ComputerBase Menü
Aktuelles

Passwortmanager für Unternehmen

D

DatAres

Ensign
Registriert
März 2017
Beiträge
202
Moin,

wir suchen aktuell eine vernünftige zentrale Lösung zur Passwortverwaltung für eine mittlere dreistellige Anzahl an Usern. Bisher macht da jede Abteilung leider etwas ihr eigenes Ding.

Meine Ideen (keine festen Vorgaben):
  • LDAP-Authentifizierung: Wäre denke ich am Nutzerfreundlichsten und für die IT am besten zu supporten, falls ein DAU sein Passwort vergisst
  • Berechtigungsmanagement: Falls man beispielsweise neuen Mitarbeitern in der Probezeit oder Azubis nur bestimmte Einträge zur Verfügung stellen möchte
  • Zentralisierte Installation, statt 50 KeePass Portables
  • Selfhosted und mit einsehbarem Quellcode: Zur Vorbeugung von so gewissen Lastpass-Vorfällen
  • Browser-Addons wären bestimmt auch noch ganz nett
Wir haben uns natürlich auch schon etwas umgesehen und sind auf Lösungen wie Passwork oder Password Depot gestoßen, allerdings sind mir konkrete Erfahrungsberichte etwas lieber und vielleicht haben wir auch Möglichkeiten übersehen. Bei manchen Produkten bin ich mir auch nicht ganz sicher, wie diese auf so eine Useranzahl skalieren.

Danke im Voraus ✌️
 
Servus,
Bitwarden hat einen guten Ruf und ist sogar quelloffen:
https://bitwarden.com/pricing

Hier siehst du die Funktionen für Privat- und Unternehmenskunden gegenübergestellt.

Nachtrag:
Eventuell ginge auch der Fork Vaultwarden. Den kann man auch selbst bereitstellen, aber da sind alle Bezahlfunktionen gratis dabei.
 
  • Gefällt mir
Reaktionen: DatAres
LDAP-Auth.. würde ich mir nochmal gut überlegen, falls mal das AD kompromittiert ist, sind alle hinterlegten PW kompromittiert. Ich würde eher auf Windows Hello setzen.

Eine selbstgehostete Vaultwarden(gratis)/Bitwarden Instanz wäre meine Wahl und sollte soweit alle wichtigen bzw. geforderten Funktionen unterstützen.
 
  • Gefällt mir
Reaktionen: Hellstorm und GTrash81
Bitwarden oder den Fork Vaultwarden.
Lässt sich selbst hosten (z. B. Per Docker).
 
Eine zentrale Lösung bettelt ja regelrecht darum angegriffen zu werden. Wenn die ausfällt ist es auch eher schlecht. Passwörter, die nicht jeder braucht, zentral im System zu haben und durch Berechtigungen geheimzuhalten halte ich auch für eine eher schlechte Idee.

In der Regel ist es zweckdienlicher die Komplixität gering zu halten und die Teams machen zu lassen was für sie am besten ist, aber firmenweit Basisvorgaben zu machen. Wenn z.B. jedes Team eine eigene Keepass DB hat, dann ist meistens schon viel gewonnen.
 
Khorneflakes schrieb:
Wenn z.B. jedes Team eine eigene Keepass DB hat, dann ist meistens schon viel gewonnen.
Zum Vergrößern anklicken....
Verstehe das Argument, aber fängt man sich ransomware ein und die keepass DB wird sicher auf einen Share liegen, dann ist damit auch nichts gewonnen.

Was ich damit sagen will, alle genannten Lösungen haben vor und Nachteile.

Vaultwarden empfand ich bisher am besten.
 
eigsi124 schrieb:
LDAP-Auth.. würde ich mir nochmal gut überlegen, falls mal das AD kompromittiert ist, sind alle hinterlegten PW kompromittiert. Ich würde eher auf Windows Hello setzen.
Zum Vergrößern anklicken....
Grundsätzlich habe ich mir darüber auch Gedanken gemacht, aber wenn das AD gefallen ist, gehe ich mal von der Kompromittierung aller Daten aus bzw. dass jemand mit weitreichenden Rechten auch irgendwo Keylogger verteilen könnte.

mastertier79 schrieb:
Keepass2
Zum Vergrößern anklicken....
Inwiefern ist das mit dem Berechtigungsmanagement kompatibel? KeePass nutze ich privat auch, aber leider hat das so gut wie keine Features für Zusammenarbeit. Entweder man sieht alles oder nichts.

50 verschiedene KeePass-Portables zu Patchen macht selbst über ein Patchmanagement denke ich nur bedingt Spaß. Sollte jeder noch persönliche Passwörter aufbewahren wollen, ggf. noch ein Vielfaches mehr.
 
Ich würde dir Bitwarden empfehlen.

Wir nutzen das im Unternehmen auch, allerdings nur mit einer niedrigen zweistelligen Benutzerzahl und ohne AD-/LDAP-Anbindung. War für uns auch nicht Teil der Anforderung, da der User ohnehin über den Sync nur eingeladen wird und dann den normalen Onboarding-Prozess durchläuft, bei dem dann das Master-Passwort für den jew. User festgelegt wird. Mit Enterprise SSO kann ein separates Master-Passwort wegfallen, wenn ihr Trusted Devices oder den Key Connector nutzt. Zu Beidem habe ich dir allerdings keine Erfahrungsberichte.

Vaultwarden als PoC ist OK, vom Produktivbetrieb würde ich abraten. Für eine mittlere dreistellige Anzahl an Benutzern willst du im Zweifelsfall auf einen Support zurückgreifen können.

Browser Add-Ins gibt‘s für alle gängigen. Wenn der Server mal muckt, haben die Clients und Add-Ins auf synchronisierte Inhalte noch Zugriff, Änderungen sind aber erst wieder möglich, wenn der Server wieder läuft. Kann natürlich auch unschön sein, bspw. für gestohlene oder verloren gegangene Mobilgeräte…

Wir haben unseren Server in einem isolierten Netz mit stark reglementierten ein- und ausgehendem Zugriffen. Zugriff geht bspw. bei uns nur aus dem LAN und nur wenn der Client keine hohen oder kritischen Lücken aufweist.

Egal welche Lösung es wird, hol dir das Commitment der Entscheidungsträger für eine zentralisierte Lösung vorher ab. Sonst kämpfst du gegen Windmühlen… Wenn das Commitment da ist, soll die IT möglichst alle anderen Möglichkeiten wie Browser-Passwortmanager unterbinden.
 
  • Gefällt mir
Reaktionen: eigsi124 und DatAres
DatAres schrieb:
Grundsätzlich habe ich mir darüber auch Gedanken gemacht, aber wenn das AD gefallen ist, gehe ich mal von der Kompromittierung aller Daten aus bzw. dass jemand mit weitreichenden Rechten auch irgendwo Keylogger verteilen könnte.
Zum Vergrößern anklicken....
Wenn du einen Passwortmanager + Windows Hello verwendest, gibt man Passwörter nie & auch das Masterpasswort kaum mal ein, d.h. so leicht hat es ein Angreifer mal nicht.
 
Du könntest mal einen Blick auf Netwrix Password Secure werfen. - Das wäre eine "richtige" Enterprise-Lösung.
 
DatAres schrieb:
Inwiefern ist das mit dem Berechtigungsmanagement kompatibel? KeePass nutze ich privat auch, aber leider hat das so gut wie keine Features für Zusammenarbeit. Entweder man sieht alles oder nichts.

50 verschiedene KeePass-Portables zu Patchen macht selbst über ein Patchmanagement denke ich nur bedingt Spaß. Sollte jeder noch persönliche Passwörter aufbewahren wollen, ggf. noch ein Vielfaches mehr.
Zum Vergrößern anklicken....
Also wenn man auf KeePass setzen will, dann muss es eine Datenbank für den allgemeinen Zugriff geben (bzw. mehrere, wenns für unterschiedliche Abteilungen sein soll) und für persönliche Zugriffsdaten müssen die User dann eine separate Datenbank nutzen. Man kann ohne weiteres 2 oder mehr Datenbanken gleichtzeitig in KeePass laden. Ich denke aber auch, wenns sich um Unternehmen mit 3-stelliger Zahl Benutzern geht, ist vielleicht eine andere Lösung besser (die dann auch vielleicht was kostet). Berechtigungen verwalten mit KeePass geht nicht, aber das weisst du ja schon. Gabs da nicht so einen Anbieter mit einer Password-Lösung, welche kompatibel mit Keepass-Datenbanken ist, aber dann auch noch Berechtigungsverwaltung bietet? Hab den Namen nicht im Kopf, aber ich weiss nur dass das was kostete.
Bei uns im Unternehmen (3-stellige Anzahl Mitarbeiter) wird den Leuten auch KeePass 2 angeboten und der ITler installiert es den Interessierten. Aber da machen die Leute dann alle ihre eigenen Datenbanken. Das zu zentralisieren stell ich mir ziemlich aufwendig vor mit KeePass 2 und das dann mit ein paar Hundert Leuten :) Für den persönlichen Gebrauch aber ist das Programm top. Vielleicht kann man ein paar Leute damit versorgen und ein paar Datenbanken ins Firmen-Netzwerk ablegen. Aber bei soviel Leuten? Theoretisch unmöglich ist das aber nicht und dafür kostenlos. Aber der Arbeitsaufwand ist dann höher.
 
Zuletzt bearbeitet:
RedRain schrieb:
Du könntest mal einen Blick auf Netwrix Password Secure werfen. - Das wäre eine "richtige" Enterprise-Lösung.
Zum Vergrößern anklicken....
Und Bitwarden Enterprise ist keine "richtige" Enterprise-Lösung oder wie ist das zu verstehen? 😜

KeePass finde ich halt im Geschäftsumfeld leider etwas unhandlich. Kommt ein neuer Mitarbeiter in die IT-Abteilung, kann er ohne Zugriff auf die Passwörter wenig produktiv am System arbeiten. Ich will einem neuen Mitarbeiter in der Probezeit aber auch nicht zwingend alle Passwörter zu den Kronjuwelen in dem Unternehmen geben. Das wieder in unterschiedlichen Datenbanken zu speichern, macht es für den Rest der IT-Abteilung aber extra umständlich, zumal man vorher ja manchmal gar nicht weiß, an welchem System aktuell was gemacht werden muss. Dass die ganzen bekannten Kennwörter nach dem Ausscheiden eines Mitarbeiters eigentlich alle geändert werden müssen, macht's nicht besser.

Aktuell wären das so meine Kandidaten, um sie mal näher anzuschauen:
  • Bitwarden
  • Passbolt
  • Passwork
Wobei ich mir nicht ganz sicher bin, wie granular man bei Bitwarden Berechtigungen setzen kann. Passbolt wirbt zumindest mit "Granular sharing" als Vorteil gegenüber Bitwarden.
 
@cookiie Das sind aber eher verwaltungstechnische Berechtigungen, wie ich das verstehe. Ich kann jetzt nicht sagen, Eintrag X aus Vault Y soll Benutzer Z sehen oder? Die Berechtigung gilt dann immer für eine ganze Gruppe?
 
Ich verwende BW lediglich privat und in der Familie. Daher kann ich nur für den "kleinen" Regelsatz sprechen.

Du erstellst eine Organisation in welche du Mitglieder einlädst. Einträge, die geteilt werden sollen, gehören nicht Individuen aber der Organisation.
Du kannst dann Sammlungen erstellen, zu denen du Einträge und Mitglieder hinzufügst.

Ob du nun für jedes Mitglied eine eigene Sammlung erstellst und damit kontrollierst, was die Person sieht bzw. "funktionale" Sammlungen erstellst für bestimmte Benutzerkreise, das ist dir überlassen.

Ein Eintrag kann auch in mehreren Sammlungen vorkommen; ebenso können Nutzer mehreren Sammlungen zugewiesen werden.
 
DatAres schrieb:
Meine Ideen (keine festen Vorgaben):
Zum Vergrößern anklicken....
Wenn ihr nicht gleich einen Vorteil im Einsatz der großen Lösung (RDM) sieht, würde ich euch schlichtweg den Devolutions Server empfehlen.
1730833038936.png

https://devolutions.net/de/server/
 
Ergänzend zum Link von @cookiie - was @DatAres meiner Meinung nach sucht, ist das Sharing bzw. Collections.

Zu Passbolt kann ich abseits dessen, dass ich den Produktnamen schonmal gehört habe, nichts sagen. "Granular Sharing" geht mit Bitwarden sicher auch, wenn es auch vielleicht mehr Aufwand ist.


Ein Beispiel für Collections, angelehnt an unsere Struktur:

  • Breakglass -> für die "Kronjuwelen" und Disaster Recovery Accounts
  • Geschäftsführung -> Bank- & Unternehmensdaten
  • Technik -> hauptsächlich administrative Zugänge für Cloud-Plattformen, div. Shared-Accounts für bspw. Hersteller-Support
  • Auszubildende Technik -> hauptsächlich geteilte Zugriffe für Lernportale
  • Backoffice, Ein- und Verkauf -> Log-Ins zu div. Online Shops
  • Auszubildende Backoffice

Nun haben wir als beispielhafte "Items"
  • Log-In für Webshop 1, welcher eine einfache GUI und keine komplizierten Produktbezeichnungen hat
  • Log-In für Webshop 2, welcher auch eine einfache GUI hat, aber die Produktbezeichnung sind komplizierter und ein Zeichen Unterschied kann ein komplett anderes Produkt bedeuten
  • die "kleine Kreditkate"

Jedes davon kann in mehreren Sammlungen enthalten sein. Somit könnte z.B. das Sharing folgendermaßen aussehen:

Der Log-In für Webshop 1 landet in den Sammlungen "Backoffice, Ein- und Verkauf" und "Auszubildende Backoffice".

Aufgrund der komplizierten Natur der Produktbezeichnungen in Webshop 2 wird der Log-In für "Backoffice, Ein- und Verkauf" und "Technik" freigeschalten. So kann die "Technik" allenfalls bei der Produktauswahl unterstützen und den Warenkorb absegnen, bevor die Bestellung rausgeht.

Die "kleine Kreditkarte" bekommt die "Geschäftsführung" und "Backoffice, Ein- und Verkauf" zugeteilt.

Zu den Collections gibt es jew. eine namentlich idente Gruppe, welche zum Zuteilen der Berechtigungen genutzt wird. Jede Gruppe kann wiederum Zugriff auf mehrere Collections erhalten.

Auf die Gruppe "Auszubildende" ist die jeweils "ausgewachsene" Gruppe mit "Can manage" berechtigt, die Auszubildenden selbst mit "Can view, except passwords".
Somit können sie Zugangsdaten per Auto-Fill ausfüllen lassen, aber nicht aus dem Browser Add-In oder Client App herauskopieren.
Das ist natürlich mehr Gimmick, als ernsthaftes Sicherheits-Feature, da sich das leicht umgehen lässt - aber jede Hürde hilft ein bisschen :-)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

killerkappi
  • Frage Frage
Suche Passwortmanager für Windows und Android
2
Antworten
35
Aufrufe
1.083
BeBur
B
F
Passwortmanager für meine Zwecke gesucht
2
Antworten
26
Aufrufe
1.212
omavoss
O
J
Cloud Passwortmanager für Familiäres Umfeld
Antworten
2
Aufrufe
655
Tech-Dino
Tech-Dino
DJKno
Accountverwaltung für Unternehmen gesucht - OpenSource
Antworten
13
Aufrufe
1.079
DJKno
DJKno
M
Passwortmanager für Teams mit Berechtigungsebene
Antworten
15
Aufrufe
1.380
LORDSVN
L
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz