[linux-l] Passwort-Mamager im Professionellen Umfeld
Olaf Radicke
briefkasten at olaf-radicke.de
So Aug 26 17:02:17 CEST 2012
Volker Grabsch <vog at notjusthosting.com> hat am 26. August 2012 um 13:04
geschrieben:
> Olaf Radicke schrieb:
> > Hat jemand eine Passwort-Manager-Software im Einsatz, die überzeugt? Sollte
> > Passwörter von Kuntenzugängen zentral speichern und multi-user-fähig sein.
> > Also
> > ACLs unterstützen.
> Ich bin in dieser Hinsicht eher ein Fan von asymmetrischer
> Verschlüsselung. Also bei SSH-Zugängen ein SSH-Key, bei
> HTTPS-Zugängen via Client-Zertifikat. Auch PostgreSQL
> unterstützt SSL-Client-Zertifikate, soweit ich weiß.
> Und selbst neuere SSH-Server können nicht nur mit OpenSSH-
> Keys, sondern auch mit SSL-Client-Zertifikaten arbeiten.
>
> Damit sind alle großen Felder abgedeckt (Shell/File-, Web-
> und DB-Zugriff). Asymmetrische Verschlüsselung ist somit
> so etwas wie ein Single-Sign-On ohne externen Single-Point-
> of-Failure, und SSL-Client-Zertifikate sind ein geeigneter
> Standard dafür.
Der Kunde gibt vor wie auf das System gelang wird. Und da ist alles bei:
* html mit und ohne ssl
* Javascript GUIs
* Java-Applets
* Citix
* ssh
* SOCKS
* usb-Tokens
> Leider macht das kaum einer. [1] Also muss man sich
> mit altertümlichen Kram wie hunderten zweckspezifischen
> Passwörtern herumschlagen. Doch selbst wenn man diesen
> Missstand akzeptiert, gibt es andere Lösungen als
> Passwortmanager.
>
> Zum Beispiel ist der aufkommende "Browser-ID"-Standard
> sehr vielversprechend. Er ist Teil des "Mozilla Persona"-
> Projektes. [2] as ist dann aber erstmal wieder Web-spezifisch,
> während SSL-Client-Zertifikate auch (theoretisch) für SSH
> und Datenbanken geeignet sind.
Kunde ist König. Der sagt wo es lang geht...
> [1] Und noch schlimmer: Sie nehmen nicht einmal ordentliche
> Standards wie HTTP-Digest-Auth, sondern dümpeln stattdessen
> noch mit handgestricktem Cookie-Login und ähnlichem Quark
> herum, was dann Session-IDs benötigt. Diese haben de-facto
> den Status von Klartext-Passwörten (zumindest temporär),
Wenn ich nicht irre werden bei https auch die Cookie-Übertragung verschlüsselt.
Gruß
Olaf
Mehr Informationen über die Mailingliste linux-l