MATESO Password Safe, mehr als ein einfacher Passwortmanager

Pasquale Moritz  /  28.07.22  /  IT Security

 

Die meisten Administratoren mussten sich irgendwann bereits mit dem Thema Passwörter beschäftigen. Das bietet jede Menge unterschiedliche und individuelle Aspekte, die es ganz besonders in der heutigen Sicherheitslage zu berücksichtigen gilt.

Wer kann sich schon etliche verschiedene Passwörter merken? Regelmäßig sperren sich Kollegen aus Ihren Accounts aus, weil sie Ihre Passwörter vergessen haben. Wie werden eigentlich unternehmensweite Zugangsdaten verwaltet? Und was passiert mit den Zugangsdaten des Kollegen, der das Unternehmen gerade verlassen hat?

Dies sind nur ein paar der Fragen, auf die eine gute Passwort-Verwaltungslösung die entsprechende Antwort bieten sollte.

Bei der Vielzahl an verfügbaren Freeware-Produkten auf dem Markt handelt es sich meist um einfache Anwendungen für den einzelnen Benutzer. Viele dieser Lösungen sind, sofern man den einzelnen Benutzer betrachtet, solide Lösungen, bieten aber selten gute Kollaborationsmöglichkeiten.

Der MATESO Password Safe hingegen ist von Anfang an auf Kollaboration ausgelegt, verwendet eine serverbasierte Infrastruktur und bietet verschiedenen Clients für die Endbenutzer. Die Daten liegen somit niemals lokal auf dem System des Anwenders, sondern werden auf allerhöchstem Verschlüsselungsniveau in einer SQL-Datenbank abgelegt und zentral verwaltet.

Hohes Maß an Sicherheit

Der wichtigste Faktor bei der Entscheidung für einen Passwortmanager ist die Sicherheit der hinterlegten Daten. Ein Server lässt sich generell besser gegen Angriffe von außen sichern als viele verteilte kritische Datenquellen. Es lassen sich zentrale Backups organisieren und auch der Ausbau auf ein „Hochverfügbarkeits“-Szenario ist eine gängige Option.

Bei MATESO Password Safe können zwei Anwendungsserver mit einem Loadbalancer und ein SQL-Server auf einer Clusterinfrastruktur eingesetzt werden. Der Datenaustausch zwischen den Parteien erfolgt grundsätzlich verschlüsselt. So gestalten sich infrastrukturelle Angriffe, um Passwörter abzufangen, als durchaus schwierig. Das Auslesen und die Übertragung von Passwörtern erfolgen nur auf explizite Anforderung durch den Client, somit sind auch diese besonders geschützt.

Neben der infrastrukturellen Sicherheit gibt es auch Sicherheitsmechanismen für die Einträge selbst. So werden Passwörter i. d. R. erst einmal in einen Papierkorb verschoben, bevor sie endgültig gelöscht werden. Für jeden Eintrag steht eine Änderungshistorie und auch ein Logbuch zur Verfügung. So lassen sich versehentliche Löschung oder Änderung rückgängig machen und Manipulationen aufdecken.

mateso-password-safe-1

Abbildung 1: Serverinfrastruktur einfach

Grundlegende Funktionalitäten

Das Anlegen eines Passworts im MATESO Password Safe ist denkbar einfach. Hierbei kann auf eines von 13 Standardformularen (z. B. Passwort, Internetpasswort, WLAN, Kreditkarte) zurückgegriffen werden, um den Datensatz genau mit den Informationen zu versorgen, die benötigt werden.

mateso-password-safe-2

Abbildung 2: Standardformular Internetpasswort

Handelt es sich um Benutzerdaten zu einer aufgerufenen Website, können die soeben verwendeten Daten komfortabel über ein Browserplugin erfasst und mit wenigen Klicks im WebClient in der Datenbank gespeichert werden.

Neben Passwörtern lassen sich unter anderem auch Dokumente in der Datenbank ablegen, welche genau wie die Passwörter sicher gespeichert und verwendet werden können.

Außerdem lassen sich Aufrufe für Anwendungen der Typen SSO (für den SSO-Client), RDP, SSH, Web und SAML konfigurieren. Diese Konfigurationen kombiniert mit den entsprechenden Passwörtern ermöglichen einen direkten Aufruf und Login in die Anwendungen. SSH- und RDP-Aufrufe lassen sich auch, wenn gewollt, als Tab in Password Safe anzeigen. Die Möglichkeit, 3rd-Party-Anwendungen aufzurufen, ist allerdings dem nativen „FullClient“ vorbehalten und benötigt auf dem System etwas mehr als die Standardrechte.

Welche Zugriffsmöglichkeiten bietet Password Safe

Dem Anwender stehen mehrere Optionen zur Verfügung, mit dem Password Safe Server zu interagieren.

Zum einen bietet der Password Safe FullClient als native Anwendung auf dem lokalen Windows-Arbeitsplatz den bei weitem größten Funktionsumfang. Abhängig von den verfügbaren Berechtigungen des angemeldeten Benutzers findet neben der einfachen Verwendung von Password Safe in diesem auch die gesamte Konfiguration, wie bspw. das Umsetzen von Berechtigungskonzepten oder Änderungen in der Organisationstruktur, statt. Daher ist der FullClient erfahrungsgemäß genau der richtige Client für die interne IT-Abteilung beziehungsweise die Administratoren.

FullClient von MATESO Password Safe

Abbildung 3: FullClient

Für den „einfachen“ Anwender bietet MATESO den deutlich schlankeren „LightClient“ an. Der LightClient ist eine stark reduzierte Version des FullClient mit einer einfachen und komfortablen Bedienoberfläche und bietet die grundlegenden Funktionen wie das Anlegen, Bearbeiten und Aufrufen von Zugangsdaten.

Darstellung des LightClient im WebClient

Abbildung 4: Darstellung des LightClient im WebClient

Beide Client-Varianten können auch in Form eines bequemen WebClient bereitgestellt werden. Die Verwendung des WebClient erspart bspw. der Administration, sich mit Deployments und Updates zu beschäftigen, da der WebClient über einen zentralen Server bereitgestellt, und weder spezielle Software noch Berechtigungen auf den Endpoints benötigt.

Der Funktionsumfang des WebClients entspricht nicht vollumfänglich dem des FullClient, ist aber für 95 % der Anwender völlig ausreichend.

Eine unterstützende Funktion bietet ein spezielles Browser Plugin, welches für alle gängigen Browser (außer Opera) zur Verfügung steht. Hiermit können bspw. Passwörter für Websites automatisch abgerufen, bzw. die entsprechenden Felder auf der Website ausgefüllt und ein Login durchgeführt werden. Somit ist kein Speichern von Passwörtern im Browser mehr notwendig und man kann der IT-Sicherheit ein weiteres Stück gerecht werden, ohne Komfort einzubüßen.

Darüber hinaus kann der Login des Benutzers am Password Safe durch einen 2. Faktor gesichert werden. Hierzu werden verschiedenen Option wie bspw. die Verwendung einer Authenticator App, Yubico OTP, SafeNet OTP oder RSA Secure ID unterstützt.

Kollaboration

Im Password Safe lässt sich zwecks Kollaboration die gesamte Unternehmensstruktur abbilden. Diese kann sowohl manuell, als auch beispielsweise über einen Active-Directory-Import entsprechend erstellt werden. In dieser Struktur lassen sich auf den unterschiedlichen Ebenen Passwörter und Dokumente zur gemeinsamen Verwendung ablegen. So ist es möglich, Zugangsdaten, welche von einer ganzen Abteilung verwendet werden sollen, genau diesen Benutzern zugänglich zu machen. Über die rollenbasierte Zugriffskontrolle (RBAC) lässt sich genaustens definieren, welche Rollen ein Objekt lesen, schreiben oder berechtigen dürfen.

Die Sicherheit für diese Art von Zusammenarbeit wird durch zwei verschiedene Rechtestrukturen sichergestellt.

Administrativ wird die generelle Sicherheit durch ein 3-stufiges Benutzerberechtigungskonzept umgesetzt. Hier gibt es zum einen globale Benutzerrechte, die für alle Benutzer gelten. Hier finden sich Berechtigungen wie „kann neue Passwörter anlegen“ oder „kann neue Password-Bilder hochladen“. Auch welche der Module (Tabs in dem Client) angezeigt werden sollen, lässt sich hier definieren.

Diese globalen Benutzerrechte können durch Rollen (Gruppen) erweitert bzw. weiter eingeschränkt werden. So lässt sich zum Beispiel eine Rolle bilden, deren Mitglieder berechtigt sind, Datensätze zu verwenden, aber keine neuen Datensätze anzulegen.

Die zweite Rechtestruktur ist das Zugriffsberechtigungssystem, welches die Rechte auf der Organisationsstruktur und den beinhalteten Datensätzen steuert. Innerhalb dieser Struktur werden die Berechtigungen idealerweise über Rollen gesteuert. Darüber lassen sich anschließend die unterschiedlichen Berechtigungen wie Lesen, Schreiben, Löschen usw. realisieren.

Ergänzend zu den Passwörtern innerhalb der Organisationsstruktur bietet der Password Safe den Anwendern die Möglichkeit, persönliche Passwörter zu hinterlegen. Diese persönlichen Passwörter werden ebenfalls in der Datenbank gespeichert, allerdings hat kein anderer Benutzer Zugriff auf diesen persönlichen Bereich. Bei Bedarf kann der Anwender für Szenarien wie eine Urlaubsvertretung diesen Bereich oder einzelne Passwörter mit anderen Benutzern teilen.

Berechtigungsdarstellung für Rollen

Abbildung 5: Berechtigungsdarstellung für Rollen

Der Password Safe bietet viele weitere sehr nützliche Features im Kontext „Kollaboration“.

Hier ist zum einen der Sichtschutz zu erwähnen, der das Anzeigen, Auslesen oder Kopieren des Passworts verhindert. Trotzdem kann das Passwort für einen automatischen Login auf einer Website verwendet werden. Anwendungsbeispiele sind hier die Urlaubsvertretung oder der besonders schützenswerte Zugang zu einem Einkaufsportal. So kann beispielsweise verhindert werden, dass der Verwender das Passwort außerhalb der Password-Safe-Lösung verwendet und es beispielsweise auf einen Zettel notiert. Der Sichtschutz bietet natürlich nur bedingt Sicherheit, sobald das Passwort den Client verlässt. Sofern der Anwender Zugriff auf Debugging-Optionen im Browser hat, oder das System des Anwenders bereits durch Malware kompromittiert wurde, kann das Passwort potenziell im Klartext abgegriffen werden.

Darüber hinaus bietet Password Safe die Möglichkeit, temporäre Berechtigungen zu vergeben, welche nur in einem vorher definierten Zeitraum gültig sind (Urlaubsvertretung, Praktikum, etc.). Diese Funktion lässt sich sehr gut mit dem Sichtschutz kombinieren.

Auch einstellbare Benachrichtigungen zu Aktivitäten (wurde verwendet, wurde geändert…) auf Einträgen unterstützen die IT-Sicherheit. Bei einer Anbindung an einen SMTP Server lassen sich diese Benachrichtigungen auch per E-Mail verschicken.

Das Benachrichtigungssystem wird auch von der Siegelfunktion verwendet. Diese Funktion implementiert ein Mehraugenprinzip und lässt sich vielseitig einstellen. So kann bspw. definiert werden, wer einen Siegelbruch beantragen darf, oder wer den Bruch freigeben kann.

Es werden viele weitere Funktionen angeboten, um bspw. privilegierte Accounts, Mehrfaktorauthentifizierung oder ein Task-System umzusetzen.

Schlusswort

Kollaborative Ausrichtung, serverbasierte Infrastruktur, eine Auswahl an Clients, der integrierte Aufruf von 3rd-Party-Anwendungen, die Option zur differenzierten Rechtevergabe – das ist nur ein kleiner Auszug der Möglichkeiten, die Password Safe als professionelle Passwortmanagement-Lösung bietet. Der umfangreiche Funktionskatalog macht MATESO Password Safe zu mehr als nur einem einfachen Passwortmanager. Wir sind immer wieder sehr begeistert davon, wie sich die unkomplizierte Einführung von Password Safe binnen kürzester Zeit unglaublich positiv auf die Passwort-Kultur in Unternehmen auswirkt.