26.04.2017

Password-Safe-Anwendungsbeispiel: Zugriff für externe oder temporäre Mitarbeiter

Ziel einer Passwortmanagementlösung ist nicht nur die möglichst sichere Ablage von Passwörtern, sondern natürlich auch deren möglichst sichere Verwendung. Ein sehr sicheres Passwortmanagementtool ergibt keinen Sinn, wenn die Passwörter im Klartext verschickt oder über andere unsichere Wege verteilt werden.

Bei normalen internen Benutzern ist die sichere Verwendung der Passwörter mit Password Safe gegeben. Doch die temporäre Verteilung von Passwörtern beispielsweise an externe Dienstleister oder fachfremde Kollegen erfolgt meist doch über einen unsicheren Weg.

Password Safe bietet hier Mittel und Möglichkeiten, nicht nur die sichere Verteilung von Passwörtern auch an solche Benutzer zu gewährleisten, sondern stellt auch erweiterte Funktionen wie Sichtschutz oder Nutzungsberichte nach Beendigung der Tätigkeit zur Verfügung.

Anlage eines Benutzers

Grundsätzlich sollten auch externe Benutzer oder fachfremde Kollegen in Password Safe angelegt sein. Nur weil ein Benutzer angelegt ist, muss das nicht heißen, dass er automatisch Berechtigungen auf irgendwelche Passwörter erhält. Der Zugriff auf die Password-Safe-Datenbank kann entweder über einen Client mittels Terminalserver oder den Web Access auch ohne Installation gewährt werden.

Im folgenden Beispiel ist der Benutzer „externtest“ angelegt, hat aber keinerlei Rollenzugehörigkeiten.

Über eine explizite Rolle für externe Benutzer sind Aussehen und Verhalten des Clients auch komplett frei definierbar, d.h. hier wären weitere Einschränkungen möglich.

Temporäre Berechtigungen

Um dem Benutzer jetzt Zugriff auf einzelne Datensätze zu geben, sind keine administrativen Rechte nötig. Jeder Mitarbeiter mit „Berechtigen“-Recht auf den Datensatz hat die Möglichkeit, eine zusätzliche Berechtigung zu hinterlegen.

Gerade bei diesem Beispiel sind temporäre Berechtigungen sinnvoll, um zu verhindern, dass der Mitarbeiter länger als nötig Zugriff auf das entsprechende Passwort hat.

Ab jetzt hat der User „externtest“ Lesezugriff auf den Datensatz:

Sichtschutz und Anwendungen

Es kann sein, dass der Benutzer das Passwort zwar verwenden muss (beispielsweise um sich per RDP zu verbinden), das Passwort selbst sollte dem Benutzer aber möglichst nicht bekannt sein.

Auch dies ist in Password Safe möglich, durch die Funktion „Sichtschutz“.

Für den Benutzer ist nun das Passwort nicht mehr aufdeckbar:

Damit das Passwort nun aber verwendbar ist, muss eine Anwendung erstellt sein, auf die der Benutzer auch Rechte benötigt. In diesem Beispiel wäre das eine RDP-Anwendung durch den eingebauten RDP-Manager.

Nachdem die Anwendung mit dem Datensatz verbunden wurde, kann der Benutzer die Anwendung verwenden.

Der Benutzer kommt zu keinem Zeitpunkt in Kontakt mit dem Passwort und kann trotzdem die benötigten Arbeiten am Server durchführen.

Übrigens: Password Safe bietet auch die Möglichkeit, RDP- und SSH-Verbindungen aufzuzeichnen:

So kann man auch die getätigten Arbeiten überprüfen, ohne dem Benutzer permanent über die Schulter zu sehen.

Nutzungsbericht

Nach Beendigung der Tätigkeit ist es sicher sinnvoll, Informationen zu erhalten, welche Passwörter der Benutzer im Zugriff (oder aufgedeckt) hatte, um zu entscheiden, welche Zugänge ggf. geändert werden müssen.

Auch dies ist dank des umfangreichen Loggings von Password Safe möglich:

Weitere Informationen

Lesen Sie den ersten Teil unserer Blogreihe zum Thema Passwortmanagement mit Password Safe: Passwortmanagement mit Password Safe – die Komponenten

Im zweiten Teil erklären wir die unterschiedlichen Möglichkeiten der Active-Directory-Integration: Active-Directory-Integration in Password Safe

Andreas Faltin

Unsere Blogs