15.05.2017

Password Safe – Password Reset

Wir haben bereits die Neuerungen der Version 8.1 von Password Safe vorgestellt. Bisher nicht auf die Liste geschafft hat es der Password Reset. Mithilfe dieser Funktion kann man sicherstellen, dass Passwörter, die nicht mehr den (definierbaren) Sicherheitsanforderungen genügen, im entsprechenden Password-Safe-Datensatz geändert werden. Außerdem, und das ist das Interessante, geschieht dies auch auf externen Systemen, auf denen die Accounts zum Einsatz kommen.

Dienstkonten

Dienstkonten, oder auch Service Accounts, sind sicherheitstechnisch ein leidiges Thema in der IT. Sie werden häufig für Installationen an- und danach schnell ad acta gelegt, denn sie werden nicht von Mitarbeitern verwendet, um sich an Systemen anzumelden.

Da sie in Dokumentationen auch gerne stiefmütterlich behandelt werden, ist es nicht unüblich, dass die Passwörter dieser Konten ein biblisches Alter erreichen und häufig nicht mehr schlüssig nachvollzogen werden kann, auf welchen Systemen sie zum Einsatz kommen, was eine Änderung des Passworts schwierig bis unmöglich macht.

Wie Password Reset an dieser Stelle eine potente Möglichkeit zur Umgehung dieses Problems darstellt, soll im Folgenden anhand eines Kontos eines Windows-Benutzers dargestellt werden.

Password Reset – Beispiel

Auf einem Server existiert ein Benutzerkonto pws_test. Dieses wurde als Datensatz in Password Safe abgelegt:

Für den Password Reset wird definiert, dass sobald sich ein Mitarbeiter das entsprechende Passwort des Datensatzes anzeigen lässt, dieses nicht mehr als sicher eingestuft werden kann und somit geändert wird (1). Dies passiert nach einem festzulegenden Zeitraum (hier eine Minute).

Es wird weiterhin ein Password-Safe-Benutzer (2) eingetragen, in dessen Kontext alle Aktionen des Password Reset ausgeführt werden (wichtig für Logbucheinträge).

Anschließend trägt man unter Systeme die Art des zu ändernden Passworts ein (hier Windows-Benutzer) und natürlich den betroffenen Server. Außerdem wird festgelegt, mit welchem Benutzer die Änderungen auf dem Server vorgenommen werden; dieser benötigt natürlich entsprechende Rechte (3).

Als Letztes definiert man den oben erwähnten Datensatz, der die Login-Daten des Benutzers enthält, die entsprechend geändert werden sollen (4).

Tritt der Fall ein, dass sich jemand das Passwort des Datensatzes PWS_Reset anzeigen lässt, so wird der Password Reset aktiv und ändert eine Minute später das Passwort in Password Safe und auf dem Server. Dies wird auch in den Logbucheinträgen vermerkt.

So wird sichergestellt, dass die Integrität der Daten bei voller Funktionalität beibehalten wird.

Weitere Einsatzmöglichkeiten

Password Reset ist nicht auf die Verwendung bei Windows-Benutzern beschränkt, sondern beherrscht auch andere Szenarien:

Die bereits angesprochenen Dienstkonten sind ebenso wie systemübergreifende Active-Directory-Benutzer ein äußerst sinnvolles Einsatzgebiet. Außerdem hat man die Möglichkeit, selbsterstelle Skripte (z.B. PowerShell) einzusetzen.

Auch gibt es für den Auslöser des Password Reset mehrere Möglichkeiten:

Abgesehen von der Variante des aufgedeckten Passworts kann man auch ein Passwort, das ein bestimmtes Alter erreicht hat, oder eines, das als abgelaufen gilt (Datensätze in Password Safe haben einen Eintrag gültig bis), als Auslöser setzen.

Verbesserung der Sicherheit und Bedienung

Password Reset dient durch die regelmäßige Verjüngung von Passwörtern der Sicherheit der IT-Umgebung und nimmt durch seine automatische Vorgehensweise den Menschen als potenzielle Fehlerquelle aus dem Spiel.

Außerdem ist auf diese Weise immer transparent, auf welchen Systemen ein solches Konto eingesetzt wird, und es fällt dementsprechend leicht, benötigte Änderungen vorzunehmen.

Julian Wening
Consultant

Unsere Blogs