Password Manager für die Gemeinde
-
Hallo Community
Ich brauche eure Ideen
Wir sind auf der Suche nach einer Möglichkeit, um sensible Informationen innerhalb der Gemeinde zu verwalten.
Folgende Einträge sollen in einem Password Manager gemacht werden können:
-
Speichern von Zugangsdaten (URL, Benutzername/E-Mail, Passwort, TOTP und ggf. weitere Felder)
-
Speichern von Kreditkarten
-
Speichern von sensiblen Notizen
Diese Funktionen soll der Password Manager bieten:
-
Der Benutzer kann mittels ChurchTools-Login (inkl. 2FA!) auf die für ihn freigegebenen Inhalte zugreifen.
-
Einträge im Password Manager können an beliebige/mehrere ChurchTools-Gruppen freigegeben werden (lesen/schreiben)
-
Einträge im Password Manager über einen Einmal-Link teilen
-
Self-Hosting der Daten
Ich habe bereits ausführlich recherchiert zu dem Thema. Es gibt verschiedene Lösungen, die z.B. eine LDAP-Anbindung ermöglichen - oft sind diese Lösungen aber eher teuer, da die Bezahlung pro Benutzer erfolgt, was sich für Gelegenheitsbenutzer in einer Gemeinde nicht lohnt.
Wir nutzen eine self-hosted Instanz von Nextcloud. Es gibt Nextcloud Apps, die einen Password Manager integrieren:
Passwords -> https://apps.nextcloud.com/apps/passwords
Hier fehlt mir die Möglichkeit, Passwörter mit Gruppen zu teilen (nur Benutzer sind möglich). Zudem kann bei einem Passwort keinen TOTP hinterlegt werden.Keeweb -> https://apps.nextcloud.com/apps/keeweb
Hier gefällt mir die Kompatibilität zum KDBX-Dateiformat. Ich kann z.B. in einem Gruppen-Ordner einen Tresor anlegen, womit dieser für alle Mitglieder der Gruppe zur zugänglich ist. Allerdings ist der Zugang auf diese eine Gruppe beschränkt; einzelne Passwörter können nicht an andere Gruppen freigegeben werden.Jetzt bin ich gespannt auf eure Ideen / Erfahrungen! Wie organisiert ihr euch in der Gemeinde bzgl. Passwörtern?
-
-
@seetalchile Da hirne ich auch schon immer dran rum. Ich finde es gut, dass du zunächst die Anforderungen aufschreibst.
Da es dir ja zunächst um "geteilte" Passwörter geht, gehe ich davon aus, dass die Menge der Leute, die das nutzen sehr gering ist. Da müsstest du eigentlich mit einem auf der NextCloud abgelegten Keepass hinkommen.
Geteilte Passwörter sind ja ohnehin ein Notnagel ...
Wenn du also den Zugang zur Nextcloud über LDAP regelst, dann müssen die Leute, die das benutzen noch das Master-passwort kennen.
Wenn es aber darum geht den Leuten in der Gemeinde einen Passwort-manager bereitzustellen für ihre eigenen Passwörter, dann könnte man mal nach Bitwarden schauen.
-
@seetalchile Überraschende Anforderungen!
a) Habt Ihr "Firmen-Kreditkarten" für Mitarbeiter? Sollen diese Kreditkarten für Auslagen im Sinne der Gemeinde von mehreren genutzt werden? Immer problematisch in meinen Augen.
Bei uns kann jeder etwas mit eigenem Geld für die Gemeinde kaufen und dann die Rechnung einreichen, um diese auf sein Giro-Konto erstattet zu bekommen. Blöd, wenn man es nur mit Kreditkarte (KK) kaufen könnte und die verantwortliche Person keine KK hat. Dann macht es halt ein anderer.
b) Passwörter für Online Services wie Zoom oder Vimeo ==> die legen wir einfach in einer Wiki Seite ab mit beschränktem Zugriff, Missbrauch ist möglich aber mit überschaubaren Auswirkungen
Generell empfehle ich jeder Person, die eigenen Passwörter gut zu verwahren, zB mit KeePass. Warum man das mit ChurchTools koppeln möchte erschließt sich mir nicht.
CT-Admin einer kleinen freien Gemeinde in Franken -- Datenbank- & SharePoint-Erfahrung, Business Analyst, TechDoc, Requirements Management, ScrumMaster im Alltag -- Fiddler und Piper auf YouTube (Folkgruppe Kreuz-Fidel)
-
@bwl21 Die Option über Nextcloud und Keeweb erscheint für mich aktuell auch als die beste. Dass ein Master-Passwort zusätzlich eingegeben werden muss, finde ich sogar gut. Da mit der Lösung nur Tresoren - und nicht einzelne Passwörter - geteilt werden können, stört mich daran nur, dass wir sehr viele verschiedene Tresoren (KDBX-Files) anlegen müssten, um nicht gleich zu viele Passwörter für einen Benutzer freizugeben. Zudem hat jeder mit Zugriff auf den Tresor auch Schreibrechte.
Persönliche Passwörter mit Bezug zur Gemeinde sollen ebenfalls gespeichert werden können - aber keine private.
Bitwarden ist mir bekannt; mit LDAP-Anbindung kostet die Lösung aber $5/User/Monat, was sich dann ziemlich schnell summiert...
-
@gunnar Ja, wir verwenden Firmen-Kreditkarten, die von ausgewählten Verantwortlichen genutzt werden (für Online-Services und sonstige Käufe, die nicht auf Rechnung abgewickelt werden können). Die Kaufbelege werden anschliessend an die Buchhaltung weitergeleitet. Gerade bei höheren Beträgen oder periodisch automatisch wiederholten Buchungen eignen sich hier private Zahlungsmittel nur bedingt.
Bisher organisieren wir die Ablage von Passwörtern auch übers Wiki. Ich bezweifle aber die Sicherheit dieser Variante stark. Zudem können keine TOTPs generiert werden.
