Neue Arbeitsstelle - Sicherheit ist NeulandPasswortschutz KeePass?

[Firehold]

Hallo,

ich habe vor kurzem bei einem neuen Arbeitgeber angefangen, die Firma ist personell nicht sehr groß, hat aber durchaus nennenswerte Umsätze.
Um so mehr hat es mich gewundert wie schusselig und naiv mit der Sicherheit umgegangen wird.
Der Gau war dann die Excel-Tabelle mit allen möglichen Passwörtern und Zugängen.
Ich bin selbst kein Experte für IT-Sicherheit, aber das geht ja nunmal garnicht, zumal einige Passwörter echt Wahnsinn waren (Firmenname + Jahreszahl standard zB). Da würde ich gerne meinem Chef ein schlüssigeres Sicherheitskonzept vorschlagen, zumindest was die Passwörter betrifft.

Nungut, ich habe ein wenig gelesen und viele Sicherheitsexperten in Blogs raten von den gängigen Online-Passwortmanagern ab, da es unter anderem dort auch schon zu Sicherheitslücken etc. gekommen sei. Hoch gelobt wird die OpenSource Software KeePass. Leider habe ich von der ganzen Verschlüsselungstechnik und so keine Ahnung. Die echten Experten raten zu dem Originalen KeePass 2, da das wohl benutzerfreundlichere KeePassXC einige Funktionen nicht unterstützen würde.

Kurz und knapp, die Lösung darf nicht zu kompliziert und umständlich sein, sonst bekomme ich das sicher nicht durch.
Der Passwortmanager sollte sich auf mindestens 5 verschiedenen Computern mit Windows und evtl. 1-2 Android Smartphones an unterschiedlichen Standorten (kein lokales Netzwerk) synchronisieren und eine Browsererweiterung für Chrome und Firefox wäre auch schick. Habe gelesen man kann die Datenbank auch auf einer Cloud wie G Drive speichern (was nicht suuuper sicher sei aber sicher genug solange die Key-Datei nicht dort gespeichert wird.

Empfehlt ihr da KeePass 2 oder KeePass XC und gibt es für die Einrichtung ein empfehlenswertes Tutorial?

Vielen Dank euch im Voraus

 

[bikefanatic]

Hey, ich nutze seit einiger Zeit keepass2 Android am Handy gepaart mit keeweb auf mehreren Rechnern. Alle nutzen die gleiche Datenbank, die bei mir auf einem Google drive liegt.
Das ganze ist halt nur so sicher, wie das Masterpasswort, das die Key Datenbank schützt. Ich kann dir nicht sagen, ob das jetzt ne mega sichere Lösung ist, aber es hat in jedem Fall dazu geführt, dass ich meine Passwörter sicherer wähle und häufiger wechsle.

 

[Malaclypse17]

Habe ein ähnliches Beispiel > kleine Firma, Ausrichtung IT, Passwörter wurden in Word oder Excel gespeichert.
Habe ein wenig recherchiert und getestet, bin dann bei Bitwarden hängen geblieben, bzw. der freien opensource Variante Vaultwarden.
Das ganze läuft nun seit einigen Monaten fehlerfrei über Docker und ist für alle Mitarbeiter über App, Browser Plugin oder direkt Web erreichbar, mit meiner Meinung nach sehr benutzerfreundlichen Oberfläche.

Also würde ich somit mal Bitwarden bzw. Vaultwarden in den Raum werfen, auch weil die Daten zu keinem Zeitpunkt den eigenen Server verlassen müssen und man alles lokal selbst hosten kann.

 

[Daniel D.]

Ich schlage auch Bitwarden vor.

 

[Keylan]

Hat die Firma denn irgend etwas in Richtung eigene IT?

Die Lösung muss ja am ende Supported werden. Wenn dafür niemand zuständig ist und Arbeitszeit dafür einsetzen darf, sollte man ohnehin einen externen Service dafür nutzen.

Wenn es 1-2 Leute gibt die IT Support machen und ggf. auch einen eigenen Server managen wäre Nextcloud ein gutes Tool um generell ein eigenen Firmen-Datenspeicher zu haben.
Darin lassen sich auch diverse Passwortmanager einbinden. Auch KneePass

 

[H3llF15H]

Bitwarden

Das da. Selbst hosten und fertig. Open-Source nennt sich das System Vaultwarden.

 

[michi_z1981]

Bei mir funktioniert Nextcloud mit Kepass auf 2 Handies, 1 Rechner und zwei Notebooks einwandfrei.

 

[Snowi]

Langfristig wäre wohl tatsächlich Bitwarden am besten. Hauptsächlich, weil man dort auch Passwörter für andere freigeben kann, d.h. wenn mal ein Kollege krank ist, hat der Vertreter trotzdem alle aktuellen Passwörter die nötig sind, aber die er sonst eventuell nicht oft benutzt oder gar nicht, prinzipiell aber wüsste wie, wenn es nötig wäre.
Alternativ geht natürlich auch KeePassXC & Co. - wobei ich nicht nachvollziehen kann, was bei KeePassXC großartig fehlen sollte.

 

[Oli_P]

Du kannst auch ne Keepass-Datenbank im Firmennetzwerk ablegen und andere können dann drauf zugreifen von ihren Rechnern. Was Keepass nicht hat, ist eine Benutzerverwaltung.

 

[Snowi]

Du kannst auch ne Keepass-Datenbank im Firmennetzwerk ablegen und andere können dann drauf zugreifen von ihren Rechnern.

Kann man, wir haben uns da aber auch schon KeePass-Files kaputt geschossen, wie auch immer. Lag auf einem SMB-Share, und eines Tages ließ sie sich nicht mehr öffnen. Backups waren da, aber ist trotzdem doof.

 

[Oli_P]

Ich experimentiere eine Weile mit ner Keepass-Datenbank im Firmennetzwerk. Im Moment hab nur ich Zugriff drauf, aber kaputt gegangen ist die mir noch nicht. Okay, wenn mehrere Leute drauf zugreifen und dann auch Schreibrechte haben, können die auch an der Datenbank rumfummeln. Deswegen hatte ich vorhin erwähnt, dass Keepass keine Benutzerverwaltung bietet. Man sollte natürlich wie du schriebst, ein Backup der Passwort-Datenbank haben.

 

[jb_alvarado]

Wir verwenden passbolt, das hat eine Benutzer- und Gruppenverwaltung. Allerdings läuft das bei uns nur firmenintern.

Für Nextcloud gibt es auch Passwortmanager Plugins, wie sicher die sind weiß ich aber nicht.

Wenn es Keepass sein soll, würde ich KeepassXC nehmen. Das gibt es für Mac/Windows/Linux.

 

[BeBur]

Nungut, ich habe ein wenig gelesen und viele Sicherheitsexperten in Blogs raten von den gängigen Online-Passwortmanagern ab, da es unter anderem dort auch schon zu Sicherheitslücken etc. gekommen sei. Hoch gelobt wird die OpenSource Software KeePass.

Ich würde dir zu genau diesen Online-Anbietern raten. Die bieten Support und beantworten Fragen, aber vor allem bieten die Funktionen, die für ein Unternehmen recht wichtig sind, wie z.B. eine Rechte Verwaltung u.ä.
Bitwarden wäre ein Kompromiss da OpenSource, aber LastPass/1Password bieten soweit ich weiß mehr Funktionen.

Mein eigener Kontakt ist jedoch primär privater Natur und da verwende ich KeePassXC (Tut sich nicht viel Mit Keepass 2). Aber Anforderungen privat vs. unternehmen sind dann doch zum Teil abweichend. KeePass ist jetzt auch nicht komplett DAU-sicher, meiner Erfahrung nach und nicht super benutzerfreundlich im Sinne von 'kann jeder spontan benutzen problemfrei'.

 

[1lluminate23]

Bei meiner früheren Firma haben wir auf den Rechnern lokal Keepass benutzt. Also nicht jeder Kollege/in hatte es installiert, sondern nur welche, die mit gewissen Programmen gearbeitet haben um die Zugangspasswörter möglichst umfangreich und kompliziert zu gestalten.

 

[Art Vandelay]

Im alten Job hatten wir auch auf einem Share im lokalen Netz die Keepass Datenbank liegen und alle Clients konnten darauf zugreifen. Cloud war nicht notwendig und wäre auch nicht unser Ding gewesen unser heiliges Buch aller Zugänge irgendwo public abzulegen.

Wenn du es ohne € Budget umsetzen möchtest, dann wird die Kombination aus Google Drive und KeepassXC funktionieren. Privat nutze ich unter Android Keepass2Android und das kann direkt auf Cloud Storages zugreifen.

 

[Bob.Dig]

Einfach ne Excel Spalte verstecken, nur die Vertretung weiß, welche es ist. 😉