Teamfähiger Passwortmanager OHNE Cloud gesucht

[sikarr]

Hi,

wie im Titel beschrieben suche ich einen Passwortmanager der Teamfähig ist, sprich eine Benutzerverwaltung bietet.
Der Markt ist da sehr unübersichtlich was Passwortmanager angeht.

Ist für den Einsatz in einem kleinen Unternehmen, AD Integration wäre schön aber eine eigene Benutzerverwaltung tuts auch.
So Kostengünstig wie möglich aber wenn es etwas kosten soll dann mit einmal Lizenz, kein Abo.

Keepass ist mir bekannt und nutze ich auch Privat aber für ein Unternehmen halte ich es für ungeeignet, es sei den jemand kennt Plugins die die obrigen Wünsche ermöglichen.

Wie sind eure Erfahrungen mit Passwortmanager im Unternehmenseinsatz und welche könnt Ihr empfehlen bzw. nicht.

 

[Baxxter]

Wird in dem Unternehmen eine NAS genutzt?
Dort könnte man die PW-Database von Keepass ablegen, welche man dann direkt über die NAS öffnen könnte.

 

[Scirca]

Also wir in unser IT Abteilung nutzen Keepass keine Ahnung was du daran nicht Teamfähig findest.
Bei Asynchronen Datenbanken kannste die zusammenführen. easy.

 

[QuantumKaffee]

Guck dir mal Pleasant PasswordServer an. Damit lässt sich dein KeePass entsprechend erweitern.

 

[Markchen]

Haben wir auch auf der Serverfreigabe der Technik liegen.

 

[SaxnPaule]

Password Safe von MATESO.

https://www.passwordsafe.de/

 

[40l0so]

Password Safe von MATESO.

https://www.passwordsafe.de/

Haben wir auch im Unternehmen. Von der Performance ist der allerdings nicht wirklich zu empfehlen. Würde da doch eher auf Keepass im kleineren Unternehmenskontext setzen.

 

[kartoffelpü]

Wir nutzen Passwordstate

 

[sTOrM41]

Wir nutzen in einem mittelständischen Unternehmen ebenfalls KeePass und das funktioniert tadellos.

 

[Ponger]

Vielleicht wäre Bitwarden etwas für euch.
https://github.com/bitwarden

 

[morphispiz]

Passwordstate bei uns, Keypass bei den Kunden.

 

[sikarr]

Wird in dem Unternehmen eine NAS genutzt?

Ist unteranderem Vorhanden, ja.

Also wir in unser IT Abteilung nutzen Keepass keine Ahnung was du daran nicht Teamfähig findest.

Wie regelt Ihr da die Zugriffe? Z.Bsp die Passwörter der Verwaltung sollen ja die anderen Abteilung nicht sehen bzw. ändern können. Von Zoho, glaube ich, hatte ich mir mal deren Lösung angeschaut wo Änderungen durch mehrere Berechtigte Freigeben werden müssen aber das ist absurd teuer.

Vielleicht wäre Bitwarden etwas für euch.

Auf Bitwarden bin ich auch gestoßen, wollte aber jetzt dafür keine neue VM einrichten mit Docker usw. Hatte auch hier im Forum gelesen das da min. 2Gb Ram empfohlen werden, finde das persönlich zu viel für ein paar Einträge.

 

[winterblut]

Keepass ist für mich eigtl. ausreichend

 

[Voltago]

@sikarr Auch von mir ein "Plus" für Bitwarden. Benutze es seit 6 Monaten privat und bin gerade in der Umsetzungsphase beim Arbeitgeber (MSP).

Mit 2GB RAM macht's keinen Spaß - der SQL - Container braucht min. 4GB, damit er startet. Dafür einfach eine Linux VM nehmen, das Ganze ist pflegeleicht. Meine Empfehlung ist CentOS.

Edit: Adaptiert als Rubywarden läuft das Backend wohl auch locker auf einem Raspberry Pi. Hier gibt's dann aber keinen Support.

 

[Scirca]

Wir regelt Ihr da die Zugriffe? Z.Bsp die Passwörter der Verwaltung sollen ja die anderen Abteilung nicht sehen bzw. ändern können. Von Zoho, glaube ich, hatte ich mir mal deren Lösung angeschaut wo Änderungen durch mehrere Berechtigte Freigeben werden müssen aber das ist absurd teuer.

Bei uns benutzt ihn nur die IT, der Rest wie GF, Abteilungen ist mit allem überfordert was außerhalb von Outlook stattfindet.

 

[sikarr]

der Rest wie GF, Abteilungen ist mit allem überfordert was außerhalb von Outlook stattfindet.

Das ist unteranderem einer der Gründe warum ich Keepass für nicht geeignet halte.

Mir geht es um eine zentrale Ablagemöglichkeit für abteilungsgetrennte aber zentralverwaltbare Passwörter.
Unsere Frima besteht aus 3 Abteilungen (mit IT 4) und jede hat und braucht Zugänge für andere Sachen. Die Verwaltung: z.B. für Ausschreibungsportale, IT: Kunden und Lieferantezugänge, Lager: Kundenzugänge, Versandportale usw.

Ich glaube ich brauch keinem Erzählen wie schwer es ist Leute zu einheitlicher Dokumentation zu bringen. Das wird Vielen zuviel und jeder "hortet" die Zugänge für sich selber und wenn die Leute mal gehen weis keiner wie den eigentlich die Zugänge und Kennwörter sind.

 

[snaxilian]

https://www.password-depot.de/passwort-server/funktionen-server.htm
https://teampasswordmanager.com/
https://www.passwordsafe.de/
Alle drei preislich überschaubar und kein Abomodell. Open Source wären Bitwarden oder sysPass mit AD Integration die mir spontan einfallen.

Zentrale Lösungen brauchen halt immer eine Art von Backend auf einem Server(chen). Eine Alternative wäre KeePass mit je einer DB pro Abteilung/Team. Die DB kommt auf einen Share und Zugriff dann eben auf Ebene des Shares damit Fremde nicht an die Keepass-DB kommen. Pro DB und Team/Abteilung dann ein Kennwort. Nachteil ist eben, dass nicht nachvollziehbar ist wer ggf. einen Eintrag ändert/löscht aber gegen versehentliches löschen gibt es bei Keepass die History/Papierkorb oder eben Restore der DB-Datei aus dem Backup.

Gegen Doku-Grinches hilft nur Kommunikation und eine gemeinsame aus dem Team heraus erarbeitete Lösung und Konsens. Das kann für die einen Sharepoint sein, die nächsten nutzen Confluence oder ein Wiki, OneNote oder sonst was. Eine "von oben" verordnete Lösung hilft nur wenn Nichtnutzung geahndet werden. Das reicht vom klärenden Gespräch wo die Vorteile aufgezeigt werden müssen bis hin zur Abmahnung bei absoluten Verweigerern. Wenn es die Leute eben nur so lernen, dann ist das leider so, die arbeiten ja nicht für sich sondern fürs Unternehmen. Auf der anderen Seite muss natürlich auch "von oben" eingesehen werden, dass Dokumentation und die Aktualisierung dessen Zeit kostet und eingeplant werden muss. Ob das jetzt nur Doku ist oder eben Credentials und Arbeitsmethoden, Abläufe, etc.
Um das Problem zu verdeutlichen, kann man dies am lebenden Beispiel durch führen: Wähle einen Mitarbeiter eines Teams aus, dieser soll seine Aufgaben/Projekte der nächsten 2 Wochen grob skizzieren und dann macht mal den theoretischen "Bus Test" (Person wird vom Bus erfasst & fällt mittelfristig aus). Finden die KollegInnen alles relevante? Wenn nicht, taugt die Doku nix. Das bedeutet zusätzlichen Aufwand und Ausfälle und kostet Geld.

Natürlich muss ich nicht haarklein bis ins Detail die Aufgaben meines Kollegen kennen. Aber für den Worst Case muss ich seine Systeme mit managen können, muss seine Kunden/Vertriebspartner erreichen können, wissen wie ich ein Ticket erstelle.

Solche Probleme fangen immer(!) bei den Menschen an, $Technik/$Software kann danach nur ein Hilfsmittel dafür sein.

 

[sikarr]

https://www.password-depot.de/passwort-server/funktionen-server.htm
https://teampasswordmanager.com/
https://www.passwordsafe.de/
Alle drei preislich überschaubar und kein Abomodell. Open Source wären Bitwarden oder sysPass mit AD Integration die mir spontan einfallen.

Werde ich mir anschauen, wie auch die anderen Hier genannten Beispiele.

Zentrale Lösungen brauchen halt immer eine Art von Backend auf einem Server

Das ist klar, aber für die paar (schätzungsweise 30) Einträge gleich eine Eigene VM? Wir haben aktuell nicht mehr so viele Ressourcen frei, was auch noch dazukommt und würde sowas am liebsten auf einem vorhanden System laufen lassen.

Eine Alternative wäre KeePass mit je einer DB pro Abteilung/Team. Die DB kommt auf einen Share und Zugriff dann eben auf Ebene des Shares damit Fremde nicht an die Keepass-DB kommen. Pro DB und Team/Abteilung dann ein Kennwort. Nachteil ist eben, dass nicht nachvollziehbar ist wer ggf. einen Eintrag ändert/löscht

Das ist ja eben ein "gefrickel" was ich umgehen will. Ich will die Kennwörter ja selber nicht pflegen müssen aber genau darauf würde es wohl mit Keepass hinauslaufen. Privat nutze ich es sehr gerne.

Gegen Doku-Grinches hilft nur Kommunikation und eine gemeinsame aus dem Team heraus erarbeitete Lösung und Konsens.

Leider wird da aber auch zu viel geredet und nicht drann gehalten weil es evtl. unbequem oder vernachlässigbar ist.

Das reicht vom klärenden Gespräch wo die Vorteile aufgezeigt werden müssen bis hin zur Abmahnung bei absoluten Verweigerern.

Unsere GF sitz an einem anderen Standort, die kriegen genug Katzenjammer von uns, sodass ich glaube das die schon auf durchzug geschalten haben. Denen ist das gelinde gesagt egal, weil anderer Standort. Da sieht man nur mal einen wenn wirklich was komplett aus dem Ruder läuft.

Wähle einen Mitarbeiter eines Teams aus, dieser soll seine Aufgaben/Projekte der nächsten 2 Wochen grob skizzieren und dann macht mal den theoretischen "Bus Test" (Person wird vom Bus erfasst & fällt mittelfristig aus). Finden die KollegInnen alles relevante? Wenn nicht, taugt die Doku nix.

Ich glaube unseren Vertieb und die Dame der Buchhaltung und (auch wenn das abgehoben klingt) Mich betreffen. Wobei wir jetzt dabei sindso viel wie möglich für die MA zugänglich zu machen und der Rest muss dann über die Doku laufen. U.a. betrifft das bei mir dann die ganzen Server und Datenbankzugänge, man möchte auch nicht jedem gleich das Adminpasswort geben. Daher auch der Ansatz, Zugangsdaten zentral abzulegen wo man bei Bedarf einfach Andere MA autorisiert und die dann Zugriff auf die Daten haben.

Natürlich muss ich nicht haarklein bis ins Detail die Aufgaben meines Kollegen kennen. Aber für den Worst Case muss ich seine Systeme mit managen können, muss seine Kunden/Vertriebspartner erreichen können

Ja das war auich so ein Thema, wo ich angefangen habe gab es nur eine Ablage für Excel, Word und eine AccessDB. Mittlerweile haben wir ein DMS und SQL Datenbanken. Aber es war ein langer weg die GF von der Notwendigkeit zu überzeugen. Ist halt Problematisch wenn die größten Gegner auch noch die Geldgeber sind.

Solche Probleme fangen immer(!) bei den Menschen an

Bin ich voll und ganz bei Dir.

 

[snaxilian]

Das ist ja eben ein "gefrickel" was ich umgehen will. Ich will die Kennwörter ja selber nicht pflegen müssen aber genau darauf würde es wohl mit Keepass hinauslaufen.

Eben nicht. Du erstellst ggf. die DB und weist die Mitarbeiter in Keepass ein. Die DB mit Kennwörtern füllen ist deren Aufgabe, v.a. wenn das z.B. eine Dienstanweisung vom Chef ist, dass Kennwörter nicht mehr in Excel oder auf PostIts existieren sollen.

Daher auch der Ansatz, Zugangsdaten zentral abzulegen wo man bei Bedarf einfach Andere MA autorisiert und die dann Zugriff auf die Daten haben.

Wenn du als Admin die verwaltest und unter den Bus kommst: Wer soll dann andere berechtigen, weil Bedarf da ist?^^ Außerdem hast du dann die Arbeit. Sieh zu, dass du die Plattform bereit stellst aber Zugriffe nicht verwalten musst. Self Management ist das Stichwort. Dann muss der Mitarbeiter auch nicht immer auf "die IT" warten.
Ich habe schon in einem Konzern gearbeitet wo der jeweilige Team-/Bereichs-/Abteilungsleiter auf seinem Desktop ein Icon hatte wo er Mitarbeiter eintragen oder entfernen konnte für Zugriffe auf den Share. Das war nix anderes als eine MMC Verknüpfung auf die jeweilige Security Group im AD und er hatte Berechtigung, User ein- & auszutragen sofern, damit aber auch seine Verantwortung. Wenn also ein neuer Mitarbeiter kam oder ein anderer für ein Projekt das Team wechselte konnten die jeweiligen Vorgesetzten das schnell und unkompliziert regeln.

Jegliche Master-Kennwörter hat die GF im Safe und der IT-Leiter. Alle anderen haben personalisierte Accounts für die Nachvollziehbarkeit. Aber ohne Doku kommt man auch mit "dem Admin Kennwort" nicht sehr weit bzw. muss sich erst alles an Wissen um die Infrastruktur aneignen.

 

[sikarr]

Die DB mit Kennwörtern füllen ist deren Aufgabe

Sowieso, ich habe eigene Listen die ich pflegen muss ^^

wenn das z.B. eine Dienstanweisung vom Chef ist, dass Kennwörter nicht mehr in Excel oder auf PostIts existieren sollen

Eher der ISO. Aber warum anders machen "haben wir ja schon immer so gemacht"

Wenn du als Admin die verwaltest und unter den Bus kommst: Wer soll dann andere berechtigen, weil Bedarf da ist?^^

Ich habe ja auch noch einen Vorgesetzten und ein Systemhaus gibts auch noch, da sehe ich weniger das Problem.

Self Management ist das Stichwort. Dann muss der Mitarbeiter auch nicht immer auf "die IT" warten.

Die Wechseln nichtmal einen Druckertoner selber.

Ich habe schon in einem Konzern gearbeitet

Konzerne sind viel besser aber meist überorganisiert, das was die zu viel haben, haben wir zu wenig.

Jegliche Master-Kennwörter hat die GF im Safe und der IT-Leiter. Alle anderen haben personalisierte Accounts für die Nachvollziehbarkeit. Aber ohne Doku kommt man auch mit "dem Admin Kennwort" nicht sehr weit bzw. muss sich erst alles an Wissen um die Infrastruktur aneignen.

Ich sage nur gefährliches Halbwissen aber es gibt wie weiter oben geschrieben mehrere Zugangsberechtigte. Was die MA selber können sollen, können sie in der Regel auch, einiges wollen oder verstehen sie nicht.

Zum Bsp als wir das Ticketsystem eingeführt haben, Anscheisstool wurde es genannt, ohne die ISO hätte wir das auch nie bekommen weil sich die GF selber dagegen sträubte.