IT gegevens klanten veilig bewaren - Privacy en beveiliging

donderdag 3 januari 2019 11:34

Acties:

0 Henk 'm!

Topicstarter

Medetweakers,

Als servicebedrijf hebben we van ons klanten data in bewaring zoals paswoorden, accounts, instellingen, …
Momenteel wordt dit bewaard in een word- of excelbestand met paswoord maar we willen dit toch een stuk veiliger gaan doen.

ik heb hier en op google verschillende onderwerpen bekeken maar veel ervan zijn gedateerd.
De meeste onderwerpen gaan ook over een volledig CRM/registratiepakket maar wij hebben een boekhoudpakket waar we de klantgegevens, werkbons, facturatie, … mee doen, dat zoeken we dus niet.

Concreet zoeken we *iets* om de paswoorden en gegevens in op te slaan en af te stappen van de verschillende lijstjes. Er is niet echt een mogelijkheid voor in ons boekhoudpakket.
Als het kan zou het handig zijn om de gegevens van eenzelfde klant kunnen zien (via filter o.i.d), eventueel een lijst van alle zelfde items (vb office 365) zou ook kunnen handig zijn.

Ik heb gekeken naar een passwordmanager; zo heb ik KeePass 2 en LastPass teams bekeken.
LastPass teams vind ik een mooie oplossing, je kan per klant een map maken met daaronder de verschillende gegevens (server, wifi, mail, …).
Is natuurlijk online wat zowel een voordeel (overal ter beschikking) als een nadeel is (security...).
Multi factor auth staat wel aan dus op dat vlak is het een stuk veiliger mijn gedacht?

KeePass2 vind ik iets minder overzichtelijk en minder handig in gebruik. Ook tegengekomen dat de databasefile corrupt geraakt is (uit een eerdere test).

We hebben geen nood aan het opslaan van websitegegevens waar een passwordmanager veel voor gebruikt wordt; vraag is dus of we wel naar een passwordmanager moeten kijken?

Wat gebruiken jullie om op een veilige manier alle paswoorden te bewaren?

Bedankt voor de input!

Simke

donderdag 3 januari 2019 12:02

Acties:

+1 Henk 'm!

Bart

Simke schreef op donderdag 3 januari 2019 @ 11:34:

Wat gebruiken jullie om op een veilige manier alle paswoorden te bewaren?

Een password manager

En ook voor het opslaan van attachments (zoals kopieen van paspoorten of andere zaken) lijkt het mij een prima oplossing. En of je dan van een cloudoplossing gebruikt maakt (LastPass, 1Password) of dit lokaal regelt (KeePass) is dan even aan jou.

Zelf gebruik ik 1Password maar ik spreek uiteraard vanuit een privé situatie en niet vanuit een bedrijfsmatige oplossing.

Zeker als meerdere mensen eenvoudig bij dezelfde data moeten kunnen zijn de cloudoplossingen echt wel mooi: https://1password.com/business/

En je kan een lange discussie houden over het gebruik van de 'cloud' bij dit soort oplossingen maar je moet je zelf altijd afvragen of je het zelf echt beter kan. En of je het nu lokaal oplost of middels een externe partij, alles beter dan een Excel sheet (ook al is die password protected).

[ Voor 16% gewijzigd door Bart op 03-01-2019 12:05 ]

I'm not deaf, I'm just ignoring you.

donderdag 3 januari 2019 12:04

Acties:

0 Henk 'm!

Stoelpoot

Wat ook een voordeel is aan cloudoplossingen is dat je vaak permissies in kan stellen voor verschillende gegevens. Dus dan zou je eerstelijns support bijvoorbeeld niet zomaar de serverwachtwoorden kunnen inzien.

donderdag 3 januari 2019 12:05

Acties:

+2 Henk 'm!

ThinkPad

Wil je alleen gegevens bewaren, of wil je ook een soort 'session manager'?

Wij gebruiken Devolutions Remote Desktop Manager als passwordmanager met ons team (database staat in SQL) maar ook om sessies te beheren. Dubbelklikken op een RDP-sessie en je bent ingelogd met de opgeslagen credentials. Zelfde voor websites, SSH etc. De wachtwoorden kunnen daardoor prima 16+ karakters generated zijn, want overtypen is toch amper nodig.

Stoelpoot schreef op donderdag 3 januari 2019 @ 12:04:
Wat ook een voordeel is aan cloudoplossingen is dat je vaak permissies in kan stellen voor verschillende gegevens. Dus dan zou je eerstelijns support bijvoorbeeld niet zomaar de serverwachtwoorden kunnen inzien.

Ook dit zit erin en wordt bij ons gebruikt inderdaad, ook vanwege ISO certificering.

[ Voor 31% gewijzigd door ThinkPad op 03-01-2019 12:09 ]

donderdag 3 januari 2019 12:07

Acties:

0 Henk 'm!

Stoelpoot

ThinkPadd schreef op donderdag 3 januari 2019 @ 12:05:
Wil je alleen gegevens bewaren, of wil je ook een soort 'session manager'?

Wij gebruiken Devolutions Remote Desktop Manager als passwordmanager met ons team (database staat in SQL) maar ook om sessies te beheren. Dubbelklikken op een RDP-sessie en je bent ingelogd met de opgeslagen credentials. Zelfde voor websites, SSH etc. De wachtwoorden kunnen prima 16 karakters generated zijn, want overtypen is toch amper nodig.

[...]

Ook dit zit erin en wordt bij ons gebruikt inderdaad, ook vanwege ISO certificering.

16 karakters? Met een goede wachtwoordmanager ben ik voor 64+ karakters. Het zal niet zijn dat je er extra HDD's voor moet aanschaffen zoals vroeger.

donderdag 3 januari 2019 12:09

Acties:

0 Henk 'm!

ThinkPad

Het was een voorbeeld

donderdag 3 januari 2019 12:10

Acties:

+1 Henk 'm!

FiXeR.nl

Het is sowieso goed om eens na te denken welke informatie je allemaal hebt (of toegang toe hebt!), dit in kaart brengt en te classificeren welke data je nodig hebt en welke risico's daar aan vast zitten. Dus breder dan alleen de wachtwoorden, om vervolgens daar goed informatiemanagement op toe te passen.

Alleen wachtwoorden beveiligen is nog niet voldoende natuurlijk.

Heb je ook meteen je eerste stap voor GDPR-compliancy genomen.

donderdag 3 januari 2019 12:12

Acties:

0 Henk 'm!

Stoelpoot

ThinkPadd schreef op donderdag 3 januari 2019 @ 12:09:
Het was een voorbeeld

Fair enough, ik zie het helaas vaak terugkomen dat mensen met een wachtwoordmanager alsnog genoegen nemen met 16 karakters, alsof ze het moeten onthouden. 16 karakters, dat zijn "normale" gevoelige wachtwoorden al, vind ik. Met een wachtwoordmanager is 64 toch wel het minimum om te gebruiken als de dienst het ondersteund.

donderdag 3 januari 2019 12:18

Acties:

0 Henk 'm!

TECHcrime

Pleasant Password Server al bekeken?

donderdag 3 januari 2019 12:25

Acties:

0 Henk 'm!

powerboat

Wij maken gebruik van teampass, deze heeft auditing en AD integratie.

donderdag 3 januari 2019 13:02

Acties:

0 Henk 'm!

Simke

Topicstarter

Bart schreef op donderdag 3 januari 2019 @ 12:02:
[...]

Een password manager

En ook voor het opslaan van attachments (zoals kopieen van paspoorten of andere zaken) lijkt het mij een prima oplossing. En of je dan van een cloudoplossing gebruikt maakt (LastPass, 1Password) of dit lokaal regelt (KeePass) is dan even aan jou.

Zelf gebruik ik 1Password maar ik spreek uiteraard vanuit een privé situatie en niet vanuit een bedrijfsmatige oplossing.

Zeker als meerdere mensen eenvoudig bij dezelfde data moeten kunnen zijn de cloudoplossingen echt wel mooi: https://1password.com/business/

En je kan een lange discussie houden over het gebruik van de 'cloud' bij dit soort oplossingen maar je moet je zelf altijd afvragen of je het zelf echt beter kan. En of je het nu lokaal oplost of middels een externe partij, alles beter dan een Excel sheet (ook al is die password protected).

1Password ga ik ook nog eens bekijken. Zelf kunnen we in elk geval niets maken, zijn geen programmeurs

Stoelpoot schreef op donderdag 3 januari 2019 @ 12:04:
Wat ook een voordeel is aan cloudoplossingen is dat je vaak permissies in kan stellen voor verschillende gegevens. Dus dan zou je eerstelijns support bijvoorbeeld niet zomaar de serverwachtwoorden kunnen inzien.

Permissies niet nodig, we zijn zelf onze eerste-, tweede-, derde-, … lijnssupport

ThinkPadd schreef op donderdag 3 januari 2019 @ 12:05:
Wil je alleen gegevens bewaren, of wil je ook een soort 'session manager'?

Wij gebruiken Devolutions Remote Desktop Manager als passwordmanager met ons team (database staat in SQL) maar ook om sessies te beheren. Dubbelklikken op een RDP-sessie en je bent ingelogd met de opgeslagen credentials. Zelfde voor websites, SSH etc. De wachtwoorden kunnen daardoor prima 16+ karakters generated zijn, want overtypen is toch amper nodig.

[...]

Ook dit zit erin en wordt bij ons gebruikt inderdaad, ook vanwege ISO certificering.

Doen ook remote sessies maar met licentie van teamviewer.
Ga de link toch eens bekijken.

FiXeR.nl schreef op donderdag 3 januari 2019 @ 12:10:
Het is sowieso goed om eens na te denken welke informatie je allemaal hebt (of toegang toe hebt!), dit in kaart brengt en te classificeren welke data je nodig hebt en welke risico's daar aan vast zitten. Dus breder dan alleen de wachtwoorden, om vervolgens daar goed informatiemanagement op toe te passen.

Alleen wachtwoorden beveiligen is nog niet voldoende natuurlijk. Heb je ook meteen je eerste stap voor GDPR-compliancy genomen.

Bedoeling is om alle gevoelige gegevens hierin te bewaren, mede voor/door GDPR

TECHcrime schreef op donderdag 3 januari 2019 @ 12:18:
Pleasant Password Server al bekeken?

Nog niet bekeken, doe ik zeker

powerboat schreef op donderdag 3 januari 2019 @ 12:25:
Wij maken gebruik van teampass, deze heeft auditing en AD integratie.

net als deze bekijken

Simke

donderdag 3 januari 2019 13:44

Acties:

0 Henk 'm!

Stoelpoot

Simke schreef op donderdag 3 januari 2019 @ 13:02:
[...]

Permissies niet nodig, we zijn zelf onze eerste-, tweede-, derde-, … lijnssupport

Op dit moment. Maar op het moment dat je al met 1 iemand zit die bijvoorbeeld de boekhouding moet uitvoeren (portal loonadministratie, portal boekhoudingssysteem, etc) ipv systeembeheerder wil zijn, dan is het wel handig als je onderscheid kan maken in je werknemers

[ Voor 8% gewijzigd door Stoelpoot op 03-01-2019 13:45 ]

donderdag 3 januari 2019 13:53

Acties:

0 Henk 'm!

Simke

Topicstarter

Stoelpoot schreef op donderdag 3 januari 2019 @ 13:44:
[...]

Op dit moment. Maar op het moment dat je al met 1 iemand zit die bijvoorbeeld de boekhouding moet uitvoeren (portal loonadministratie, portal boekhoudingssysteem, etc) ipv systeembeheerder wil zijn, dan is het wel handig als je onderscheid kan maken in je werknemers

Ja, als het kan is dat inderdaad mooi meegenomen.

Simke

donderdag 3 januari 2019 14:08

Acties:

0 Henk 'm!

FirePuma142

Sergius Bauer

Stoelpoot schreef op donderdag 3 januari 2019 @ 12:07:
[...]

16 karakters? Met een goede wachtwoordmanager ben ik voor 64+ karakters. Het zal niet zijn dat je er extra HDD's voor moet aanschaffen zoals vroeger.

Als de entropie hoog genoeg is kun je met 16 karakters prima overweg, die additionele karakters zijn niet van bijster veel toegevoegde waarde.

Good taste is for people who can’t afford sapphires

donderdag 3 januari 2019 14:24

Acties:

0 Henk 'm!

Stoelpoot

FirePuma142 schreef op donderdag 3 januari 2019 @ 14:08:
[...]

Als de entropie hoog genoeg is kun je met 16 karakters prima overweg, die additionele karakters zijn niet van bijster veel toegevoegde waarde.

Nog niet. Maar wat er in de toekomst wordt ontdekt kan je slecht over oordelen. Uiteraard snap ik dat het geen overdreven grote aanpassing zal zijn, maar mijn redenering is vooral: Het is niet lastiger te gebruiken dan 16 karakters, maar het kan nooit slechter zijn. Eigenlijk zou je net zo goed 128 of 256 karakters gebruiken.

donderdag 3 januari 2019 14:25

Acties:

+1 Henk 'm!

DJMaze

Simke schreef op donderdag 3 januari 2019 @ 11:34:
hebben we van ons klanten data in bewaring zoals paswoorden, accounts, instellingen, …

Stel jezelf eerst eens de vraag waarom je wachtwoorden in "bewaring" hebt.

Ik kan namelijk géén één reden bedenken waarom dat zou moeten.
Want klanten wijzigen wachtwoorden, en als ze die vergeten kunnen ze via "ik ben mijn wachtwoord vergeten" gewoon een nieuwe maken bij welke dienst dan ook.

Er is maar één soort wachtwoord echt belangrijk om te houden, zoals die van je encrypted disk of je bitcoin wallet. Want daar zit geen "wachtwoord vergeten" functie op.

Echter is dat dan nog steeds niet aan jullie om te bewaren omdat de klant kan het wachtwoord wijzigen en dan hebben jullie een oud invalide wachtwoord wat ook niet werkt.

Accounts en instellingen kan je wel in asymetrisch gesealde bestanden opslaan met een IV.

Maak je niet druk, dat doet de compressor maar

donderdag 3 januari 2019 14:29

Acties:

0 Henk 'm!

Simke

Topicstarter

DJMaze schreef op donderdag 3 januari 2019 @ 14:25:
[...]

Stel jezelf eerst eens de vraag waarom je wachtwoorden in "bewaring" hebt.

Ik kan namelijk géén één reden bedenken waarom dat zou moeten.
Want klanten wijzigen wachtwoorden, en als ze die vergeten kunnen ze via "ik ben mijn wachtwoord vergeten" gewoon een nieuwe maken bij welke dienst dan ook.

Er is maar één soort wachtwoord echt belangrijk om te houden, zoals die van je encrypted disk of je bitcoin wallet. Want daar zit geen "wachtwoord vergeten" functie op.

Echter is dat dan nog steeds niet aan jullie om te bewaren omdat de klant kan het wachtwoord wijzigen en dan hebben jullie een oud invalide wachtwoord wat ook niet werkt.

Accounts en instellingen kan je wel in asymetrisch gesealde bestanden opslaan met een IV.

We spreken hier dan van adminaccounts op servers, office 365/exchange online, AV, FW, wifi login + paswoorden en dan niet van sociale media of bestelsites van weetnietwat.

Wat bedoel je met "Accounts en instellingen kan je wel in asymetrisch gesealde bestanden opslaan met een IV."

Simke

zondag 6 januari 2019 14:48

Acties:

+4 Henk 'm!

kodak

FP ProMod

Dus een servicebedrijf dat adminaccounts die toegang geven tot de meest gevoelige bedrijfs en persoonsgegevens van haar klanten bewaart in word-/excel-bestanden? Dat niet weet hoe ze het beschermen van die gegevens moeten aanpakken en even gaan googlen voor een oplossing?

Goed dat jullie eindelijk wel wat aan beveiliging willen doen, maar pak het alstublieft professioneel aan. Neem verantwoordelijkheid dat je ergens geen kennis van hebt waar je het wel zou moeten hebben als je over beheergegevens en klantgegevens gaat. Huur een specialist in die je helpt om de gegevens van je klanten en waarschijnlijk van je eigen bedrijf fatsoenlijk in kaart te brengen, en helpt die zelf professioneel te gaan beheren en beveiligen.

Even googlen en vragen bij medetweakers is lekker makkelijk maar staat in geen verhouding tot een degelijke aanpak om aan wettelijke verplichtingen als bedijf te voldoen om bijvoorbeeld met de data voor toegang tot persoonsgegevens gaat. En doe je het niet voor het voortbestaan van je bedrijf, doe het dan op zijn minst als professional naar je klanten. Jullie klanten huren een servicebedrijf met admin rechten in als specialist in het beheren en veilighouden van hun meest gevoellige gegevens en het voortbestaan van hun bestaan. Dat moet geen bijzaak zijn maar hoofdzaak. Dat jullie boekhoudsoftware nu voor tal van zaken in gebruik is is bijzaak als je tot de conclusie kan komen dat het schort aan goed gegevensbeheer.

maandag 7 januari 2019 12:32

Acties:

0 Henk 'm!

DJMaze

Simke schreef op donderdag 3 januari 2019 @ 14:29:
We spreken hier dan van adminaccounts op servers, office 365/exchange online, AV, FW, wifi login + paswoorden en dan niet van sociale media of bestelsites van weetnietwat.

Why?!? Alsof iemand binnen het bedrijf die niet kan aanpassen ofzo.
Echt totaal niet nuttig voor jullie om te onthouden.

adminaccounts op servers? gebruik je eigen SSH sleutels (bij Windows Server: zet RDP uit)
office 365/exchange online? bedrijf moet zelf een backup hebben
AV? koop gewoon een nieuwe
FW? reset de FW en klaar, daarvoor kan je je config bestanden backuppen
wifi login? reset knop op de wifi en klaar

Simke schreef op donderdag 3 januari 2019 @ 14:29:
Wat bedoel je met "Accounts en instellingen kan je wel in asymetrisch gesealde bestanden opslaan met een IV."

Daarvoor huur je mensen met kennis in.

Maak je niet druk, dat doet de compressor maar

maandag 7 januari 2019 15:36

Acties:

+2 Henk 'm!

Killah_Priest

DJMaze schreef op maandag 7 januari 2019 @ 12:32:
[...]

Why?!? Alsof iemand binnen het bedrijf die niet kan aanpassen ofzo.
Echt totaal niet nuttig voor jullie om te onthouden.

adminaccounts op servers? gebruik je eigen SSH sleutels (bij Windows Server: zet RDP uit)
office 365/exchange online? bedrijf moet zelf een backup hebben
AV? koop gewoon een nieuwe
FW? reset de FW en klaar, daarvoor kan je je config bestanden backuppen
wifi login? reset knop op de wifi en klaar

[...]

Daarvoor huur je mensen met kennis in.

Het gaat hier zo te lezen om een ICT dienstverlener, als zij geen admin wachtwoorden hebben van het spul wat zij in beheer hebben dan kunnen zij geen dienst verlenen.

Dit wilt niet zeggen dat zij de data niet veilig op moeten slaan, maar het in beheer hebben van admin credentials is heel normaal in deze branche.

dinsdag 8 januari 2019 14:28

Acties:

0 Henk 'm!

DJMaze

@Killah_Priest dat iemand iets normaal acht wil niet zeggen dat het correct is.

Ik beheer ook systemen, netwerken, etc. Ik heb 0 wachtwoorden in beheer.

Bij mij is namelijk een klant vrij om van beheerder te wisselen en dat kan alleen als zij zelf ergens die gegevens in beheer hebben.

Daarnaast zou ik, als ik ze in beheer had, natuurlijk veel aantrekkelijker zijn voor criminelen...

Maak je niet druk, dat doet de compressor maar

dinsdag 8 januari 2019 14:33

Acties:

+1 Henk 'm!

Killah_Priest

DJMaze schreef op dinsdag 8 januari 2019 @ 14:28:
@Killah_Priest dat iemand iets normaal acht wil niet zeggen dat het correct is.

Ik beheer ook systemen, netwerken, etc. Ik heb 0 wachtwoorden in beheer.

Bij mij is namelijk een klant vrij om van beheerder te wisselen en dat kan alleen als zij zelf ergens die gegevens in beheer hebben.

Daarnaast zou ik, als ik ze in beheer had, natuurlijk veel aantrekkelijker zijn voor criminelen...

Maar hoe log jij dan in op een server als jij geen credentials hebt? Hoe voeg jij een VLAN toe aan een switch zonder credentials? Hoe configureer jij een router?

In veel gevallen (en vooral bij MKBs) wordt het volledige IT beheer uit handen gegeven aan een 3e partij. Die partijen hebben vaak een x aantal beheerders in dienst waardoor er toch echt credentials nodig zijn (welke uiteraard veilig opgeslagen moesten worden).
Het in beheer hebben van "user credentials" is natuurlijk uit den boze, maar admin credentials zijn vaak gewoon noodzakelijk bij MKB bedrijven welke simpelweg niet de middelen (lees : geen geld) hebben om alles via LDAP of SAML te koppelen.

dinsdag 8 januari 2019 14:44

Acties:

+3 Henk 'm!

Frogmen

DJMaze schreef op dinsdag 8 januari 2019 @ 14:28:
@Killah_Priest dat iemand iets normaal acht wil niet zeggen dat het correct is.

Ik beheer ook systemen, netwerken, etc. Ik heb 0 wachtwoorden in beheer.

Bij mij is namelijk een klant vrij om van beheerder te wisselen en dat kan alleen als zij zelf ergens die gegevens in beheer hebben.

Daarnaast zou ik, als ik ze in beheer had, natuurlijk veel aantrekkelijker zijn voor criminelen...

Klopt helemaal, maar mijn ervaring met de paar klanten die ik doe, ze vergeten het zelf en slaan het niet goed op. Kom je er na een tijdje zijn ze verbolgen als je het wachtwoord vraagt en weten het zelf niet meer.
Dus nee, heb ervan geleerd en staan in mijn password manager.
Ps iedereen die roept zou niet zo moeten, je hebt gelijk. Maar de klant heeft nog meer gelijk en heeft andere prioriteiten.
Ik gebruik trouwens SplashID

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 9 januari 2019 08:54

Acties:

0 Henk 'm!

Simke

Topicstarter

kodak schreef op zondag 6 januari 2019 @ 14:48:
Dus een servicebedrijf dat adminaccounts die toegang geven tot de meest gevoelige bedrijfs en persoonsgegevens van haar klanten bewaart in word-/excel-bestanden? Dat niet weet hoe ze het beschermen van die gegevens moeten aanpakken en even gaan googlen voor een oplossing?

Goed dat jullie eindelijk wel wat aan beveiliging willen doen, maar pak het alstublieft professioneel aan. Neem verantwoordelijkheid dat je ergens geen kennis van hebt waar je het wel zou moeten hebben als je over beheergegevens en klantgegevens gaat. Huur een specialist in die je helpt om de gegevens van je klanten en waarschijnlijk van je eigen bedrijf fatsoenlijk in kaart te brengen, en helpt die zelf professioneel te gaan beheren en beveiligen.

Even googlen en vragen bij medetweakers is lekker makkelijk maar staat in geen verhouding tot een degelijke aanpak om aan wettelijke verplichtingen als bedijf te voldoen om bijvoorbeeld met de data voor toegang tot persoonsgegevens gaat. En doe je het niet voor het voortbestaan van je bedrijf, doe het dan op zijn minst als professional naar je klanten. Jullie klanten huren een servicebedrijf met admin rechten in als specialist in het beheren en veilighouden van hun meest gevoellige gegevens en het voortbestaan van hun bestaan. Dat moet geen bijzaak zijn maar hoofdzaak. Dat jullie boekhoudsoftware nu voor tal van zaken in gebruik is is bijzaak als je tot de conclusie kan komen dat het schort aan goed gegevensbeheer.

Daar zijn we dus mee bezig.

DJMaze schreef op maandag 7 januari 2019 @ 12:32:
[...]

Why?!? Alsof iemand binnen het bedrijf die niet kan aanpassen ofzo.
Echt totaal niet nuttig voor jullie om te onthouden.

adminaccounts op servers? gebruik je eigen SSH sleutels (bij Windows Server: zet RDP uit)
office 365/exchange online? bedrijf moet zelf een backup hebben
AV? koop gewoon een nieuwe
FW? reset de FW en klaar, daarvoor kan je je config bestanden backuppen
wifi login? reset knop op de wifi en klaar

[...]

Daarvoor huur je mensen met kennis in.

en

Killah_Priest schreef op maandag 7 januari 2019 @ 15:36:
[...]

Het gaat hier zo te lezen om een ICT dienstverlener, als zij geen admin wachtwoorden hebben van het spul wat zij in beheer hebben dan kunnen zij geen dienst verlenen.

Dit wilt niet zeggen dat zij de data niet veilig op moeten slaan, maar het in beheer hebben van admin credentials is heel normaal in deze branche.

Nagel op de kop! Wij doen de installatie en zorgen dat de klant uiteraard zijn gegevens heeft maar hebben (met toestemming uiteraard en op vraag van) een kopie van de gegevens.
Klant belt ons voor alles en hebben wij deze gegevens niet, dan kunnen wij ons werk niet goed uitvoeren.

DJMaze schreef op dinsdag 8 januari 2019 @ 14:28:
@Killah_Priest dat iemand iets normaal acht wil niet zeggen dat het correct is.

Ik beheer ook systemen, netwerken, etc. Ik heb 0 wachtwoorden in beheer.

Bij mij is namelijk een klant vrij om van beheerder te wisselen en dat kan alleen als zij zelf ergens die gegevens in beheer hebben.

Daarnaast zou ik, als ik ze in beheer had, natuurlijk veel aantrekkelijker zijn voor criminelen...

Als men de gegevens opvraagt krijgen ze die uiteraard bij ons, het is de klant zijn infrastructuur, wij doen alleen het beheer maar moeten dit wel kunnen doen op vraag van de klant.

Killah_Priest schreef op dinsdag 8 januari 2019 @ 14:33:
[...]

Maar hoe log jij dan in op een server als jij geen credentials hebt? Hoe voeg jij een VLAN toe aan een switch zonder credentials? Hoe configureer jij een router?

In veel gevallen (en vooral bij MKBs) wordt het volledige IT beheer uit handen gegeven aan een 3e partij. Die partijen hebben vaak een x aantal beheerders in dienst waardoor er toch echt credentials nodig zijn (welke uiteraard veilig opgeslagen moesten worden).
Het in beheer hebben van "user credentials" is natuurlijk uit den boze, maar admin credentials zijn vaak gewoon noodzakelijk bij MKB bedrijven welke simpelweg niet de middelen (lees : geen geld) hebben om alles via LDAP of SAML te koppelen.

Gaat niet over gewone user passwords, daar moet de klant zelf voor zorgen. Maar wij moeten het kunnen resetten in geval van probleem dus moeten we kunnen inloggen.

Frogmen schreef op dinsdag 8 januari 2019 @ 14:44:
[...]

Klopt helemaal, maar mijn ervaring met de paar klanten die ik doe, ze vergeten het zelf en slaan het niet goed op. Kom je er na een tijdje zijn ze verbolgen als je het wachtwoord vraagt en weten het zelf niet meer.
Dus nee, heb ervan geleerd en staan in mijn password manager.
Ps iedereen die roept zou niet zo moeten, je hebt gelijk. Maar de klant heeft nog meer gelijk en heeft andere prioriteiten.
Ik gebruik trouwens SplashID

Klopt helemaal, klant kent deze gegevens niet (voldoende) meer na bepaalde tijd.

Zijn momenteel aan het testen met lastpass, pleasant en keepass.

SplashID zal ik nog eens bekijken, bedankt.

Iedereen al bedankt voor de input!

Simke

maandag 21 januari 2019 05:48

Acties:

0 Henk 'm!

LucyLG

Het klinkt alsof je met de beheerde gegevens toegang hebt tot personal data van personen. Echter krijg je denk ik die gegevens van het bedrijf dat het product aanbiedt en waar personen hun gegevens aan verstrekken. Toch?

Je bent dan een dataverwerker in de zin van de AVG. Indien je met de gegevens die je beheert persoonsgegevens hebt of kan inzien, dus gegevens die een persoon kunnen identificeren, je een verplichting hebt deze te beveiligen onder de AVG/GDPR.

De gegevens staan dus blijkbaar op een eigen server en niet op een server/cloud van een andere club? Jullie opslag is dus hier in NL?

Je dient een redelijk beveiligingsniveau te hebben. Dus de gebruikelijke beveiligingen. Datalekken kunnen voorkomen en je hebt een plicht om redelijkerwijs dit te voorkomen.

Leg de afspraken tussen jouw bedrijf en de partij die data verzamelt van personen en door jullie laat verwerken goed vast.

Het is mij niet volledig duidelijk. Beveiliging van jullie server zou niet ingewikkeld moeten zijn? Zowel zet ze dan op een server in NL die ook de beveiliging doet.

Begrijp ik het zo goed?

maandag 21 januari 2019 06:22

Acties:

0 Henk 'm!

Trommelrem

Simke schreef op donderdag 3 januari 2019 @ 11:34:
Als servicebedrijf hebben we van ons klanten data in bewaring zoals paswoorden, accounts, instellingen, …
Momenteel wordt dit bewaard in een word- of excelbestand met paswoord maar we willen dit toch een stuk veiliger gaan doen.

De eerste stap die je kunt nemen is Azure AD RMS. Dan kun je ook data blokkeren die reeds offline is of door medewerkers in het verleden buiten de deur is genomen.

Ik heb gekeken naar een passwordmanager; zo heb ik KeePass 2 en LastPass teams bekeken.
LastPass teams vind ik een mooie oplossing, je kan per klant een map maken met daaronder de verschillende gegevens (server, wifi, mail, …).
Is natuurlijk online wat zowel een voordeel (overal ter beschikking) als een nadeel is (security...).
Multi factor auth staat wel aan dus op dat vlak is het een stuk veiliger mijn gedacht?

Lastpass heeft wel plannen voor ADFS of SAML, maar volgens mij is het er nog niet. Iedere SaaS of onprem app die niet te koppelen is met ADFS of SAML is een verhoogd risico.

KeePass2 vind ik iets minder overzichtelijk en minder handig in gebruik. Ook tegengekomen dat de databasefile corrupt geraakt is (uit een eerdere test).

Wat gebruiken jullie om op een veilige manier alle paswoorden te bewaren?

Sinds enkele maanden IT Glue en sinds enkele jaren Azure AD RMS. Wij willen nooit meer terug.

maandag 21 januari 2019 06:58

Acties:

+1 Henk 'm!

unezra

Ceci n'est pas un sous-titre.

Ik gebruik zelf al jaren GnuPG met de Vim GnuPG plugin:
https://www.vim.org/scripts/script.php?script_id=3645

In principe is dat prima per klant te doen, door per klant een password file aan te maken en alleen diegenen toegang te geven die er toegang toe moeten hebben. Je zou ook een centrale file kunnen aanmaken met free-form alle klanten d'r in. Als je een goed formaat af spreekt, is dat in mijn beleving redelijk overzichtelijk.

Passwordmanagers vind ik zelf tricky, omdat die vaak en proprietry bestandsformaat hebben. GnuPG is dat niet, toevallig gebruik ik de Vim plugin maar je zou dat bestand met iedere willekeurige editor kunnen openen, zolang je maar iets met het gpg deel doet.

Veilig is het ook, je hebt namelijk geen master password. Je geeft iedereen toegang met zijn eigen gpg key, dus het is zo veilig als diens eigen passphrase. (Op die manier kun je ook mensen toegang ontzeggen, je gooit domweg de key van diegene er uit en klaar. Heeft diegene hooguit nog toegang tot oude versies.)

Overigens gebruik ik dit wel vooral privé. Zakelijk slaan we de wachtwoorden (nog) op in een Excell bestand. Daar zit geen wachtwoord op. Hij staat domweg op een plaats waar alleen beheerders bij kunnen. (Is dat een risico? Valt mee. Als we de rechten op *die* plek verkeerd zetten hebben we sowieso een veel groter probleem dan alleen die beheer wachtwoorden die beschikbaar zijn. Kortom, het risico is beperkt en logischerwijs is die plek niet direct van buiten te benaderen. Om er bij te komen moet je tenminste een VPN verbinding opzetten met ons netwerk of ingelogd zijn op de VDI omgeving, met de juiste credentials.)

Ná Scaoll. - Don’t Panic.

maandag 21 januari 2019 07:12

Acties:

+1 Henk 'm!

celshof

LucyLG schreef op maandag 21 januari 2019 @ 05:48:
Het klinkt alsof je met de beheerde gegevens toegang hebt tot personal data van personen. Echter krijg je denk ik die gegevens van het bedrijf dat het product aanbiedt en waar personen hun gegevens aan verstrekken. Toch?

Je bent dan een dataverwerker in de zin van de AVG. Indien je met de gegevens die je beheert persoonsgegevens hebt of kan inzien, dus gegevens die een persoon kunnen identificeren, je een verplichting hebt deze te beveiligen onder de AVG/GDPR.

De gegevens staan dus blijkbaar op een eigen server en niet op een server/cloud van een andere club? Jullie opslag is dus hier in NL?

Ze hebben admin accounts. Die zullen niet aan personen gekoppeld zijn, waardoor ze niet direct persoonsgegevens hebben gekregen. Met zo'n account kunnen ze dan weer inloggen op servers van andere bedrijven (de bedrijven die de diensten van hety bedrijf van ts afnemen).

Direct zal er geen probleem zijn met de AVG. Van de andere kant,met een admin account kun je bijzonder veel, dus waarschijnlijk wel bij de klantgegevens van die derde partij komen.

maandag 21 januari 2019 07:24

Acties:

0 Henk 'm!

Oogje

unezra schreef op maandag 21 januari 2019 @ 06:58:

Overigens gebruik ik dit wel vooral privé. Zakelijk slaan we de wachtwoorden (nog) op in een Excell bestand. Daar zit geen wachtwoord op. Hij staat domweg op een plaats waar alleen beheerders bij kunnen. (Is dat een risico? Valt mee. Als we de rechten op *die* plek verkeerd zetten hebben we sowieso een veel groter probleem dan alleen die beheer wachtwoorden die beschikbaar zijn. Kortom, het risico is beperkt en logischerwijs is die plek niet direct van buiten te benaderen. Om er bij te komen moet je tenminste een VPN verbinding opzetten met ons netwerk of ingelogd zijn op de VDI omgeving, met de juiste credentials.)

Het meeste gevaar komt niet van buiten maar bv van AccountA die kan internetten op zn werkstation( een zeroday oploopt via een advertentienetwerk op een valide website )en met hetzelfde account ook toegang heeft tot dat soort bestanden.
Tenzij je een apart beheerstation hebt waarop je inlogt met BeheeraccounA en dat account heeft toegang tot het bestand, dan is het risico beperkt.

Any errors in spelling, tact, or fact are transmission errors.

maandag 21 januari 2019 07:35

Acties:

0 Henk 'm!

om3ega

https://thycotic.com/products/secret-server

Voor een webbased tool on premise of cloud met microsoft AD integratie.
Of Enpass https://www.enpass.io waarbij je eventueel per klant een eigen kluis kan maken en kan kiezen of je deze on premise of via de cloud synct.

maandag 21 januari 2019 07:52

Acties:

+1 Henk 'm!

unezra

Ceci n'est pas un sous-titre.

Oogje schreef op maandag 21 januari 2019 @ 07:24:
[...]
Het meeste gevaar komt niet van buiten maar bv van AccountA die kan internetten op zn werkstation( een zeroday oploopt via een advertentienetwerk op een valide website )en met hetzelfde account ook toegang heeft tot dat soort bestanden.
Tenzij je een apart beheerstation hebt waarop je inlogt met BeheeraccounA en dat account heeft toegang tot het bestand, dan is het risico beperkt.

Klopt. Dat zou zeker een nóg betere oplossing zijn, met hooguit copy-paste tussen de vm waarop je dat bestand opent en je werkstation. (Want wachtwoorden zijn lang niet altijd fatsoenlijk te typen.)

Aan de andere kant vind ik dat ook een maatregel waarvan ik me af vraag hoe veel het toe voegt. (En of het middel niet erger is dan de kwaal. Als de shit de fan raakt ben ik heel blij dat ik alleen maar een basis deel netwerk en 1 fileshare op de storage operationeel hoef te hebben. Met dat kan ik bij de wachtwoorden en de boel fixen. Als je ook nog eens een vm in de lucht moet houden is er meer dat mis kan gaan.)

Wat wél wat toe voegt voor TS, is iedereen persoonlijke accounts geven bij alle klanten en op alle systemen (lang leve AD), en de admin passwords in de kluis stoppen en/of alleen in geval van nood gebruiken. Sowieso is het verstandig om én persoonlijke én zo veel mogelijk unprivileged accounts te hebben.

Dat hebben wij overigens ook. Iedere beheerder (het zijn er maar 2, ik en mijn collega) hebben 2 accounts, waarvan ons reguliere account wat restrictiever is dan het admin account. We kunnen vanaf ons reguliere account meer dan de rest van de collega's, maar beheer is primair vanaf admin accounts en waar mogelijk zijn het dus persoonlijke accounts gekoppeld aan AD. (Met een backdoor, waardoor als AD op zijn gat ligt we toch nog dingen kunnen fixen. AD fixen zal alleen wel prioriteit hebben omdat daar té veel van afhankelijk is.)

Leveranciers die bepaalde toegang nodig hebben hebben over het algemeen wel weer een wat meer privileged account, maar dat is omdat zij over het algemeen alleen maar hoeven in te loggen als ze beheerwerk gaan doen. Dan is 2 accounts vooral onhandig. Het moet ook praktisch bruikbaar blijven.

Ná Scaoll. - Don’t Panic.