iX 8/2019
S. 92
Report
Sicherheit

Marktübersicht Privileged-Identity-Management-Software

Nicht für jeden

Marco Lorenz

Privilegierte Konten in Unternehmen sind für Angreifer attraktiv und erfordern besonderen Schutz. Diese Marktübersicht skizziert die Anforderungen und Lösungsansätze und stellt neun Tools vor.

Nicht erst seit Advanced Persistent Threats, Lateral Movement und Datenpannen aufgrund unzureichend gesicherter AWS-Schlüssel wissen Unternehmen um die Herausforderungen bei der Verwaltung privilegierter Zugangsinformationen.

Gemeinhin assoziiert man mit einem privilegierten Konto zunächst den Administrator unter Windows oder den root-­Account unter Linux. Allerdings gehören streng genommen alle Konten dazu, die es ermöglichen, privilegierte Aktionen durchzuführen. Demnach ließen sich auch die Benutzerkonten, die beispielsweise im ERP-System die Berechtigung haben, besonders heikle Transaktionen auszulösen, hinzuzählen. Wenngleich die in diesem Artikel vorgestellten Lösungen prinzipiell keinen Unterschied zwischen Betriebssystem und Applikation machen, liegt der Schwerpunkt derzeit klar auf Betriebssystemen.

Wer kennt sie nicht, die mannigfaltigen Excel-Dokumente oder KeePass-Dateien, die auf so manchem Netzwerklaufwerk mit Kolleginnen und Kollegen geteilt werden, um die von der IT-Abteilung geforderten komplexen Passwörter einsetzen zu können. Sie sind schnell eingerichtet und mehr oder weniger komfortabel im Zugriff. Problematisch wird es erst dann, wenn einer der Zugriffsberechtigten keinen Zugriff mehr haben soll. Was tun? Reicht es, das KeePass-Passwort zu ändern? Eher nicht: Der Ehemalige könnte die Datei kopiert haben und immer noch mit dem alten Passwort zugreifen. Konsequenterweise müsste man also auch gleich alle in der Datei gespeicherten Passwörter in den betroffenen Systemen ändern. Wer aber soll das bei mehr als ein paar Dutzend Passwörtern machen? Und: Weiß man, welche Abhängigkeiten zu anderen Prozessen, Systemen und Abteilungen bestehen?

Unter anderem dieses Problem wollen Produkte im Bereich Privileged Identity Management (PIM) lösen. Die hier vorgestellten Werkzeuge können sowohl bei kleinen und mittelständischen Unternehmen als auch bei internationalen Großkonzernen eingesetzt werden.

PIM-PAM-Tools im Vergleich
Hersteller BeyondTrust CA Technologies CyberArk ManageEngine Mateso Micro Focus One Identity Thycotic Wallix
Produkt BeyondTrust Password Safe Layer 7 Privileged Access Manager Privileged Access Security ManageEngine Password Manager Pro Password Safe NetIQ Privileged Account Manager One Identity Safeguard Thycotic Secret Server WALLIX Bastion
Version 6.9 3.2 10.8 10.0 8.7 3.6 2.6, 5.11 (Bundle) 10.6 7.0
Angeboten als Appliance (phys, virt.), Windows Installer Appliance (phys., virt.), Cloud-Image (AWS, Azure) Appliance (virt.), Windows Installer Appliance (virt., AWS, Azure), Windows/Linux Installer Windows Installer Installer Appliance (phys., virt., AWS, Azure) Windows Installer Appliance (phys., virt.)
PIM als Kernprodukt? ja nein ja nein ja nein nein ja nein
Firmensitz Atlanta, Georgia, USA San Jose, Kalifornien, USA Petah Tikva, Israel Chennai, Indien Augsburg, Deutschland Newbury, Berkshire, Großbrittanien Aliso Viejo, Kalifornien, USA Washington DC, USA Paris, Frankreich
Mitarbeiter (Entwickler) 750 (k.A.) 1000 (k.A.) 1146 (287) 7000 (60) 35 (10) 14000 (19) 800 (122) 400 (50) 140 (50)
Webseite www.beyondtrust.com www.ca.com/de/products/privileged-access-management.html www.cyberark.com www.manageengine.com/products/passwordmanagerpro/ www.passwordsafe.de www.microfocus.com/de-de/products/netiq-privileged-account-manager www.oneidentity.com/one-identity-safeguard/ www.thycotic.com www.wallix.com
Passwortverwaltung ja ja ja ja ja (Enterprise Plus Edition) ja ja ja ja
Benutzerschnittstelle Web Client, Web Web Browser Plugin, mobile App, Web Browser Plugin, Client, Web Web Client, Web Client, mobile App, Web Client, Web
UI Automatisierung ja ja ja ja ja (Enterprise Plus Edition) ja ja ja ja
Voraussetzungen für Passworverwaltung
(Produkt/Zielsystem/ Netzwerk)
–/–/native Protokolle der Zielsysteme –/–/native Protokolle der Zielsysteme ggfs. Datenbanktreiber, Bibliotheken (SAP)/–/native Protokolle der Zielsysteme –/keine (optional: Agent)/native Protokolle der Zielsysteme –/–/native Protokolle der Zielsysteme „PAM Taskmanager“/–/native Protokolle der Zielsysteme –/Stellvertreter-Konto/native Protokolle der Zielsysteme –/–/native Protokolle der Zielsysteme –/–/native Protokolle der Zielsysteme
Passwortarten Passwörter, SSH-Schlüssel Passwörter, SSH-Schlüssel Cloud Keys, Passwörter, SSH-Schlüssel API/Cloud-Schlüssel, Dateien, Passwörter, SSH-Schlüssel, Zertifikate Passwörter Cloud/API-Schlüssel, Passwörter, SSH-Schlüssel Passwörter, SSH-Schlüssel Passwörter, SSH-Schlüssel, Zertifikate Passwörter, SSH-Schlüssel, Zertifikate
typ. Zielsysteme AWS, Azure, Datenbanken, Firewalls, Linux/Unix, Router, SAP, Switches, VMWare, Windows AWS, Datenbanken, Firewalls, Linux/Unix, Router, Switches, VMWare, Windows AWS, Azure, Datenbanken, Firewalls, Linux/Unix, Router, SAP, Switches, VMWare, Windows AWS, Azure, Datenbanken, Firewalls, Linux/Unix, Router, SAP, Switches, VMWare, Windows Datenbanken, Linux/Unix, Windows AWS, Azure, Datenbanken, Firewalls, Linux/Unix, Router, SAP, Switches, VMWare, Windows AWS, Datenbanken, Firewalls, Linux/Unix, Router, SAP, Switches, VMWare, Windows AWS, Azure, Datenbanken, Firewalls, Linux/Unix, Router, SAP, Switches, VMWare, Windows Datenbanken, Firewalls, Linux/Unix, Router, Switches, VMWare, Windows
benutzerdefinierte Metadaten (vorhanden / durchsuchbar / reporting) ja/nein/nein ja/ja/ja ja/ja/ja ja/ja/ja ja/ja/teilw. nein/–/– ja/ja/ja ja/ja/ja nein/–/–
Onboarding-Möglichkeiten manuell, REST-API, scan/einmalig, geplant/inklusive CSV, manuell, REST-API, scan/einmalig, geplant/inklusive CSV, manuell, REST-API, scan/einmalig, geplant/inklusive CSV, KeePass, manuell, REST-API, scan/einmalig, geplant/inklusive CSV, manuell, REST-API, scan/einmalig, geplant/inklusive, API+Scan: Enterprise Plus Edition manuell, scan/einmalig, geplant/inklusive manuell, REST-API, scan/einmalig, geplant/inklusive CSV, manuell, REST-API, scan/einmalig, geplant/inklusive CSV, manuell, REST-API, scan/einmalig, geplant/inklusive
Erkennung von Abhängigkeiten ja ja ja ja ja (Enterprise Plus Edition) ja ja ja ja
Offboarding-Möglichkeiten manuell: API, Web UI manuell: API, WebUI manuell: API, WebUI autom.: markieren gelöschter Konten, manuell: API, WebUI autom.: AD sync, manuell: Client, WebUI, API (API: Enterprise Plus ) manuell: WebUI autom.: LDAP sync, manuell: API, Web UI autom.: AD sync (separate Lizenz: Account Lifecycle Manager) manuell: API, WebUI
Komplexitätsregeln
Länge/Zeichensatz 4-128/Zeichenliste definierbar (blacklist/whitelist) 4-255/Zeichenliste definierbar (blacklist/whitelist) keine Einschränkung/Zeichenliste definierbar (blacklist/whitelist) 1-255/Zeichenliste definierbar (blacklist /whitelist) 3-100/Zeichenliste definierbar (blacklist /whitelist) keine Angaben/Zeichenliste definierbar (blacklist /whitelist) 3-255/Zeichenliste definierbar (blacklist /whitelist) 1-999/Zeichenliste definierbar (blacklist /whitelist) unbegrenzt/Zeichenliste voreingestellt
Historie /Zeichenwiederholung / aussprechbar nein/nein/nein ja/ja/nein ja/ja/nein ja/nein/nein nein/nein/ja ja/ja/nein nein/ja/nein nein/nein/nein ja/ja/nein
weitere Funktionen
Überprüfung (password verify)
auf Anforderung / geplant
ja/ja ja/ja ja/ja ja/ja ja/ja ja/ja ja/ja nein/ja nein/nein
Zurücksetzen (reconcile)
vorhanden / automatisch / manuell
ja/ja/k.A. ja/ja/k.A. ja/ja/ja ja/ja/ja ja/ja/k.A. ja/nein/ja ja/ja/ja ja/nein/k.A. ja/nein/k.A.
Zwischenablage
Copy & Paste / auto-clear
ja/nein ja/nein ja/ja ja/ja ja/ja nein/- ja/nein ja/nein ja/nein
Workflows
exclusive access / one-time password / dual-control / split password
ja/ja/ja/nein ja/ja/ja/nein ja/ja/ja/ja ja/ja/ja/nein ja/ja/ja/teilw. ja/ja/ja/nein ja/ja/ja/nein ja/ja/ja/teilw. ja/ja/ja/nein
Ticketing Integration ja (BMC Remedy, CA ServiceDesk, JIRA, ServiceNow) ja (BMC Remedy, CA Service Desk Manager, HP Service manager) ja (BMC Remedy, ServiceNow, custom) ja (JIRA, ServiceDesk Plus, ServiceNow) nein ja (ServiceNow) ja (BMC Remedy, ServiceNow) ja (BMC Remedy, ServiceNow, custom) ja (k.A.)
Sitzungsverwaltung (session management) ja ja ja ja ja (Enterprise Plus Edition) ja ja ja ja
Funktionen Sitzungs­verwaltung
Architektur / Protokollsupport / Aufzeichnung ohne verwaltetes Passwort
agent-less/RDP, SSH/ja agent-based, jump host, SSH/telnet Proxy/HTTPS, RDP, SSH, Telnet, VNC/nein jump host/abhängig vom verwendeten Client/ja jump host/RDP, SQL, SSH, VNC/ja agent-less/Browser Plugin, RDP, SSH/nein agent-based, jump host/RDP, SQL, SSH, abhängig vom verwendeten Client/ja proxy-based/HTTPS, ICA, RDP, SSH, Telnet, TN3270, TN5250, VNC/ja agent-less, jump host (optional)/abhängig vom verwendeten Client/ja jump host/RDP, RLOGIN, SSH, VNC/ja
Sitzungsaufzeichnung (session recording) ja ja ja ja ja ja ja ja ja
Einschränkung nach
Benutzer und Gruppen / Zielsystem
ja/ja ja/ja ja/ja ja/ja nein/ja ja/ja ja/ja ja/ja ja/ja
Live Session Monitoring
unterstützt / Auditor je Zielsystem
ja/ja nein/– ja/ja ja/nein nein/– ja/ja ja/ja ja/nein ja/ja
live session termination
unterstützt / durch Auditor / durch Ereignis
ja/ja/teilweise ja/ja/ja ja/ja/ja ja/ja/nein –/–/– ja/ja/ja ja/ja/ja ja/ja/nein ja/ja/ja
Aufzeichnungen
Format / Indizierung / OCR
proprietär/ja/nein k.A./ja/nein AVI, Text/ja/nein proprietär/ja (SSH, SQL)/nein JPG/nein/nein WebM/ja/nein proprietär/ja/ja MPEG/ja/nein MP4/ja/ja
Aufzeichnungszugriff
verfügbar/Zugriffsbeschränkung nach Nutzer / Zugriffsbeschränkung nach Zielsystem / dual-control
Sitzungsende/ja/ja/nein Sitzungsende/ja/ja/nein Text: unmittelbar, Video: Sitzungsende/ja/ja/ja Sitzungsende/ja/ja/nein währenddessen/ja/ja/nein währenddessen/ja/ja/ja währenddessen/ja/ja/ja Sitzungsende/ja/nein/ja Sitzungsende/ja/ja/nein
Integration mit Applikationen (AAPM) ja ja ja (Zusatzlizenz) ja teilw. ja ja ja ja
AAPM Architektur / Zugriffsprotokoll AAPM API/REST AAPM agent/HTTP, REST AAPM agent, AAPM API, credential push/REST AAPM API/REST, XML-RPC AAPM agent/REST k.A./REST AAPM API/REST AAPM agent, AAPM API, credential push/REST AAPM API/REST
Authentifikation Benutzer/Passwort, API Key, Source IP, Client Zertifikat Benutzerkonto, Hash, Pfad Adresse, Applikations­name, Benutzerkonto, Hash, Hostname, Zertifikat SSH-CLI: public key, XML-RPC: Zertifikat, REST: API-Key + Hostname k.A. API Key API key + Zertifikat Adresse, Benutzerkonto, Hostname k.A.
Offline-Fähigkeit ja (Agent) ja (Agent) ja (Agent) nein ja nein nein ja (Agent) ja
Anomalieerkennung (threat analytics) ja ja (separate Lizenz) ja nein nein nein ja ja (separate Lizenz) ja
Erkennung
autom. Baseline / Umgehungserkennung / Sitzungsanalyse / Pass-the-Hash / Kerberos Golden Ticket
ja/nein/ja/nein/nein ja/nein/ja/nein/nein ja/ja/ja/ja/ja nein/nein/nein/nein/nein nein/nein/nein/nein/nein nein/nein/ja/nein/nein ja/nein/ja/nein/nein ja/nein/nein/nein/nein nein/nein/ja/nein/nein
Reaktion
Sitzungstrennung / Passwortänderung
ja/ja ja/ja ja/ja nein/nein nein/nein ja/nein ja/nein nein/nein ja/nein
Benutzerverwaltung
Verzeichnisdienste Active Directory Active Directory, CA Directory, Red Hat, LDAPv3 Active Directory, eDirectory, OpenLDAP, Oracle Internet Directory Active Directory, Azure Active Directory, LDAPv3 Active Directory Active Directory, eDirectory, OpenLDAP Active Directory, OpenLDAP Active Directory Active Directory, LDAPv3
Authentifizierungsverfahren Kerberos, LDAP, RADIUS, SAML, SSO LDAP, lokal, NTLM/Kerberos, PKI, RADIUS, SAML, TACACS+ LDAP, NTLM/Kerberos, PKI, RADIUS, SAML, SSO Azure Active Directory, LDAP, lokal, NTLM/Kerberos, PKI, RADIUS, SAML: ADFS, Okta, OneLogin LDAP, NTLM/Kerberos, PKI, RADIUS LDAP, NTLM/Kerberos, SSO lokal, LDAP, PKI, RADIUS, SAML, SSO NTLM/Kerberos, PKI, SAML, SSO LDAP, NTLM/Kerberos, PKI, RADIUS, SAML, SSO, TACACS+
mehrere Verfahren parallel? ja nein: globale Einstellung ja ja ja ja ja nein: globale Einstellung ja
Fallback (z.B. SmartCard -> RADIUS) nein ja: SmartCard -> RADIUS nein ja: extern -> intern nein ja nein nein ja
2-FA Unterstützung via RADIUS via RADIUS, RSA, SmartCard, SAML via OAUTH, RADIUS, SAML via DUO, Google Authenticator, Microsoft Authenticator, Okta Verify, PhoneFactor, RADIUS, RSA SecurID, YubiKey Google Authenticator, PKI, RADIUS, RSA, SafeNet, Yubico eigene: Microfocus Advance Authentication via RADIUS, SafeGuard 2-FA via DUO, Email, Google Authenticator,RADIUS, SAML via RADIUS
Betrieb & Sicherheit
Verschlüsselung
Ort der Verschlüsselung / data-at-rest / data-in-motion Produkt/AES-256/AES-256 Produkt/AES-256/TLS 1.2 Produkt/AES-256, RSA-2048/AES-256, RSA-2048 Produkt + Datenbank/AES-256/AES-256 Produkt + Datenbank/AES-256, RSA-4096, PBKDF2/TLS1.2 Produkt/AES-256/TLS1.2 Produkt/AES-256/TLS 1.2 Produkt/AES-256/TLS Produkt/AES-256, CHACHA20/TLS
Schlüsselkonzept / Schlüsselwiederherstellung / HSM-Support gemeinsamer Schlüssel für alle Passwörter/Schlüssel Backup möglich/ja (über PKCS#11-Treiber) gemeinsamer Schlüssel für alle Passwörter/nein („Schlüssel geht nicht verloren“)/ja eigener Schlüssel je Passwort und Version/Wiederherstellungs­schlüssel/ja gemeinsamer Schlüssel für alle Passwörter/k.A./ja eigener Schlüssel je Container/Recovery-Mechanismus/ja (über PKCS#11-Treiber) eigener Schlüssel je Objekt/k.A./nein gemeinsamer Schlüssel für alle Passwörter, optional: unterschiedliche Schlüssel für Aufzeichnungen/Wiederherstellungsschlüssel/ja eigener Schlüssel je Passwort/Schlüssel­backup möglich/ja k.A./ja/k.A.
Protokollierung
Integritätssicherung / Abdeckungsgrad / (SIEM) Anbindung Berechtigungskonzept, Appliance-Kapselung/alle Aktivitäten/ja, syslog Berechtigungskonzept, Appliance-Kapselung/alle wesentlichen Applikationsvorgänge/ja, syslog RBAC, Verschlüsselung/alle wesentlichen Applikationsvorgänge/ja, syslog RBAC und Verschlüsselung/alle wesentlichen Applikationsvorgänge/ja, syslog, SNMP traps Verschlüsselung/alle Aktivitäten/ja, syslog, API Verschlüsselung/alle Aktivitäten/ja RBAC/alle Aktivitäten/syslog k.A./alle Aktivitäten/ja, syslog digitale Signatur/alle Aktivitäten/ja
Reporting
Reporting / Zugriff auf Rohdaten vodefinierte Templates/ja vordefinierte Templates/teilweise (Datenexport möglich) vordefinierte Templates/ja vordefinierte Templates/ja (SQL) vordefinierte Templates/ja vordefinierte Templates/ja vordefinierte Templates/ja vordefinierte Templates/ja vordefinierte Templates/ja

Kennwörter sicher verwalten

Ursprung und Kernkompetenz aller vorgestellten Produkte ist die Verwaltung von Passwörtern. Die angebotenen Funktionen variieren im Detail, was jedoch in der Praxis unwesentlich ist. Hinter dem Begriff der Verwaltung eines Passwortes stecken die verschlüsselte Ablage, die Kontrolle des Zugriffs sowie die automatisierte Änderung des Passwortes. Das Erstellen, Ändern und Löschen von Konten hingegen ist die Aufgabe spezialisierter IAM-Tools (Identity and Access Management).

Die meisten Anbieter reichern die Passwortverwaltung noch mit allerlei zusätzlichen Funktionen an. So gibt es oft die Möglichkeit, das Kennwort innerhalb eines definierbaren Zeitraums nach Zugriff zu ändern (one-time password). Dabei ist es unerheblich, ob das Passwort tatsächlich für den Zugriff auf ein System genutzt oder ob es nur angezeigt wurde.

Bei Verwendung von geteilten Konten (shared accounts) bleibt bei paralleler Nutzung durch mehrere Anwender unklar, welche Person zu welchem Zeitpunkt welche Aktion durchgeführt hat. In den Logdateien findet sich allenfalls die Information, dass das Konto „Administrator“ eine bestimmte Änderung durchgeführt hat. Die Lösung dieses Problems besteht bei vielen Herstellern darin, einen exklusiven Zugriff (exclusive access) zu erzwingen. Dabei sperrt der erste Anwender beim Zugriff auf das Passwort automatisch weitere Zugriffe. Nach expliziter Freigabe durch den ersten Anwender wird das Passwort zunächst automatisch geändert, bevor weitere Personen es nutzen können. So will man sicherstellen, dass zu einem Zeitpunkt stets nur ein Anwender Kenntnis vom Passwort hat.

Manche Organisationen fordern zur Durchführung bestimmter Tätigkeiten die Zwei-Personen-Regel (dual control). Auch diese Anforderung lässt sich durch eingebaute Freigabeworkflows abbilden. Dabei ermittelt das System statisch (durch feste Rollenzuordnung) oder dynamisch (durch im Verzeichnisdienst zugeordnete Attri­bute) den Kreis der freigabeberechtigten Personen. Die Benachrichtigungen kommen dabei üblicherweise per E-Mail und die Freigabe einer Anforderung geschieht im jeweiligen Produkt.

Eine Abwandlung der Zwei-Personen-­Regel besteht in der gelegentlichen Anforderung, ein split Passwort darstellen zu können. In diesem Fall gibt es üblicherweise zwei Benutzergruppen, die jeweils die erste oder die zweite Hälfte des Passwortes einsehen können. Mit diesem Wissen ist dann eine gemeinsame Passworteingabe möglich. Unternehmen setzen dieses Verfahren jedoch selten ein, da es die Verwendung derselben Systemkonsole erfordert.

Alternativ zur Verwendung der Zwei-Personen-Regel fordern viele Unternehmen die Bindung des Passwortzugriffs an bestehende Abläufe in ihrem ITSM- oder Ticketing-System. Bei dieser ticketing integration gewährt das Tool den Zugriff auf das Passwort nur dann, wenn der anfordernde Nutzer auch im ITSM der aktive Bearbeiter ist und das im ITSM betroffene Zielsystem mit dem Zielsystem in der Passwortverwaltung übereinstimmt. Natürlich sind dabei auch Notfallprozesse möglich, die keine Online-Prüfung im ITSM vornehmen, sondern den Zugriff – mit entsprechender Protokollierung oder Alarmierung – unmittelbar freigeben.

Die Passwortverwaltung wird in der Praxis nicht nur für Konten eingesetzt, die Mitarbeiter interaktiv nutzen, sondern häufig auch für technische Konten, die bestimmte Dienste oder Batch-Jobs benötigen. Bei dieser Art von Konten reicht es nicht, das Kennwort im jeweiligen System (wie Active Directory) zu ändern. Es müssen auch die spezifischen Abhängigkeiten (account dependencies) berücksichtigt werden: Die Passwortänderung eines Windows-Kontos erfordert auch die Anpassung der Konfiguration von Diensten, die dieses Konto nutzen, da der Dienst sich andernfalls nicht mehr neu starten lässt. Die Berücksichtigung derartiger Abhängigkeiten ist je nach Anbieter unterschiedlich stark ausgeprägt. Windows-Dienste und geplante Aufgaben gehören zum Standard-Repertoire, COM-Objekte, IIS-­Application Pools oder die Anpassung von Registry oder Konfigurationsdateien sind weniger häufig zu finden.

Alle Anbieter führen die Änderung von Passwörtern im Zielsystem ohne Agenten und unter Nutzung der für die jeweilige Plattform üblichen Protokolle durch: SMB/CIFS oder WMI für Windows, SSH für Linux/Unix und Netzwerkgeräte, SQL für Datenbanken. Dabei erbt die Passwort­änderung naturgemäß die Stärken und Schwächen des jeweiligen Protokolls. Auf den Einsatz von Klartextprotokollen sollte man daher nicht nur bei diesem Verwendungszweck verzichten.

Alles noch ganz dicht?

Ergänzend zur Passwortänderung ist eine regelmäßige Überprüfung (password veri­fy) vor allem dann sinnvoll, wenn Anwender die Möglichkeit haben, das Passwort auf dem betroffenen System zu ändern. Das ist zum Beispiel der Fall, wenn die im Produkt gespeicherten Passwörter angezeigt oder in die Zwischenablage übernommen werden können: Der Anwender wäre in der Lage, das Passwort auf einfache Art und Weise zu ändern.

Ein anderes Szenario ist die Wiederherstellung eines Systembackups, das vor dem letzten Passwortwechsel durchgeführt wurde. Da wäre die Verwaltungssoftware nicht mehr in der Lage, das Passwort zu ändern, da das aktuelle nicht mit dem im Backup gespeicherten Passwort übereinstimmt. Die Überprüfung stellt hier sicher, dass solche Abweichungen frühzeitig erkannt werden. Einige Produkte bieten für solche Fälle die Möglichkeit, automatisiert einen Rücksetzprozess (reconciliation, password sync) anzustoßen. Dabei kommen stets zusätzliche Konten ins Spiel, die auf dem jeweiligen System das Recht besitzen, Passwörter anderer Konten zurückzusetzen.

Beim Generieren von Passwörtern unterstützen die vorgestellten Tools die üblichen Anforderungen an die Komplexität und die Länge (complexity rules). Die in Unternehmen oft anzutreffenden Richt­linien zu Komplexitätsvoraussetzungen, Kennwortchroniken sowie minimalem und maximalem Kennwortalter sind bei Einsatz eines Automaten zum Passwortwechsel meist überflüssig (Passwörter werden zufällig erzeugt und zuverlässig im gewünschten Zeitrahmen geändert) und teilweise sogar hinderlich (Mindestalter kollidiert mit Passwortänderung nach Nutzung).

Alle Anbieter speichern die Passwortinformationen in einem strukturierten Format. Es enthält neben dem Kennwort selbst Metadaten, die für die Verwaltung relevant sind. Dazu gehören die offensichtlichen Informationen wie Benutzername, Adresse des Zielsystems und Zielsystemtyp. Je nach Anbieter kommen noch andere Metadaten hinzu.

Firmen nutzen diese Möglichkeit oft, um Kommentare oder Verweise auf andere Systeme zu hinterlegen. Beim automatisierten Zugriff wäre es daher denkbar, hier weitere Statusinformationen, die für den Automatisierungsprozess relevant sind, abzulegen.

Kommentieren