Zakelijke password manager - Privacy en beveiliging

vrijdag 4 mei 2018 00:10

Acties:

0 Henk 'm!

It's always christmas time

Topicstarter

Welke password manager hebben jullie op de zaak in gebruik om wachtwoorden binnen het team te delen?
We hebben onze wachtwoorden op dit moment nog in een in-house ontwikked tooltje staan, maar vanuit veiligheids aspect voldoet die eigenlijk niet meer.

Prive gebruik ik 1Password. Via Google en op het forum vind ik diverse alternatieven, maar weinig ervaringen van anderen.

Belangrijkste functies:
- centraal user beheer
- delen met groepen
- individueel delen of tijdelijk delen met een collega
- geschikt voor in elk geval Windows clients, met een Chrome plugin, echter niet enkel een Chrome plugin. We delen ook veel wachtwoorden voor VPN accounts, RDP omgevingen vam klanten etc.

Ik ben benieuwd naar jullie ervaringen!

vrijdag 4 mei 2018 00:20

Acties:

0 Henk 'm!

anboni

Wij gebruiken http://www.pleasantsolutions.com/passwordserver/
Vanaf de enterprise edition heb je in ieder geval AD integratie, en ik denk dat de andere eisen die je hebt er ook al inzitten (wij gebruiken alleen de webinterface, dus veel meer kan ik er niet over vertellen)

vrijdag 4 mei 2018 00:22

Acties:

+3 Henk 'm!

winos

Passwordstate heb ik hele goede ervaringen mee. Volgens mij zelfs gratis tot 5 users

https://www.clickstudios.com.au

Il vind hem geweldig, ook qua support en zeer zeer goed gedocumenteerd.

Meer heb ik er eigenlijk niet over te zeggen dan dat het voor ons de beste oplossing was.

Ze hebben zelfs een plugin voor edge!
En voldoen dacht ik aan al jouw vragen.

[ Voor 66% gewijzigd door winos op 04-05-2018 00:26 ]

vrijdag 4 mei 2018 00:41

Acties:

0 Henk 'm!

TommyboyNL

Wij gebruiken dit pakket: https://thycotic.com/products/secret-server/
Of het individueel/tijdelijk delen ondersteunt weet ik niet, dat gebruiken wij niet. De rest van je eisen voldoet het naar mijn idee wel aan.

vrijdag 4 mei 2018 00:43

Acties:

0 Henk 'm!

alex3305

Wij zijn momenteel aan het kijken naar Bitwarden. Is voor zakelijke doeleinden betaald, maar biedt volgens mij alle functies die je zou willen. Verder is het open source en eventueel on-premise te hosten. Ook is er integratie met AD of GSuite mogelijk. Echt interessant om naar te kijken. Ook relevant trouwens: [Password Managers] Discussie- en reviewtopic

vrijdag 4 mei 2018 05:29

Acties:

0 Henk 'm!

Verwijderd

-

[ Voor 100% gewijzigd door Verwijderd op 19-10-2019 15:30 . Reden: Leeg ivm privacy ]

vrijdag 4 mei 2018 06:30

Acties:

0 Henk 'm!

Verwijderd

TommyboyNL schreef op vrijdag 4 mei 2018 @ 00:41:
Wij gebruiken dit pakket: https://thycotic.com/products/secret-server/
Of het individueel/tijdelijk delen ondersteunt weet ik niet, dat gebruiken wij niet. De rest van je eisen voldoet het naar mijn idee wel aan.

Deze gebruiken wij ook. AD integrated, uitgebreide auditing.... Best een goede tool. Je kunt je private secrets ook sharen, maar hoe uitgebreid dat is.... Je schijnt zelfs random passwords te kunnen gebruiken, dan gaat hij dus ook passwords wijzigen op je machines, maar dat gebruiken we niet.

vrijdag 4 mei 2018 08:51

Acties:

+1 Henk 'm!

siteoptimo

alex3305 schreef op vrijdag 4 mei 2018 @ 00:43:
Wij zijn momenteel aan het kijken naar Bitwarden. Is voor zakelijke doeleinden betaald, maar biedt volgens mij alle functies die je zou willen.

Hebben wij sinds een paar maand, we komen van LastPass. Bitwarden is goed, behalve dat het delen van een wachtwoord verschrikkelijk irritant verloopt. Gaat niet via de browser plugin, je moet elke keer naar de website, om vervolgens de individuele login te zoeken en vanuit daar te delen.
Ook zat er een bug in de import, waardoor alle & tekens vervangen werden door & amp;.

Verder staat binnen de plugin overal hun Google analytics standaard aan, terwijl ik dat eigenlijk liever niet heb.

Met andere woorden: niet slecht maar ik vond LastPass gemakkelijker werken met een team.

vrijdag 4 mei 2018 08:55

Acties:

0 Henk 'm!

ThinkPad

Wij gebruiken 'Remote Desktop Manager' of 'RDM' van 'Devolutions'.

Is niet zozeer een password manager, maar meer een tool om al je RDP / SSH / browser sessies in op te slaan. Dubbelklikken op een item en de RDP-sessie wordt automatisch gestart en password gevuld e.d.
We hebben een centrale database maar je kunt ook een privé items erin zetten.

Privé heb ik Bitwarden en voor m'n homelab ook RDM omdat het zo handig werkt

[ Voor 10% gewijzigd door ThinkPad op 04-05-2018 08:57 ]

vrijdag 4 mei 2018 09:07

Acties:

0 Henk 'm!

Tsurany

⭐⭐⭐⭐⭐

Is het puur wachtwoorden opslaan of wil je ook wachtwoorden automatisch kunnen genereren en wijzigen? Want tijdelijk delen werkt enkel als het wachtwoord na die sessie aangepast wordt, anders heeft je collega nog steeds dat wachtwoord als hij hem ergens opslaat. Daarnaast is dan ook niet meer te traceren wie die account gebruikt aangezien iedereen dezelfde username en wachtwoord gebruikt en je niet zeker weet of dat wachtwoord uit de vault is gehaald of onthouden is.

[ Voor 10% gewijzigd door Tsurany op 04-05-2018 09:08 ]

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

vrijdag 4 mei 2018 09:09

Acties:

0 Henk 'm!

Verwijderd

wij gebruiken teampass

werkt prima en ook de mogelijkheid voor je eigen vault binnen de centrale omgeving
2FA, AD integratie

[ Voor 8% gewijzigd door Verwijderd op 04-05-2018 09:10 ]

vrijdag 4 mei 2018 09:11

Acties:

+2 Henk 'm!

mddd

Volgens mij kan 1Password alles wat je vraagt.
Je gebruikt het zelf al dus je kunt de gebruiksvriendelijkheid van de app in elk geval beoordelen.
In de variant voor teams heb je mogelijkheden voor account beheer e.d.

Sterke punten van 1Password tov. andere opties vind ik
- Een UI die ontworpen lijkt te zijn door een UI ontwerper en niet door een backend ontwikkelaar en die logisch in elkaar zit en niet lelijk is (no offense, ik ben zelf backend ontwikkelaar).
- Native apps. handig voor de gevallen waar je niet zelf online bent maar wel een wachtwoord nodig hebt.

[ Voor 45% gewijzigd door mddd op 04-05-2018 09:14 ]

PV : 4650 Wp : 15 x AEG AS-M60XB-310 + GoodWe 4200D-NS : PVOutput

vrijdag 4 mei 2018 10:01

Acties:

0 Henk 'm!

Willem30

Wij gebruiken Crypt-o.

vrijdag 4 mei 2018 10:09

Acties:

0 Henk 'm!

Fawn

Wij gebruiken https://www.topicus-keyhub.com/
Een heel fijn webbased product. Naast verschillende wachtwoordkluizen voor verschillende rechtenniveau's (bijvoorbeeld test - acceptatie - productie), is het eenvoudig om decentraal toegang te geven of in trekken.

[ Voor 3% gewijzigd door Fawn op 04-05-2018 11:47 ]

vrijdag 4 mei 2018 10:20

Acties:

0 Henk 'm!

Stoelpoot

mddd schreef op vrijdag 4 mei 2018 @ 09:11:
Volgens mij kan 1Password alles wat je vraagt.
Je gebruikt het zelf al dus je kunt de gebruiksvriendelijkheid van de app in elk geval beoordelen.
In de variant voor teams heb je mogelijkheden voor account beheer e.d.

Sterke punten van 1Password tov. andere opties vind ik
- Een UI die ontworpen lijkt te zijn door een UI ontwerper en niet door een backend ontwikkelaar en die logisch in elkaar zit en niet lelijk is (no offense, ik ben zelf backend ontwikkelaar).
- Native apps. handig voor de gevallen waar je niet zelf online bent maar wel een wachtwoord nodig hebt.

Nadeel: 1Password is niet gemaakt voor delen en je kan geen verschillende rechtenniveau's e.d. hebben vziw.

vrijdag 4 mei 2018 10:24

Acties:

0 Henk 'm!

mddd

Stoelpoot schreef op vrijdag 4 mei 2018 @ 10:20:
Nadeel: 1Password is niet gemaakt voor delen en je kan geen verschillende rechtenniveau's e.d. hebben vziw.

Dan heb je waarschijnlijk een tijd niet naar 1Password gekeken? Het is inderdaad begonnen als een persoonlijke tool maar ze hebben inmiddels account mogelijkheden voor familie, teams en 'enterprise'. Inclusief alle instelmogelijkheden die je daarbij zou verwachten.

Leuk detail vind ik dat users bij het duurste pakket ook licenties krijgen voor hun complete families. Zodat je medewerkers het zakelijk kunnen gebruiken maar ook hun persoonlijke vaults binnen hun eigen gezin kunnen delen en op die manier stimuleer je ook dat mensen in de privésfeer hun veiligheid verbeteren.

[ Voor 5% gewijzigd door mddd op 04-05-2018 10:25 ]

PV : 4650 Wp : 15 x AEG AS-M60XB-310 + GoodWe 4200D-NS : PVOutput

vrijdag 4 mei 2018 10:26

Acties:

0 Henk 'm!

Stoelpoot

mddd schreef op vrijdag 4 mei 2018 @ 10:24:
[...]

Dan heb je waarschijnlijk een tijd niet naar 1Password gekeken? Het is inderdaad begonnen als een persoonlijke tool maar ze hebben inmiddels account mogelijkheden voor familie, teams en 'enterprise'. Inclusief alle instelmogelijkheden die je daarbij zou verwachten.

Leuk detail vind ik dat users bij het duurste pakket ook licenties krijgen voor hun complete families. Zodat je medewerkers het zakelijk kunnen gebruiken maar ook hun persoonlijke vaults binnen hun eigen gezin kunnen delen.

Oeh, dat had ik inderdaad nooit gezien. Ik dacht bij 1Password nog altijd aan een persoonlijke databases en dan nog de familie-optie, die ik ook niet voldoende acht voor een bedrijfsomgeving.

vrijdag 4 mei 2018 10:45

Acties:

+1 Henk 'm!

Equator

Crew Council

#whisky #barista

Bij een enterprise vind ik het belangrijk dat er gekeken wordt naar de portabiliteit. En dan vooral het niet portable zijn van een database met wachtwoorden. Een beheerder die een kopietje meeneemt van de Keepass DB bijvoorbeeld, waarvan je - na het meenemen - niet meer het wachtwoord kunt aanpassen.

Zodoende heb ik voor een grote Managed Services organisatie gekeken naar verschillende web-based varianten. Verdere functionele eisen die ik daaraan stelde waren:

Web-based
MFA optioneel (scope based indien mogelijk)
Koppeling met AD voor authenticatie
AD group based autorisatie
logging: wie heeft welk wachtwoord gebruikt / opgevraagd
auditable door Security Officer

en nog wat punten.

Ik kwam toen op PasswordState uit waar @winos ook naar refereert.

vrijdag 4 mei 2018 10:46

Acties:

0 Henk 'm!

Xilonz

alex3305 schreef op vrijdag 4 mei 2018 @ 00:43:
Wij zijn momenteel aan het kijken naar Bitwarden. Is voor zakelijke doeleinden betaald, maar biedt volgens mij alle functies die je zou willen. Verder is het open source en eventueel on-premise te hosten. Ook is er integratie met AD of GSuite mogelijk. Echt interessant om naar te kijken. Ook relevant trouwens: [Password Managers] Discussie- en reviewtopic

Bitwarden misschien een optie? https://bitwarden.com/
Vrij nieuw, en kan op een eigen server gedraaid worden, zodat je die helemaal kan afschermen voor buitenaf.
Ik gebruik het nu een half jaartje (de cloud versie) en bevalt me goed.
Edit: Spuit 11

[ Voor 52% gewijzigd door Xilonz op 04-05-2018 10:47 . Reden: Spuit 11 ]

vrijdag 4 mei 2018 10:52

Acties:

+2 Henk 'm!

Equator

Crew Council

#whisky #barista

offtopic:
Je quote het ook gewoon

vrijdag 4 mei 2018 11:09

Acties:

0 Henk 'm!

mddd

@sanzut Misschien kun je iets meer over de gebruiksomgeving aangeven? Hoe groot is het bedrijf, hoeveel mensen moeten de gedeelde info gebruiken? @Equator heeft goede punten over enterprise gebruik. Als je nog wat specifieker kunt zijn over jullie gebruiks- en beheerwensen kunnen we wellicht ook preciezer zijn over waarom bepaalde oplossingen wel/niet zouden passen

PV : 4650 Wp : 15 x AEG AS-M60XB-310 + GoodWe 4200D-NS : PVOutput

vrijdag 4 mei 2018 11:41

Acties:

0 Henk 'm!

Smashmint

1Password Teams kan volgens mij alles wat je vraagt behalve het tijdelijk delen van logins.

Ze hebben zelfs een CLI client die onze developers hier naar tevredenheid gebruiken

vrijdag 4 mei 2018 11:48

Acties:

0 Henk 'm!

alex3305

siteoptimo schreef op vrijdag 4 mei 2018 @ 08:51:
[...]

Hebben wij sinds een paar maand, we komen van LastPass. Bitwarden is goed, behalve dat het delen van een wachtwoord verschrikkelijk irritant verloopt. Gaat niet via de browser plugin, je moet elke keer naar de website, om vervolgens de individuele login te zoeken en vanuit daar te delen.
Ook zat er een bug in de import, waardoor alle & tekens vervangen werden door & amp;.

Wij hebben momenteel helemaal geen password manager. Nja sommige mensen gebruiken een Keepass databaseje, maar dat is gewoon verre van ideaal. Dat het delen lastig gaat moeten we inderdaad nog maar eens bekijken. Werkt dat dan ook niet goed met de desktop applicatie?

Verder staat binnen de plugin overal hun Google analytics standaard aan, terwijl ik dat eigenlijk liever niet heb.

Dat was mij inderdaad ook opgevallen en ben ik het mee eens.

Met andere woorden: niet slecht maar ik vond LastPass gemakkelijker werken met een team.

Wij hebben momenteel niets, dus alles is beter dan niets. De grootste reden die ik binnen ons bedrijf heb gehoord om niet naar 1Password of Lastpass te gaan is het niet in eigen beheer kunnen hebben van de data. Dat kan met Bitwarden wel en is daarom voor ons een serieuze kandidaat. Daarvoor hebben we ook nog gekeken naar Passbolt, maar vonden we niet direct een serieuze kandidaat vanwege de verplichte GPG key.

vrijdag 4 mei 2018 12:30

Acties:

0 Henk 'm!

sanzut

It's always christmas time

Topicstarter

Bedankt voor alle reacties!

mddd schreef op vrijdag 4 mei 2018 @ 11:09:
@sanzut Misschien kun je iets meer over de gebruiksomgeving aangeven? Hoe groot is het bedrijf, hoeveel mensen moeten de gedeelde info gebruiken? @Equator heeft goede punten over enterprise gebruik. Als je nog wat specifieker kunt zijn over jullie gebruiks- en beheerwensen kunnen we wellicht ook preciezer zijn over waarom bepaalde oplossingen wel/niet zouden passen

We zijn met +- 20 personen, en ontwikkelen software op maat. Dit geeft dus veel inlogaccounts van omgevingen bij klanten waarop we moeten kunnen inloggen.
Het zijn niet alleen ontwikkelaars, maar dus ook onze accountmanagers enzo. Niet enkel web, maar ook gewone Windows applicaties.

We willen de wachtwoorden in principe meestal met een team delen. Sommige inloggegevens moeten ook voor onze stagiaires beschikbaar zijn, dus dan willen we ze met meerdere groepen/rollen kunnen delen. Soms wil je een wachtwoord met specifieke mensen delen, zonder dat het direct voor iedereen in die rol beschikbaar komt, zonder het ergens in een bestandje of mailtje te moeten zetten.

Andere inloggegevens zijn voor persoonlijke zakelijke accounts, dus die wil je niet delen maar wel veilig kunnen opslaan. Voor de gedeelde accounts hebben we nu zelf een mini tooltje ontwikkeld, echter heeft dit maar 2 'groepen' als soort afscherming wie watmag zien, geen logging wie wat wanneer heeft gezien,opgevraagd,gebruikt,aangepast. Echter is het grootste probleem dat het gewoon in een simpele SQL DB in ons eigen ERP pakket staat waar iedereen via SQL management studio zo bij kan.

Sommige gebruiken nu individueel LastPass of 1Password, maar de meesten niet.
Als we het zo kunnen inrichten dat mensen naast de zakelijke gedeelde password vault een eigen, besloten vault hebben voor hun prive wachtwoorden, dan makat dat de adoptie waarschijnlijk wat eenvoudiger.

Wat betreft alle tools die jullie noemen, ik heb zelf al wel even gekeken naar LastPass Teams, 1Password Teams, maar daar nog geen demo aangevraagd.
Bitwarden ziet er interessant uit, deze ga ik zeker meenemen in de vergelijking!

vrijdag 4 mei 2018 14:31

Acties:

0 Henk 'm!

Goose GT

https://www.dashlane.com/nl/business/features

Deze was nog niet genoemd.. misschien een goed alternatief.

vrijdag 4 mei 2018 20:48

Acties:

0 Henk 'm!

Creepy

Tactical Espionage Splatterer

Miscshien goed om ook over na te denken: wil je dat je beheerders bij alle wachtwoorden kunnen? Bij bijv Lastpass is dat onmogelijk, maar als je bijv kijkt naar PasswordState dan kan een admin daarvan bij alle wachtwoorden van alle gebruikers (!!) (want een admin kan het wachtwoord resetten van alle gebruikers en zich zo toegang verschaffen).
Wij hebben in ons bedrijf nu beide in gebruik en willen af van PasswordState vanwege die mogelijkheid. Ik weet niet hoe dat zit bij andere producten dus kijk dat goed na.

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

vrijdag 4 mei 2018 20:55

Acties:

0 Henk 'm!

shoombak

Even volgen, ook actueel issue hier sinds Keepass echt niet meer werkt meer de grootte van het team inmiddels

vrijdag 4 mei 2018 22:17

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

Creepy schreef op vrijdag 4 mei 2018 @ 20:48:
Miscshien goed om ook over na te denken: wil je dat je beheerders bij alle wachtwoorden kunnen? Bij bijv Lastpass is dat onmogelijk, maar als je bijv kijkt naar PasswordState dan kan een admin daarvan bij alle wachtwoorden van alle gebruikers (!!) (want een admin kan het wachtwoord resetten van alle gebruikers en zich zo toegang verschaffen).
Wij hebben in ons bedrijf nu beide in gebruik en willen af van PasswordState vanwege die mogelijkheid. Ik weet niet hoe dat zit bij andere producten dus kijk dat goed na.

Daarom wil je eigenlijk gebruik maken van MFA. Als jij je token (o.i.a.) bij je hebt, dan kan een admin nog steeds niet in jouw wachtwoorden.

Bovendien, kan je ook een Security officier (dus geen beheerder) betrekken in het al dan niet resetten van wachtwoorden.

zaterdag 5 mei 2018 09:51

Acties:

0 Henk 'm!

Creepy

Tactical Espionage Splatterer

Equator schreef op vrijdag 4 mei 2018 @ 22:17:
[...]

Daarom wil je eigenlijk gebruik maken van MFA. Als jij je token (o.i.a.) bij je hebt, dan kan een admin nog steeds niet in jouw wachtwoorden.

Bovendien, kan je ook een Security officier (dus geen beheerder) betrekken in het al dan niet resetten van wachtwoorden.

Onze beheerder kunnen dus ook de 2FA resetten en je password resetten (2fa staat hier veprlicht aan). Door sommigen wordt het zo uitgelegd dat dat handig is: is een medewerker z'n telefoon en/of wachtwoord kwijt dan zijn al zijn wachtwoorden niet verloren. Maar dat betekent dus ook dat iemand overal bij kan! Dat het systeem dat mogelijk maakt vind ik onbgerijpelijk. Natuurlijk kan je het 1 en ander in procedure vatten met een security officer er bij. Het enige dat ik mee wil geven is om echt goed te kijken naar de systemen die je hebt en hoe ze werken en het vertrouwen dat je hebt in je beheerders. Misschien is het een inrichrings keuze, dat weet ik niet, maar wat ik wel weet is dat Passwordstate niet (altijd) je wachtwoorden kluis versleuteld met een persoonlije key maar met een master key waardoor beheerders er dus mogelijk bij kunnen. Iets wat 1password, lastpass e.d. niet hebben. Daar is alles persoonlijk, ben je je master key kwijt? Jammer joh, dat is dan wachtwoorden resetten overal.

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

zaterdag 5 mei 2018 13:06

Acties:

0 Henk 'm!

hellknight

Medieval Nerd

Wij gebruiken SecretServer van Thycotic, en ben hier zelf erg tevreden over - voor inloggen kun je kiezen tussen integratie met AD, of gebruik van lokale account, (of combinatie van beidde) - in beidde gevallen is MFA mogelijk (DUO, RADIUS, of Google Authenticator). Voor groepen binnen de applicatie kan gebruik worden gemaakt van AD groepen (bij inloggen met AD account) of groepen binnen SecretServer.
Met de juiste opzet kunnen admins ook niet bij alle passwords, maar enkel die waar zij rechten op hebben, met 1 uitzondering: er is een zgn. "Break the glass" optie, waarmee admins die de juiste rol hebben toegang krijgen tot alle passwords, ongeacht de normale rechten - wanneer deze modus aan staan wordt dit echter duidelijk in ieder scherm aangegeven, zichtbaar voor alle gebruikers, en natuurlijk gelogd in de systeem logs.

Your lack of planning is not my emergency