NigglzFIAE Geschrieben 19. Oktober 2023 Teilen Geschrieben 19. Oktober 2023 (bearbeitet) Moin Leute, im Sommer 2024 muss ich mein Projekt abgeben, ich mach mir bereits jetzt schon Gedanken über mein Abschlussprojekt. Prinzipiell hab ich meinen Ausbilder meinen "eventuellen" Projektantrag für mein Projekt, den ich im Januar - Februar abgeben muss vorgestellt, dieser meinte jedoch, dass das Projekt zu Umfangreich sei. Deswegen würde ich mir eine zweite Meinung einholen. Ist-Analyse: Firma XY verfügt derzeit über keine interne Lösung zur Überprüfung auf Kompromittierung von verwendeten Passwörtern bei der Windows Nutzeranmeldung. Die Kennwortrichtlinie der Firma XY erfordert jedoch eine solche Überprüfung, die bisher nicht durch Microsoft als Bordmittel bereitgestellt wird. Die Verwendung einer Drittanbieterlösung ist aus Sicherheitsgründen nicht erwünscht. Daher soll eine interne Lösung in Form eines Prüf-Tools entwickelt werden, welches die zu prüfenden Passwörter prüfen kann. Hierfür soll eine Datenbank mit kompromittierten Passwörtern, basierend auf MariaDB genutzt werden. Was soll am Ende erreicht werden? Das Ziel des Passwort-Tools besteht darin, ein Sicherheitsmaß zu erreichen, indem die Kompromittierung der eingegebenen Passwörter überprüft wird, zusätzlich sollen die eingegebenen Passwörter nach der vom Datenschutzbeauftragten erstellten Passwortrichtlinie erfüllt und überprüft werden. Durch die interne Prüfung wird ein effizienterer Prozess geschaffen, um die Sicherheit der Passwörter zu gewährleisten. So hab ich es mir vorgestellt: Also Prinzipiell hat man eine Oberfläche (Anhand Windows Forms o. Ä.), bei welcher man im Menu 4 Seiten hat: 1. Prüfung auf Kompromittierung / Richtlinien, 2. Verhashung von Klarpasswörtern (passwortlisten), 3. Import (Hash-Passwort-Listen o. Ä.) 4. Settings Die Oberfläche soll kaum Logik besitzen, diese sendet die Abfrage via. API an die DB und gibt die zu erfüllenden Richtlinien bzw. den Status der Kompromittierung zurück, die ganze Logik hängt in der Bibliothek-Schicht im Projekt. Die API ist dann somit universell Anbindbar. Abfrage: Klarpasswort (Eingabe) -> Passwortrichtlinien werden geprüft -> Passwort wird verhashed -> API gleicht Hash in DB ab -> API gibt resultat zurück. Prinzipiell meinte mein Ausbilder ich solle den Import, sowie das Verhashen weg lassen und beim Ist-Zustand angeben das die Datenbank bereits vorhanden ist, wobei ich eigentl. mit DB-First arbeite. Die eigentliche Projektarbeit soll nur aus der Logik (DB-Schicht, Verhashung, API, Oberfläche, Prüfklasse) darstellen. Denkt Ihr das reicht? Und würde das als Abschlussprojekt funktionieren? Und ist es schlimm, wenn ich mein eventuellen Projektantrag jetzt hier veröffentlicht habe (könnten draus Schwierigkeiten entstehen, wenn z. B. die IHK-Prüfer das sehen) xD? Bearbeitet 19. Oktober 2023 von NigglzFIAE Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ickevondepinguin Geschrieben 19. Oktober 2023 Teilen Geschrieben 19. Oktober 2023 vor 11 Minuten schrieb NigglzFIAE: wenn z. B. die IHK-Prüfer das sehen Willkommen, von einem Prüfer Nein, dir entstehen in der Regel keine schwierigkeiten. Für welche Fachrichtung soll der Antrag denn sein? Anwendungsentwickler? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
NigglzFIAE Geschrieben 19. Oktober 2023 Autor Teilen Geschrieben 19. Oktober 2023 (bearbeitet) Aso ja AE Bearbeitet 19. Oktober 2023 von mapr Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ickevondepinguin Geschrieben 19. Oktober 2023 Teilen Geschrieben 19. Oktober 2023 Dann bin ich raus @stefan.macke oder @allesweg oder @skylake könnte ich mir hier vorstellen D. Ment reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
alex123321 Geschrieben 19. Oktober 2023 Teilen Geschrieben 19. Oktober 2023 https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-password-ban-bad-on-premises-deploy Warum ist das keine Lösung? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
NigglzFIAE Geschrieben 19. Oktober 2023 Autor Teilen Geschrieben 19. Oktober 2023 (bearbeitet) Weil es theoretisch einen Drittanbieter-Lösung wäre Bearbeitet 19. Oktober 2023 von mapr Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
alex123321 Geschrieben 19. Oktober 2023 Teilen Geschrieben 19. Oktober 2023 Ich bin kein Prüfer. Aus meiner Sicht kann das ein Projekt sein und ich finde es aus einer Entwickler sicht auch durchaus spannend. Fachlich empfinde ich das Projekt als gebastel und die Argumentation kann ich nicht nachvollziehen. Ich hoffe ihr habt kein AD Connect am laufen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
allesweg Geschrieben 20. Oktober 2023 Teilen Geschrieben 20. Oktober 2023 Der Einsatz eines Microsoft-Tools ist in einer Microsoft-Architektur aus Sicherheitsgründen ausgeschlossen, da es ein Fremd-Tool ist, aber eine Eigenentwicklung des Azubis ist sicherer? Spannende Einstellung. Was sagt der Datenschutz-Prüfer @charmanta? Brapchu, charmanta, Meadril und 1 Weiterer reagierten darauf 3 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT Wikinger Geschrieben 20. Oktober 2023 Teilen Geschrieben 20. Oktober 2023 vor 2 Stunden schrieb allesweg: Der Einsatz eines Microsoft-Tools ist in einer Microsoft-Architektur aus Sicherheitsgründen ausgeschlossen, da es ein Fremd-Tool ist, aber eine Eigenentwicklung des Azubis ist sicherer? Spannende Einstellung. Sehe ich auch so, zumal sei angemerkt, dass eine Lösung von Microsoft direkt, in meinen Augen bei einer Microsoft lastigen IT-Infrastruktur definitiv keine Drittanbieter Lösung ist. Drittanbieter wären in meinen Augen alles, was nicht vom Haus oder von Microsoft kommt. Und selbst wenn's vom Haus, also von Dir kommt, ist es streng genommen eine Drittanbieter Lösung. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
NigglzFIAE Geschrieben 20. Oktober 2023 Autor Teilen Geschrieben 20. Oktober 2023 vor 35 Minuten schrieb IT Wikinger: Sehe ich auch so, zumal sei angemerkt, dass eine Lösung von Microsoft direkt, in meinen Augen bei einer Microsoft lastigen IT-Infrastruktur definitiv keine Drittanbieter Lösung ist. Drittanbieter wären in meinen Augen alles, was nicht vom Haus oder von Microsoft kommt. Und selbst wenn's vom Haus, also von Dir kommt, ist es streng genommen eine Drittanbieter Lösung. Projektbegründnung: "Dieses Projekt wird umgesetzt, da die Notwendigkeit, Passwörter firmenintern zu überprüfen, ohne auf das Internet angewiesen zu sein (über das Intranet) besteht. Dies gewährleistet die Vertraulichkeit unserer Passwortdaten und minimiert das Risiko von Datenlecks und externen Abhängigkeiten. Die API bietet außerdem eine nahtlose Integration in unsere verschiedenen Produkte und Dienstleistungen. Ob es sich um E-Mail-Systeme, Datenbanken oder Zugangskontrollsysteme handelt, die API ermöglicht eine einheitliche Passwortprüfung und erhöht die Sicherheit. Die primäre Motivation hinter diesem Projekt liegt in der direkten Unterstützung der Anforderungen und Bedürfnisse unseres Unternehmens. Die interne Passwortprüfung ist von hoher Priorität, um Sicherheitsrisiken zu minimieren und Verwaltungsprozesse zu rationalisieren. Insgesamt gesehen stärkt die Implementierung dieser Passwortprüfungslösung unsere Sicherheitsmaßnahmen, optimiert interne Abläufe und gibt uns die Kontrolle über unsere Passwortverwaltung zurück. Dieses Projekt ist somit ein entscheidender Schritt in Richtung unserer unternehmensweiten Ziele und Visionen." -- Das wäre so prinzipiell die Begründung warum das Projekt durchgeführt wird. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hellerKopf Geschrieben 20. Oktober 2023 Teilen Geschrieben 20. Oktober 2023 (bearbeitet) Hat das ein "Vertriebsmitarbeiter" formuliert ? Es klingt (für mich ) nach Phrasendreschen. Wenn da stehen würde "Wir trauen nur uns selber", hätte ich es verstanden. Aber für eine IHK Projektarbeit sollten die Argumente handfester sein. Wie hoch sind die Passwortbrüche jetzt ? Wie weit sollen Sie gesenkt werden ? Warum ist das mit den vorhandenen Werkzeuge nicht zu schaffen ? Bearbeitet 20. Oktober 2023 von hellerKopf allesweg reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
allesweg Geschrieben 20. Oktober 2023 Teilen Geschrieben 20. Oktober 2023 Moment mal. Ihr bietet passwortpflichtige Produkte an und du sollst ein Tool stricken, welches explizit das Windowspasswort prüft, aber in eure Produkte einbindbar sein soll? Und das API macht es auch noch sicherer? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
NigglzFIAE Geschrieben 20. Oktober 2023 Autor Teilen Geschrieben 20. Oktober 2023 vor 3 Stunden schrieb allesweg: Moment mal. Ihr bietet passwortpflichtige Produkte an und du sollst ein Tool stricken, welches explizit das Windowspasswort prüft, aber in eure Produkte einbindbar sein soll? Und das API macht es auch noch sicherer? Ne, es soll prinzipiell nur das Passwort nach der PW-Richtlinie u. nach der Kompromittierung prüfen, um erstmal firmeninterne Passwörter zu prüfen. Sonst gibt es ja Lösungen wie HaveIbeenpawned, aber die liegen im Internet. So hab ich das zumindest verstanden xD Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
NigglzFIAE Geschrieben 20. Oktober 2023 Autor Teilen Geschrieben 20. Oktober 2023 vor 3 Stunden schrieb hellerKopf: Hat das ein "Vertriebsmitarbeiter" formuliert ? Es klingt (für mich ) nach Phrasendreschen. Wenn da stehen würde "Wir trauen nur uns selber", hätte ich es verstanden. Aber für eine IHK Projektarbeit sollten die Argumente handfester sein. Wie hoch sind die Passwortbrüche jetzt ? Wie weit sollen Sie gesenkt werden ? Warum ist das mit den vorhandenen Werkzeuge nicht zu schaffen ? Das ist erstmal alles Text den ich mir ausgedacht (hingerotzt) habe, wie es später sein könnte, den richtigen Projektantrag werde ich dann noch verfassen müssen. Ich hab von meinem Unternehmen nur grob das Thema bekommen und mir wurde gesagt das es das Abschlussprojekt sin kann... Ein richtiges Lastenheft oder Ähnliches hab ich nicht. Ich habe nur die Passwortrichtlinien. Eigentl. soll nur gewährleistet werden, dass das Passwort nicht kompromittiert ist. Aktuell gibt es keine Firmen-Interne Möglichkeit die Passwörter zur prüfen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hellerKopf Geschrieben 20. Oktober 2023 Teilen Geschrieben 20. Oktober 2023 vor 38 Minuten schrieb NigglzFIAE: mir wurde gesagt das es das Abschlussprojekt sin kann... Daran zweifle ich aber. Wieviel Kompetenz hat denn der "hat mir gesagt, dass......." ? Schütze dich davor, dass man dir nur ein Thema anbietet, weil sowas irgendwo in der Firma gebraucht werden kann. Gute Projektthemen kommen von echten Kunden und haben auch eine ausführliche Anforderungsbeschreibung charmanta reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
charmanta Geschrieben 20. Oktober 2023 Teilen Geschrieben 20. Oktober 2023 vor 10 Stunden schrieb NigglzFIAE: Insgesamt gesehen stärkt die Implementierung dieser Passwortprüfungslösung unsere Sicherheitsmaßnahmen, optimiert interne Abläufe und gibt uns die Kontrolle über unsere Passwortverwaltung zurück. Cool. ICH würde mich auf das Fachgespräch freuen Am 19.10.2023 um 12:58 schrieb NigglzFIAE: Die Kennwortrichtlinie der Firma XY erfordert jedoch eine solche Überprüfung, die bisher nicht durch Microsoft als Bordmittel bereitgestellt wird. vor 10 Stunden schrieb NigglzFIAE: Dieses Projekt ist somit ein entscheidender Schritt in Richtung unserer unternehmensweiten Ziele und Visionen." Visionen hatten die griechische Damen unter Drogeneinfluss ... Ist denn ein Testhacking von Kennworten innerhalb der Firma überhaupt legal ? Was passiert wenn ein ITler das Kennwort eines Users erraten hat ? Rechtsgrundlage ? Definierter Prozess ohne die Vertraulichkeit zu verlieren ? Steht das im BSIG oder im Grundschutz Kompendium oder in der DSGVO ? Werden die Kennworte im Klartext "getestet" und im Klartext gemeldet oder deren Hashwerte ? Das ist alles hoch komplex im juristischen Sinne .... Am 19.10.2023 um 12:58 schrieb NigglzFIAE: sollen die eingegebenen Passwörter nach der vom Datenschutzbeauftragten erstellten Passwortrichtlinie erfüllt und überprüft werden Komisch. Ich bin DSB und schule sie auch seit Jahren. Wir erstellen keine Richtlinen, wir dokumentieren sie. Ich habe das ungute Gefühl, dass hier Datenschutz ( personenbezogene Daten ) und Schutz der IT nach BSIG nicht klar abgegrenzt wurden. Das BSIG fordert den Einsatz von IDS und ähnlichen Systemen, zu denen man dieses hier zählen könnte, aber das hat mit dem DSB erstmal nix zu tun. Zurück zur Frage: Das Thema ist für Dich vermutlich nah am Selbstmord ... Ich würde definitiv was anderes empfehlen, außer Du bist supersicher was BSIG und BDSG angeht... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cortez Geschrieben 22. Oktober 2023 Teilen Geschrieben 22. Oktober 2023 Am 20.10.2023 um 21:36 schrieb charmanta: Zurück zur Frage: Das Thema ist für Dich vermutlich nah am Selbstmord ... Ich bin zwar FISI, aber das würde ich so unterschreiben. Aus eigener Erfahrung würde ich um das Thema Datenschutz gerade in der Prüfung einen großen Bogen machen, denn es kommt wie Charmanta aufgezeigt hat mit einigen Fallstricken und die brauchst du in deiner Abschlussprüfung nicht. Das nächste was mir hier Sorgen machen würde ist das dein Betrieb dir keine richtige Projektbeschreibung geben kann. Die Rückfragen hier zeigen mir, es ist auch dir nicht wirklich klar was von dir verlangt wird. Oder der FISI Ansatz, was ist der Grund für das Projekt? Am 20.10.2023 um 14:55 schrieb NigglzFIAE: Eigentl. soll nur gewährleistet werden, dass das Passwort nicht kompromittiert ist. Aktuell gibt es keine Firmen-Interne Möglichkeit die Passwörter zur prüfen. Das halte ich auch für sehr zweifelhaft. Ich gehe grundsätzlich davon aus, dass jedes Passwort kompromittiert ist. Das ist Ziel ist die Passwörter, komplex genug zu gestalten um das knacken zu einer ordentlichen Hürde zu machen. Hier wäre die Frage, was gibt es für Passwortregeln? Was ist Pflicht? Minimale erlaubte Länge? Großschreibung, Kleinschreibung, Zahl, Sonderzeichen? Das wäre, aber ehr etwas für einen FISI denn in einer Microsoftwelt, kriegst du das schnell mit einer GPO hin. Und das wichtigste? Werden die Mitarbeiter dies bezüglich geschult? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
NigglzFIAE Geschrieben 23. Oktober 2023 Autor Teilen Geschrieben 23. Oktober 2023 vor 19 Stunden schrieb cortez: Ich bin zwar FISI, aber das würde ich so unterschreiben. Aus eigener Erfahrung würde ich um das Thema Datenschutz gerade in der Prüfung einen großen Bogen machen, denn es kommt wie Charmanta aufgezeigt hat mit einigen Fallstricken und die brauchst du in deiner Abschlussprüfung nicht. Das nächste was mir hier Sorgen machen würde ist das dein Betrieb dir keine richtige Projektbeschreibung geben kann. Die Rückfragen hier zeigen mir, es ist auch dir nicht wirklich klar was von dir verlangt wird. Oder der FISI Ansatz, was ist der Grund für das Projekt? Das halte ich auch für sehr zweifelhaft. Ich gehe grundsätzlich davon aus, dass jedes Passwort kompromittiert ist. Das ist Ziel ist die Passwörter, komplex genug zu gestalten um das knacken zu einer ordentlichen Hürde zu machen. Hier wäre die Frage, was gibt es für Passwortregeln? Was ist Pflicht? Minimale erlaubte Länge? Großschreibung, Kleinschreibung, Zahl, Sonderzeichen? Das wäre, aber ehr etwas für einen FISI denn in einer Microsoftwelt, kriegst du das schnell mit einer GPO hin. Und das wichtigste? Werden die Mitarbeiter dies bezüglich geschult? Ohje, ich merke das das nischt mit der Projektarbeit wird 😕 Mit der Projektbeschreibung ist leider richtig, da werde ich wohl nochmals versuchen was konkretes anzufordern. Es handelt sich um eine Datenbank, gefüllt mit kompromittierten Passwörtern. Dabei werde die von den Mitarbeiter eingegebenen Passwörter nicht in der Datenbank abgespeichert, das Password wird verhashed und mit der Hashes (Passwörtern) in der DB angeglichen. Bei den Passwortrichtlinien handelt es sich erstmal, wie du bereits erwähnt hast um die Länge usw. also 14 Zeichen, Großbuchstaben etc. Prinzipiell wäre es natürlich möglich die Mitarbeiter über das Programm zu schulen, falls es wirklich irgendwann eingesetzt werden sollte. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
NigglzFIAE Geschrieben 23. Oktober 2023 Autor Teilen Geschrieben 23. Oktober 2023 Am 20.10.2023 um 21:36 schrieb charmanta: Cool. ICH würde mich auf das Fachgespräch freuen Visionen hatten die griechische Damen unter Drogeneinfluss ... Ist denn ein Testhacking von Kennworten innerhalb der Firma überhaupt legal ? Was passiert wenn ein ITler das Kennwort eines Users erraten hat ? Rechtsgrundlage ? Definierter Prozess ohne die Vertraulichkeit zu verlieren ? Steht das im BSIG oder im Grundschutz Kompendium oder in der DSGVO ? Werden die Kennworte im Klartext "getestet" und im Klartext gemeldet oder deren Hashwerte ? Das ist alles hoch komplex im juristischen Sinne .... Komisch. Ich bin DSB und schule sie auch seit Jahren. Wir erstellen keine Richtlinen, wir dokumentieren sie. Ich habe das ungute Gefühl, dass hier Datenschutz ( personenbezogene Daten ) und Schutz der IT nach BSIG nicht klar abgegrenzt wurden. Das BSIG fordert den Einsatz von IDS und ähnlichen Systemen, zu denen man dieses hier zählen könnte, aber das hat mit dem DSB erstmal nix zu tun. Zurück zur Frage: Das Thema ist für Dich vermutlich nah am Selbstmord ... Ich würde definitiv was anderes empfehlen, außer Du bist supersicher was BSIG und BDSG angeht... Erstmal danke für die Antwort, da habe ich mich bei meinem Beispiel für den Projektantrag wohl ein wenig falsch ausgedrückt. Dabei werden die von den Mitarbeiter eingegebenen Passwörter nicht in der Datenbank abgespeichert, das Password wird verhashed und mit der Hashes (Passwörtern) in der DB angeglichen. Bezüglich der Richtlinien habe ich ein Vorgabe anhand der Kennwortrichtlinien der Firma erhalten, dort gibt es einen Abschnitt namens "Kennwort-Kompromittierung", bei welchen steht, dass ein entsprechender Workflow bereitgestellt wird, der die Passwörter auf Kompromittierung prüft. Aber naja, wie bereits hier erwähnt wurde, scheint es wohl, dass ich mir mit diesem Projektthema selbst mein Grab schaufle. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.