzelfde te bereiken.

update
Got it, met de functie "conceal" krijg ik precies wat ik wil, namelijk dat alleen de eerste kolommen van de regel zichtbaar zijn. De laatste kolommen, met het wachtwoord, blijven verborgen tot ik met de cursor op die regel ga staan. Tnx voor het duwtje!

[ Voor 36% gewijzigd door CAPSLOCK2000 op 02-05-2017 14:40 ]

This post is warranted for the full amount you paid me for it.

woensdag 3 mei 2017 19:34

Acties:

0 Henk 'm!

platvoet

Topicstarter

Om even terug te komen op het originele verhaal, daar wil ik toch wat terugkoppeling op geven, wij hebben de mogleijkheden bekeken van secret server, erg mooi pakket, mooie integratie met Windows echter schrokken wij nogal van de prijs, voor 1 jaar support voor 7 users net niet 7000 euro, is ons toch wat te veel van het goede. iemand nog een suggestie? zijn weinig echt goede alternatieven.

woensdag 3 mei 2017 19:38

Acties:

0 Henk 'm!

chup5528

Remotedesktopmanager.com

. Kun je makkelijk alle wachtwoorden, RDPtjes, SSH, VPN, alles in kwijt. Wij gebruiken zelf de enterprise versie, met SQL database. Je kunt mooi rechten indelen op klantmappen, export mogelijkheid in-/uitschakelen, noem het maar op

.

woensdag 3 mei 2017 19:49

Acties:

0 Henk 'm!

downtime

Everybody lies

Je zou webpasswordsafe eens kunnen proberen. Is open source, dus gratis, maar het project lijkt dood of tenminste in diepe slaap te zijn. Hun Github pagina toont twee jaar geleden de laatste commit.

vrijdag 5 mei 2017 15:11

Acties:

0 Henk 'm!

BelJoost

platvoet schreef op woensdag 3 mei 2017 @ 19:34:
secret server [...] schrokken wij nogal van de prijs

Heb je nog gekeken naar de suggestie van johnkeates: Hashicorp Vault?

Niet perfect, maar dat zijn de concurrenten ook niet. De prijs is in ieder geval wel goed. Ik vond een discussie met gebruikerservaring, ook t.o.v. CyberArk.

vrijdag 5 mei 2017 15:20

Acties:

0 Henk 'm!

Room42

downtime schreef op woensdag 3 mei 2017 @ 19:49:
Je zou webpasswordsafe eens kunnen proberen. Is open source, dus gratis, maar het project lijkt dood of tenminste in diepe slaap te zijn. Hun Github pagina toont twee jaar geleden de laatste commit.

Dus maar niet doen dan, hè ;-)

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 5 mei 2017 15:39

Acties:

0 Henk 'm!

downtime

Everybody lies

Room42 schreef op vrijdag 5 mei 2017 @ 15:20:
[...]

Dus maar niet doen dan, hè ;-)

Het zou mijn eerste keuze ook niet zijn maar als er weinig budget is, en eerder genoemde opties voldoen ook niet, dan blijft er weinig over.