Argumentation gegen Erfragung von Kennwörtern

Moin,

bei uns gibt es ein Sicherheitshandbuch, dass jeder neue Mitarbeiter zu Beginn durchackern muss - und darin ist vorgegeben, dass Passwörter grundsätzlich nicht weiterzugeben sind. Das schließt Mitarbeiter der IT ein.
Wenn die Eingabe eines Passworts, das dem IT-Mitarbeiter nicht bekannt ist, erforderlich ist, wird eine Remote-Session gestartet. Dem Beginn der Session muss der MA zustimmen, so dass er im Bilde ist, dass nun eine weitere Person zuschaut. So kommt auch keine Missstimmung wegen „heimlicher Überwachung“ auf.

Natürlich würde ich aus meiner Position heraus auch von mir/meinen IT-Kollegen behaupten, dass alle integer sind und kein Dummfug mit den ihnen anvertrauten Informationen (sind ja nicht nur Passwörter, die man so im Arbeitsalltag mitbekommt) anstellt wird. Als Admin gehört man ja „zu den Guten“. Nichtsdestotrotz hört es sich so an, dass ihr eure „Schäfchen“ dazu erzieht, das Passwort auf Verlangen herauszugeben. Und das ist ein „no go“. Es gibt ja auch niemand die PIN oder das Telefon-Kennwort seines Bankkontos heraus - bzw. so sollte es sein.

Gruß
TA

mach es doch ganz einfach: Ruf deinen Chef an und lass dir SEIN Passwort geben. Wenn es kein Problem ist sowas zu erfragen sollte eine IT-Abteilung ja mit gutem Beispiel vorran gehen..

Ich würde übrigens bei so einer Frage eher loslachen. Mein Passwort? Ja klar... Und würde ich mitbekommen das die IT (in dem Fall eben meine Kollegen) in meinem Postfach einfach rumschnüffeln bzw. sogar Mails in meinem Namen versenden kann ich garantieren das ich innerhalb von MINUTEN nen Weg habe um das zu verhindern. Und sei es das ich mich mit jedem Kunden kurz zusammentelefoniere, mich dafür entschuldige das ab sofort nur noch Telefon u. Fax geht aber meine Kollegen sind leider aus der Stasi-Zeit und haben wohl zuviel Zeit...

WENN man sowas denn unbedingt will: Passwort-Generator verwenden und der Benutzer kann das PW eben nicht ändern. Dann kann man sich ne Excel-Liste machen und sicher sein das die Passwörter wenigstens nirgends anders genutzt werden. Es zeigt aber für mich nur unfähige IT wenn die mein PW benötigen um irgendwas für mich zu machen...

Das gehört sich in meinen Augen auch nicht.
Ich würde als User mein Kennwort auch nicht rausgeben wollen.

Auf der anderen Seite kann ich deinen Chef verstehen, der Supportaufwand wächst ggf. wenn das Kennwort zurückgesetzt wird.
Vielleicht nicht direkt beim ersten Login an dem das Kennwort neu vergeben wird, aber am Tag drauf, wenn das neue bereits vergessen wurde - sofern der User sein altes Kennwort nicht mehr nehmen durfte (bedingt durch die GPO).

Bevor man da allerdings IT-intern ein Fass aufmacht, halte doch mal Augen und Ohren bei euch im Laden offen und schau mal an Bildschirme, in Schubladen und unter die Tischauflagen der Kollegen.
Kennwörter sind nicht selten offene Bücher, kenne sogar Abteilungsleiter die von ihren Mitarbeitern immer die Kennwörter haben wollen - kann im Urlaub immer mal was an E-Mails nachzusehen sein und Vertretungsregelungen umzusetzen und sich mit Berechtigungen rumschlagen ist ja viel zu aufwändig.


Naja ich hatte gestern ein feines Beispiel.
Anruf eines Kollegen, dass sich sein Outlook geschlossen hat und nun beim Öffnen sein Passwort nicht mehr nimmt.
Nach kurzer Fernwartung war klar, das Authentifizierungsfenster von Outlook passte nicht.
Outlookprofil neu anlegen brachte auch keine Abhilfe.

Zu meist haben die Leute dann aber auch keine Zeit, für Fehleranalysen, daher Kompromiss, ich habe das am selben Rechner kurz mit meinem Benutzer geprüft, Fehler konnte nicht nachvollzogen werden.
Ich brauchte also sein Benutzerprofil zur Diagnose und Fehlerbehebung.

Letztlich hat das dann keine 10 min gedauert, aber die Ungewissheit wie lang das wohl dauern würde klang am Telefon deutlich durch, eigentlich wollte er mir doch nur sein Passwort geben und ich hätte das irgendwo machen können, Hauptsache er hätte schon mal weiterarbeiten können...

Moin fejuiwiueww,


dass du als Admin die Passwörter der User kennst, finde ich nicht wirklich schlimm.
Wir Admins können und müsse eh auf alles Zugriff haben, was wir gewissenhaft administrieren sollen.


Auch das sehe ich nicht als notwendig an.
Als Admin kannst du auch ohne, dass du dich mit dem jeweiligen Benutzer direkt anmeldest, eh an so gut wie alle Daten von diesem rankommen.
Ich hoffe jetzt nur, dass die oberen Zeile kein DSBler liest, bei sowas bekommen die meistens eine Schnappatmung. 🤪


Wenn der User dem Admin nicht vertraut, dann kann er doch und dass sollte er eigentlich auch, sein Passwort selbst ändern, sobald er dieses einem anderen verraten hat.


Das würde ich als ein separates Problem und auch viel gewichtiger als das vorhergehende betrachten.
Bei den meisten Incidents, zu denen ich die letzten beiden Jahre gerufen wurde, wurden die Einbrüche in die IT Systeme entweder über die Exchange Lücken begangen oder die Angreifer haben sich mit geklauten/gefischten Zugangsdaten, direkt den Zugriff verschafft. 🤢🤮

Dagegen gibt es meiner Ansicht nach, stand heute nur wenige helfende Massnahmen.
1. Sämtliche externe Zugänge (VPN, OWA & Co. KG) müssen immer per 2FA abgesichert sein.
2. Verwendung von Smartcards (YubiKey) zur Benutzerauthentifizierung.

Der zweite Punkt hat meiner Ansicht nach den Vorteil, dass der Benutzer zum Anmelden nur noch die sechsstellige PIN der Smartcard oder des YubiKey merken/eingeben muss und nicht das Passwort.
Ich würde bei Verwendung von Smartcards, den Benutzern das Ändern des Passworts eh nicht mehr erlauben und es als Admin auf 20 Stellen alla "#7Qmfu§ODbzJ!DFVe*&Z" setzen und es dem User auch nicht mehr verraten.
So ist auf jeden Fall zu 100% sichergestellt, dass der Benutzer sein Firmen-Accountpasswort auch nie für seine privaten Accounts verwenden kann. 😎


Oder auch die Microsoft Hotline und dir erzählen dass der Rechner kompromittiert ist ... u.s.w.
Daher sollte ein Benutzer oder auch Admin, sein Kennwort am besten niemals jemand anderem anvertrauen und schon gar nicht Fremden.


Damit hat er auch vollkommen recht.
Oh je, ich sehe schon, jetzt ist der eine oder andere DSBler bestimmt schon kurz vor dem Herzinfarkt.
Datenschutz Mädels und Jungs, so ist das Amin Leben eben und die wenigen die von Euch die das kennen, verstehen das jetzt auch und brechen nicht in Panik aus. 😉


Auch diese Aussage kann ich absolut nachvollziehen.


Ja, wir, also die SysAdmins, sollten definitiv relativ hoch in der Vertrauenskette stehen, anders funktioniert dieser Job auch nicht wirklich gut.


Das ist wiederum Bull-Shit.
Dieses Userverhalten ist in der heutigen Zeit schlichtweg grob fahrlässig!
Und solche Aussagen als IT-Teamleiter, sind es meiner Ansicht nach auch.


Das Sicherheitsproblem ist nicht, dass du als Admin die Kennwörter der User kennst, sondern definitiv, dass die User dasselbe Kennwort auch im privaten Umfeld oder auch zum Login auf geschäftlichen Internetportalen benutzen.

Und nein, ich bin kein Freund von SSO sobald es über die Grenzen des internen Firmennetzes drüber hinaus geht.
Schon gar nicht von Azure-AD. 😱

Beste Grüsse aus BaWü
Alex

DSBs bekommen keinen Herzinfarkt. Zumindest nicht davon. Denn Artikel 6 der DSGVO sieht ja u.a. Ausnahmen vor, z.B. wegen des berechtigten Interesses des Unternehmens, die IT verwalten zu können. Von daher kein Problem.

Grundsätzlich sollten Passwörter niemals nie nicht irgendwie abgefragt werden. Das führt nur dazu, dass die Mitarbeiter nachlässig werden und so Tür und Tor zum social engineering offen stehen. Sprich: irgendein Spaßvogel, der nicht Admin ist, entlockt den Mitarbeitern das Passwort.

Es sollten andere Wege gefunden werden, z.B. die vorher erwähnten wie Fernzugriff, etc.
Im Zweifel kann man als Admin meist ein (neues) Passwort setzen, sich damit am Account des Mitarbeiters anmelden und danach den Mitarbeiter bitten, dass Passwort wieder auf seines zurückzusetzen.

Das Nennen von Passwörtern per Telefon ist zu 99,99% unnötig und stellt ein Sicherheitsrisiko dar.

Der Autor schreibt
Der allmächtige Admin kann immer im Namen des Nutzers handeln. Er kann ihm Skripte unterschieben, die in seinem Namen laufen, er kann seinen Kennworthash ermitteln, und, vor allem anderen: er kann sich eine SmartCard auf den Nutzernamen ausstellen ("Enroll on Behalf of").

Somit gibt es keinen guten Grund, das Kennwort vor den Admins zu schützen, denn wenn diese als Nutzer handeln wollten, bräuchten sie es gar nicht.

Wem das nicht passt, stellt sich die Frage: "war da nicht was mit Auditing möglich?" Recherchiert man, so kann man finden, dass man natürlich all diese Aktionen überwachen könnte. Für das Überwachen wird jedoch sehr viel Arbeit fällig und die ist nur ausführbar von Personen, die das Knowhow haben und ebenfalls weitreichende Rechte.

Zurück zur Ausgangslage - handeln als Nutzer, zu Supportzwecken - muss das wirklich sein?
Es sollte nicht nötig sein, wenn man seine Umgebung im Griff hat. Wenn man wirklich was im Nutzerprofil massenhaft ändern muss, dann machen das Skripte. Wenn man was im Nutzerprofil analysieren muss, dann macht man das über Fernsteuerung. Wenn der Nutzer dabei dann seinen Platz verlassen möchte, während man das macht, bleibt ihm das möglich, genauso wie, dass er eben kontrollierend zusieht - sicherer macht das sein Konto jedoch nicht.

Natürlich kann ein Admin das _in einer Firma_. Aber: Realistisch ist doch das Passwörter auch gerne mal "privat" wiederverwendet werden. Und damit kann der Admin dann auch ggf. in private Konten kommen.

Ich würde es auch schon aus selbstschutz nicht wollen - einfach: Wenn ich das Kennwort nie besessen habe braucht auch keiner kommen ich HÄTTE es missbraucht. Fertig.. Aus demselben Grund will ich ja auch nicht immer nen Schlüssel zu allem und jedem Raum haben, keine Safe-Codes,... DAS ich nichts klaue ist MIR schon klar. Nur: Wenn jemand behauptet ich hätte was genommen steh ich erst mal blöd da (ich würde zB. auch nie allein in ne Gastkabine gehen wenn sonst keiner da ist). Und natürlich: Wenn der Nutzer behauptet "der admin wars" wird beim ersten Mal vermutlich nix passieren... wenn aber der 2te, 3te oder 4te irgendwann ankommen (weils sich ja auch schnell rumspricht das die Möglichkeit besteht) hat es irgendwann einfach nen blöden Beigeschmack.

Moin @maretz.
Ich habe auf 3 Wege hingewiesen, wie der Admin mühelos als Nutzer handeln kann. Er braucht dabei das Nutzerkennwort nicht zu kennen. Das bedeutet für den Fragesteller: mach es doch auch so. Du musst das Kennwort nicht erfragen, die Admins kommen also nicht in private Konten, die ggf. das selbe Kennwort haben. Schreib dir einfach eine SmartCard mit den Nutzercredentials und fertig - die bleibt auch bei Kennwortänderung gültig.

Als letztes Problem bleibt dann, den Nutzern zu verklickern, was man da gerade gemacht hat: was ist eine SmartCard, was bedeutet das für den Nutzer. Auch müssen Nutzer erst einmal realisieren und wahr haben wollen, dass es keinen Weg gibt, die eigene Firmennutzeridentität vor dem Admin zu schützen.

"Kennworthash" ist der entscheidende Hinweis. Denn bei allen vernünftig implementierten Systemen wird ein Passwort niemals gespeichert. Statt dessen berechnet man eine Prüfsumme über das Passwort und speichert das ab. Sofern das System nicht uralte Algorithmen für die Prüfsumme verwendet, ist das aus heutiger Sicht ein sehr sicheres Verfahren. Angegriffen werden kann so etwas nur per Brute Force, d.h. man probiert Fantastillionen Kombinationen durch, bis man eine erwischt, die die gleiche Prüfsumme erzeugt. Dann ist die Länge des eigentlichen Passwortes (mathematisch gesehen) sowie der Zeichenvorrat entscheident. Gängige Passwörter (auch meist solche, bei denen man meint, dass sie nicht gängig seien) sind in sog. Rainbow Tables vorberechnet.
Soweit dazu.

Da ein Passwort in den Systemen nirgends gespeichert ist, kann ein Admin im Normalfall auch nicht "mal eben das Passwort" nachgucken. Deshalb kann man dann eben nur das Passwort zurücksetzen.

Wie User maretz schon aufgeführt hat, nutzen die Menschen Passwörter durchaus häufiger. Diese Tatsache und der Umstand, dass man die Anwender dazu erziehen sollte, niemals Passwörter an wen auch immer rauszugeben, ist die Anforderung, dass man das Passwort nennen soll, eine schlechte Idee.

Wie man das technisch löst und z.B. Methoden einführt, die z.B. per Hardwaretoken funktionieren, ist Nebensache. Auch bei Hardwaretokens (Smartcard) kann es sein, dass man von irgendwem, der vorgibt, Admin zu sein, aufgefordert wird, die Karte "mal eben kurz zur Prüfung" zu überlassen. Auch das ist nicht so unwahrscheinlich - sonst würden es die "Bösen" nicht erfolgreich durchziehen.

Was auch immer: als Admin sollte man nie nach solchen Dingen fragen. Dass man sich als Admin in den meisten Fällen irgendwie Zugriff auf alles verschaffen kann, steht außer Frage.

@137960
Keiner würde die Hashes nutzen, jeder würde die SmartCard nutzen. Besteht keine CA-Infrastruktur, würde der Admin Pass-the-Hash machen - du musst da nichts mit Brute Force angehen.

Eine SmartCard muss aber meistens extra Hardware oder besondere Treiber bemühen. Das gelingt nicht mit jedem Betriebssystem. Und es kostet extra. Sowohl die Anschaffung als auch die Wartung. In Unternehmen, wo IT-affine Menschen arbeiten, mag das funktionieren. Wenn ich aber die MitarbeiterInnen in den Bürgerämtern mit ihren SmartCards so rumhantieren sehe (und fluchen höre), dann ist so eine Technik schon des Teufels und wird frühestens dann eingeführt werden, wenn auch die Enterprise D abhebt ;)

@137960
Du vergallopierst Dich gerade: nicht die Nutzer sollen die Smartcards verwenden, sondern die Admins! Und da ist dann auch keine Technik nötig, sowas geht sogar virtuell und ist somit kostenlos (lediglich ein TPM-Chip ist im Admingerät nötig).
Glaub mir, es funktioniert (wir nutzen nichts anderes).

Zumindest mit allen derzeit supporteten Windowsclients und -servern gelingt es sehr gut.