[linux-l] Passwort-Mamager im Professionellen Umfeld

Olaf Radicke briefkasten at olaf-radicke.de
So Aug 26 17:02:17 CEST 2012



Volker Grabsch <vog at notjusthosting.com> hat am 26. August 2012 um 13:04
geschrieben:
> Olaf Radicke schrieb:
> > Hat jemand eine Passwort-Manager-Software im Einsatz, die überzeugt? Sollte
> > Passwörter von Kuntenzugängen zentral speichern und multi-user-fähig sein.
> > Also
> > ACLs unterstützen.

> Ich bin in dieser Hinsicht eher ein Fan von asymmetrischer
> Verschlüsselung. Also bei SSH-Zugängen ein SSH-Key, bei
> HTTPS-Zugängen via Client-Zertifikat. Auch PostgreSQL
> unterstützt SSL-Client-Zertifikate, soweit ich weiß.
> Und selbst neuere SSH-Server können nicht nur mit OpenSSH-
> Keys, sondern auch mit SSL-Client-Zertifikaten arbeiten.
>
> Damit sind alle großen Felder abgedeckt (Shell/File-, Web-
> und DB-Zugriff). Asymmetrische Verschlüsselung ist somit
> so etwas wie ein Single-Sign-On ohne externen Single-Point-
> of-Failure, und SSL-Client-Zertifikate sind ein geeigneter
> Standard dafür.

Der Kunde gibt vor wie auf das System gelang wird. Und da ist alles bei:

* html mit und ohne ssl
* Javascript GUIs
* Java-Applets
* Citix
* ssh
* SOCKS
* usb-Tokens

> Leider macht das kaum einer. [1]  Also muss man sich
> mit altertümlichen Kram wie hunderten zweckspezifischen
> Passwörtern herumschlagen. Doch selbst wenn man diesen
> Missstand akzeptiert, gibt es andere Lösungen als
> Passwortmanager.
>
> Zum Beispiel ist der aufkommende "Browser-ID"-Standard
> sehr vielversprechend. Er ist Teil des "Mozilla Persona"-
> Projektes. [2]  as ist dann aber erstmal wieder Web-spezifisch,
> während SSL-Client-Zertifikate auch (theoretisch) für SSH
> und Datenbanken geeignet sind.

Kunde ist König. Der sagt wo es lang geht...

> [1] Und noch schlimmer: Sie nehmen nicht einmal ordentliche
>     Standards wie HTTP-Digest-Auth, sondern dümpeln stattdessen
>     noch mit handgestricktem Cookie-Login und ähnlichem Quark
>     herum, was dann Session-IDs benötigt. Diese haben de-facto
>     den Status von Klartext-Passwörten (zumindest temporär),

Wenn ich nicht irre werden bei https auch die Cookie-Übertragung verschlüsselt.

Gruß

Olaf



Mehr Informationen über die Mailingliste linux-l