Login


 
Newsletter
Werbung
Mo, 3. Dezember 2012, 15:00

Teampass 2.1.9 - Passwort-Verwaltungswerkzeug

Ein Erfahrungsbericht zur Passwortverwaltung Teampass.

Auflistung von Einträgen

Nils Laumaillé

Auflistung von Einträgen

Das Problem

Wer in einer Consulting- und Support-Firma arbeitet, wird das Problem kennen: Es gibt dutzende oder gar hunderte Zugangsdaten für die Arbeiten auf den Kundensystemen. Oft teilt man sich mit Kollegen die Kunden-Accounts. Das heißt, man braucht ein System, um diese Daten sicher zu speichern, und eine Lösung, um den Zugriff zu regulieren. Darüber hinaus muss das System abgesichert sein gegen Bearbeitungskonflikte, so dass beim gleichzeitigen Ändern der Passwörter durch mehrere Kollegen die Daten nicht zerstört werden. Das Ganze sollte möglichst noch von überall her erreichbar ein, so dass man sowohl im Büro als auch beim Kunden vor Ort arbeiten kann.

TeamPass

Ein Tool, das verspricht, dies zu können, ist das von Nils Laumaillé als Passwortverwaltungsprogramm für mehrere Benutzer konzipierte Teampass. Die technische Basis bildet ein LAMP-System mit jQuery (Javascript) für die moderne (Web-) Oberfläche. Alle Passwörter sind in der Datenbank (UTF-8-Zeichensatz) verschlüsselt. Der Datenverkehr ist mit dem AES-256-Algorithmus verschlüsselt. Lizenziert ist das Programm unter der AGPLv3 (GNU Affero General Public License Version 3).

Die Installation

Die Installation gestaltet sich zunächst erwartungsgemäß. Es werden die »üblichen Verdächtigen« installiert:

  • Apache
  • PHP
  • MySQL

Die Datenbank PostgreSQL wird übrigens auch unterstützt, von uns wurde in diesem Fall mit MySQL getestet. Dann holt man sich aus dem Github-Repositorium die eigentliche Software. Die Installationsanleitung ist auf der Homepage zu finden. Die Datenbank wird über das Tool PhpMyAdmin konfiguriert, was bei einem kritischen System eher suboptimal ist.

Nach der Vorbereitung der Datenbank wird die Zip-Projektdatei in das Root-Verzeichnis von Apache installiert. Laut Anleitung mit chmod -R 777 teampass, aufgrund der Tatsache, dass es sich hier aber um ein kritisches System handelt, empfehlen wir chmod -R 750 teampass und den Besitzer auf den Apache-Benutzer zu setzen. Die PostgreSQL-Installation wird übrigens nicht erklärt, dafür die Installation auf Windows. Die Antwort auf die Frage, ob man ein hoch kritisches System im Netz mit Windows betreiben will, überlasse ich jedem selbst.

Nach diesen Vorbereitungen geht dann die Installation weiter über die Weboberfläche. Bei der Neuinstallation ist der Admin-Account mit Standardpasswort schon konfiguriert. Das Passwort sollte man selbstverständlich durch einen eigenes starkes Passwort ersetzen.

Test

Die Web-GUI ist recht intuitiv. Funktionen sind leicht aufzufinden und zu bedienen. Wie sicher oder unsicher das ganze Konzept dahinter ist, stellt sich bei dem Versuch heraus, das System auf einen anderen Rechner umzuziehen. Das Szenario ist eigentlich recht ähnlich wie bei einem Einbruch, und hier wird die Brisanz erkennbar: Wenn es jemandem gelungen ist, in ein System einzubrechen (z.B. durch das Knacken schwacher Passwörter), werden wahrscheinlich alle Daten kopiert, die gefunden werden. Der Dump der MySQL-Datenbank wird erst einmal nichts Verwertbares zu Tage fördern, sind doch alle Passwörter darin verschlüsselt. Allerdings ist der Schlüssel dazu in der Datei settings.php gespeichert. Das ist schon die halbe Miete für den Angreifer. Bei dem Umzug des Systems wird Teampass im Ziel-System noch einmal installiert und hier als Salt-Schlüssel dieser ursprüngliche Schlüssel angegeben. Nun ist eine Anmeldung als Admin mit den Passwort admin möglich, da dies bei einer neuen Installation Standard ist. Das Backup der alten Teampass-Installation kann jetzt in die neue Installation kopiert werden. Alle verschlüsselten Passwörter in der Datenbank sind nun für den Angreifer voll zugänglich.

Fazit

Vorausgesetzt, bei unserem Test wurden keine konzeptionellen Fehler gemacht oder unrealistische Szenarien angenommen, kann man dieses Werkzeug für den Unternehmenseinsatz nicht ruhigen Gewissens empfehlen. Die Sicherheitsmechanismen sind einfach zu schwach. In einem völlig abgesicherten Netzwerk mag das Programm noch sicher genug sein. In der Realität sind aber meist andere Voraussetzungen gegeben, zumal, wenn man von unterwegs auf Passwörter zugreifen will.

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung