[linux-l] Passwort-Mamager im Professionellen Umfeld

Volker Grabsch vog at notjusthosting.com
So Aug 26 13:04:57 CEST 2012 

Olaf Radicke schrieb:
> Hat jemand eine Passwort-Manager-Software im Einsatz, die überzeugt? Sollte
> Passwörter von Kuntenzugängen zentral speichern und multi-user-fähig sein. Also
> ACLs unterstützen.

Keine direkte Antwort auf deine Frage, aber:

Ich bin in dieser Hinsicht eher ein Fan von asymmetrischer
Verschlüsselung. Also bei SSH-Zugängen ein SSH-Key, bei
HTTPS-Zugängen via Client-Zertifikat. Auch PostgreSQL
unterstützt SSL-Client-Zertifikate, soweit ich weiß.
Und selbst neuere SSH-Server können nicht nur mit OpenSSH-
Keys, sondern auch mit SSL-Client-Zertifikaten arbeiten.

Damit sind alle großen Felder abgedeckt (Shell/File-, Web-
und DB-Zugriff). Asymmetrische Verschlüsselung ist somit
so etwas wie ein Single-Sign-On ohne externen Single-Point-
of-Failure, und SSL-Client-Zertifikate sind ein geeigneter
Standard dafür.

Leider macht das kaum einer. [1]  Also muss man sich
mit altertümlichen Kram wie hunderten zweckspezifischen
Passwörtern herumschlagen. Doch selbst wenn man diesen
Missstand akzeptiert, gibt es andere Lösungen als
Passwortmanager.

Zum Beispiel ist der aufkommende "Browser-ID"-Standard
sehr vielversprechend. Er ist Teil des "Mozilla Persona"-
Projektes. [2]  as ist dann aber erstmal wieder Web-spezifisch,
während SSL-Client-Zertifikate auch (theoretisch) für SSH
und Datenbanken geeignet sind.


Gruß
Volker


[1] Und noch schlimmer: Sie nehmen nicht einmal ordentliche
    Standards wie HTTP-Digest-Auth, sondern dümpeln stattdessen
    noch mit handgestricktem Cookie-Login und ähnlichem Quark
    herum, was dann Session-IDs benötigt. Diese haben de-facto
    den Status von Klartext-Passwörten (zumindest temporär),
    werden aber viel schwächer geschützt. Naja, und das öffnet
    dann dem Missbrauch Tür und Tor. *sigh*  Obwohl die Browser
    mit ihrem fehlenden Support für HTTP-Auth-Logout ihren Teil
    dazu beisteuern. Wäre HTTP-Auth komfortabler und designtechnisch
    schicker, würde es diesen selbstgestrickten Kram schnell gar
    nicht mehr geben.

[2] https://www.mozilla.org/persona/

-- 
Volker Grabsch
---<<(())>>---

Mehr Informationen über die Mailingliste linux-l