Hallo, ich möchte für einen PC ein 4-Augen Prinzip. D.h., dass für den Zugriff/Anmeldung an den PC immer 2 Personen notwendig sind. Am einfachsten wäre natürlich, dass Person1 den ersten Teil des Passworts weiß und Person2 den Rest. Wunsch ist jedoch das von z.B. 10 Personen jeweils 2 beliebige Zugriff auf den Rechner erhalten. (Also P1+P2, P1+P3, P1+P4, P2+P3, P8+P3 ect.) Da da jemand eine Idee? Vielen Dank Petra
Man könnte z.B. Ein 10 stelliges PW nehmen. Jeder kennt 9 Stellen und Eine nicht, jeder eine Andere. So klappt das. Gruss Chregu
Dass es da fertig was gibt habe ich bisher nirgends gesehen. Aber es sowas ließe sich z.B. mit einem Mikrocontroller mit eigener Tastatur lösen, der die eigentliche Anmeldung am Windows übernimmt. D.h. die beiden Personen tippen jeweils ihren PIN über eine Zahlentastatur ein und der Controller gibt dann als Tastatur-Simulation das eigentliche Passwort für Windows ein. Alternativ aber auch einiges an Aufwand wären Benutzername und Passwort aus beiden Personen zusammensetzen. Ließe sich mit einem Script auch automatisch erzeugen. Also Benutzernamen nach Schema P1P2, P1P3, P1P4, ... und Passwörter ebenso. Dann müssen die Nutzer nur Ihre "Reihenfolge" kennen und können sich anmelden. Sind halt bei 10 Benutzer dann 45 Konten wenn ich mich nicht verrechnet habe.
Einer muss das BIOS-Passwort eingeben, um überhaupt zu starten, der andere das Windows-Passwort. Georg
So ein Theater für ein OS was jedes Kleinkind in 10 Min. knackt. Aber wenn du es unbedingt willst, Steck das OS in eine VMM. Und lasse den Startvorgang der VMM über ein eigenes Programm laufen. Das Prg = vmm müsste dann nur in einen geschützten Bereich liegen.
Vielleicht ist hier ein Suchbegriff dabei: https://docs.vmssoftware.com/vsi-openvms-guide-to-system-security/#INTRO_TO_PASSWORDS Windows hat ja viel von VMS übernommen, gerade interne Strukturen.
Ben B. schrieb: > Darf man fragen wozu? Vertrauen ist gut, das macht aber nur Sinn bei Kotrollfreaks wie Lehrer usw. ;)
Es wäre wirklich gut, den angestrebten Zweck der Übung zu wissen. Evtl. existiert eine bessere Lösung.
Petra fand keinen Ersatz für den Legacy-Rechner. Außerdem war die Lizenz abgelaufen.
Google hilft. Laut Microsoft Support Forum geht das. https://answers.microsoft.com/en-us/windows/forum/all/is-there-a-way-to-have-to-enter-two-passwords-to/9f0bdff7-de6d-45a8-9dd0-eb26a2448c38?tab=AllReplies#tabs Jedoch nicht mit mehreren Kombinationen. Ich wurde mal schauen ob es sich mit 2FA lösen lässt.
Vielen Dank schon mal für die Antworten. Es geht um Datenschutz. Der PC läuft 24/7 und protokolliert Daten unter anderem von den Mitarbeitern. Das muss auch so sein und ist Vorschrift. Nach der Datenschutzrichtlinie sollte aber niemand alleine die Daten auslesen können bzw. Zugriff darauf haben. Mir ist klar, dass man einen pc relativ leicht hacken kann. Genauso gut könnte man auch die Festplatte ausbauen. Aber darum geht es nicht.
Eine Ebene vorher ansetzen und den Zugang zum Raum mit dem Rechner passend absichern?
Schlaumaier schrieb: > So ein Theater für ein OS was jedes Kleinkind in 10 Min. knackt. Bei einem lokalen Passwort stimmt das, bei einem PC in der Domäne wird das etwas schwieriger.
Ist es denn wichtig, dass jede mögliche Kombination von Nutzern ein eigenes Konto besitzt?
> Man könnte z.B. Ein 10 stelliges PW nehmen. > Jeder kennt 9 Stellen und Eine nicht, jeder eine Andere. > So klappt das. Quatsch. Wenn mir zu meinem gültigen Kennwort nur eine Stelle fehlt, errate ich die in kurzer Zeit. Ist aber in der Tat eine schwierige Aufgabe und lässt sich wohl kaum mit Bordmitteln erreichen. Was ich machen würde wäre erstens den Computer physikalisch sichern. Je nachdem wie sehr man es auf die Spitze treiben möchte, könnte man den PC in einen sicheren Schrank mit zwei verschiedenen Schlössern stellen, zu dem niemals jemand beide Schlüssel hat. Eine Stufe höher wäre dann noch eine Manipulationssicherung, beispielsweise wenn der Schrank geöffnet wird, fährt der Rechner herunter. Der Angreifer kommt so evtl. an die Festplatten heran, aber wenn die gut verschlüsselt sind, bringen die ihm kalt überhaupt nichts. Die Zugriffe müssten dann extern geregelt werden, etwa daß eine Person eine Anfrage startet und eine zweite Person diese Anfrage lesen und autorisieren muß bevor sie ausgeführt wird oder die angefragte Information freigegeben wird.
Ben B. schrieb: > Quatsch. Wenn mir zu meinem gültigen Kennwort nur eine Stelle fehlt, > errate ich die in kurzer Zeit Meine Güte, dass ist doch jetzt Unsinn. Das System ist perfekt, wenn auch aufwendig. Jede Stelle entspricht einem Passwort: ob 1 Ziffer, ein Buchstabe oder 17 willkürliche Zeichen. Jeder Nutzer muss halt das 5fache davon eingeben und das 9fache behalten. Ja, ist dann so.
Und keine Sau wird sich das merken können, da kann ich Dir jetzt schon sagen wie sowas endet. Genau wie beim störenden Türkontakt z.B. eines CNC-Bearbeitungszentrums. Da steckt binnen drei Tagen ein Schraubendreher oder ein Stück Blech drin weil man durch die Scheibe nichts erkennt und der Bediener die Schnauze voll davon hatte.
Petra schrieb: > Es geht um Datenschutz. Der PC läuft 24/7 und protokolliert Daten unter > anderem von den Mitarbeitern. Wenn der Rechner 24/7 läuft benötigst Du dann einen Bildschirmschoner mit Freischaltung? Wir betreuen so ein System in einem Seniorenheim zur Protokollierung der Reaktionszeiten des Pflegepersonals auf Hilferufe der Bewohner. Das Passwort besteht aus vier Buchstaben und vier Zahlen, die Geschäftsführung kennt die Buchstaben und der Betriebsrat die Zahlen und können somit nur gemeinsam die Daten ansehen.
Mal laut gedacht... Geht es wirklich um die Anmeldung oder evtl. nach der Anmeldung um das benutzen eines bestimmten Programmes, das dann die Daten ausgibt bzw. auswertet? Wenn der zweite Fall auch möglich sein sollte könnte man das meiner Meinung nach mit powershell scripts hinbekommen. Voraussetzung wäre, das die User auf dem Rechner extrem eingeschränkte Rechte hätten (via GPOs, Rechteentzug auf Verzeichnisebene, ...). Der Rechner selbst sollte einem "hardening process" auf BS Ebene durchlaufen, evtl. sollte der Zugriff selbst auf dem Rechner wo das Programm läuft auch nur über RDP stattfinden. Alles zusammen wäre das eine sehr individuelle Frickellösung - aber machbar.
Einer kennt das Passwort, der andere hat den USB Stick mit dem Keyfile.
Ben B. schrieb: > Quatsch. Wenn mir zu meinem gültigen Kennwort nur eine Stelle fehlt, > errate ich die in kurzer Zeit. Das ist nur zum Verständnis für einfach gestrickte Leute. Ich habe geschrieben Christian M. schrieb: > z.B. Man erweitert das natürlich auf mehrere Stellen. Das Prinzip funktioniert, aber eben: Ben B. schrieb: > sagen wie sowas endet. Genau wie beim störenden Türkontakt Petra schrieb: > Aber darum geht es nicht. ! Gruss Chregu
Jedem Mitarbeiter wird ein Chip eingepflanzt. Nur wenn mindestens zwei Mitarbeiter im Raum eingelogt sind wird die Resource freigegeben. War doch einfach ;)
Wenn man sich in die Windows Anmeldung einklinken kann, könnte man dieses Verfahren implementieren: https://en.wikipedia.org/wiki/Shamir%27s_Secret_Sharing
Eventuell lässt man einen Auftragsprogrammierer ran. Der könnte ein Programm entwickeln, welches zur Anmeldung zwei RFID-Tags erwartet, und erst wenn beide Tags eingelesen sind die Anmeldung vornimmt.
:
Bearbeitet durch User
Ben B. schrieb: > könnte man den PC > in einen sicheren Schrank mit zwei verschiedenen Schlössern stellen, zu > dem niemals jemand beide Schlüssel hat. Das wird mit der Anforderung, das von 10 Leuten beliebige 2 Zugriff bekommen sollen schon spannend, sofern man das rein mechanisch machen will.
Petra schrieb: > Es geht um Datenschutz. Anscheinend haben die Profis des Datenschutzes, IT-Sicherheit und Cyberagentur sich was am Schreibtisch einfallen lassen und Petra soll es nun richten. Aktuell geht das nur mit Sonderanwendungen, die zum Starten eine solche Prozedur fest eingebaut haben. Aber für das eine Betriebssystem gibt es das nicht.
Dieter schrieb: > Anscheinend haben die Profis des Datenschutzes, IT-Sicherheit und > Cyberagentur sich was am Schreibtisch einfallen lassen Ja die Theoretiker. Idee Note 2, Ahnung Note 6. 😁
Reinhard S. schrieb: > Das wird mit der Anforderung, das von 10 Leuten beliebige 2 Zugriff > bekommen sollen schon spannend, sofern man das rein mechanisch machen > will. Die Lösung ist aber identisch: 10 Schlösser und jeder hat nur 9 Schlüssel
Praktikabel ist das aber nicht. Da muss nur einer kurzfristig ausfallen und kein Ersatz greifbar sein. Jetzt mit Corona nicht auszuschließen.
:
Bearbeitet durch User
A. S. schrieb: > Reinhard S. schrieb: >> Das wird mit der Anforderung, das von 10 Leuten beliebige 2 Zugriff >> bekommen sollen schon spannend, sofern man das rein mechanisch machen >> will. > > Die Lösung ist aber identisch: 10 Schlösser und jeder hat nur 9 > Schlüssel Wenn jeder einen Schlüssel hat und du die Mechanik so hinbekommst, das die Tür nur aufgeht, wenn zwei Schlösser gleichzeitig bewegt werden, könnte das hinkommen. Sieht halt vielleicht nicht schön aus mit 10 Schlössern ;) Ich war zu sehr bei Berechtigungen und im elektronischen Bereich festgeklemmt...
Reinhard S. schrieb: > Sieht halt vielleicht nicht schön aus mit 10 Schlössern ;) Wozu 10 Schlösser? Es genügen ein Schloss und RFID-Tags. Zwei Schlüssel müssen innerhalb einer festgelegten Zeit eingelesen werden. Jeder Schlüssel betätigt ein Relais. Sind beide Relais aktiviert wird der Türöffner betätigt. "Rein mechanisch" ist das eher Unsinn.
Falls der Rechner zwei USB-Slots hat, könnte die Idee mit den USB Sticks durchaus funktionieren, sofern es nicht nur um den Login-Vorgang in Windows, sondern um den Start einer bestimmten Applikation geht. Wenn mindestens zwei Sticks mit den entsprechenden Key-Files gefunden werden, wird der Zugriff auf das Programm genehmigt. Markus
:
Bearbeitet durch User
Reinhard S. schrieb: > Ben B. schrieb: > >> könnte man den PC >> in einen sicheren Schrank mit zwei verschiedenen Schlössern stellen, zu >> dem niemals jemand beide Schlüssel hat. > > Das wird mit der Anforderung, das von 10 Leuten beliebige 2 Zugriff > bekommen sollen schon spannend, sofern man das rein mechanisch machen > will. Das ist ganz einfach: Schrank mit zwei identischen Schlössern. Jeder Benutzer bekommt den gleichen Schlüssel. Jetzt noch Zugangskontrolle zum Serverraum mit Batch und Videoüberwachung.
Guest schrieb: > Das ist ganz einfach: Schrank mit zwei identischen Schlössern. Jeder > Benutzer bekommt den gleichen Schlüssel. Du musst noch dabei sagen, dass die Schlösser den Schlüssel im aufgesperrten Zustand festhalten müssen UND das Schloss nicht wieder abgeschlossen werden können darf ohne die Tür zu verschließen.
Petra schrieb: > Es geht um Datenschutz. Der PC läuft 24/7 und protokolliert Daten unter > anderem von den Mitarbeitern. Das muss auch so sein und ist Vorschrift. > Nach der Datenschutzrichtlinie sollte aber niemand alleine die Daten > auslesen können bzw. Zugriff darauf haben. > Mir ist klar, dass man einen pc relativ leicht hacken kann. Genauso gut > könnte man auch die Festplatte ausbauen. Aber darum geht es nicht. Auf dem Protokollierer liegt nur der Verschlüsselungskey von einem Schlüsselpärchen, und die Daten werden auf dem Protokollierer damit verschlüsselt. Damit wären zu mindestens bereits protokollierte Daten auch gegen Einsicht geschützt, ein erfolgreicher Angreifer könnte nur noch auf neue Daten zugreifen. Der Entschlüsselungskey liegt woanders, der muss natürlich geschützt werden, ist aber möglicherweise einfacher wenn der nicht auf dem Protokollierer liegt.
Wieder so ein hätte, könnte, dürfte Verlauf der Beiträge, weil vom TO keine Rückmeldungen mehr kommen ...
Danke für die Zahlreichen Rückmeldungen. Am geeignesten scheint mir eine Lösung mit Zusatzsoftware / Bildschirmschoner. Sofern es etwas gibt was den Anforderungen entspricht. Von mechanischen Lösungen möchte ich absehen. (In dem Serverschrank / Raum ist noch mehr Technik installiert. Auf die anderen Komponenten muss man auch alleine Zugriff haben können.)
Petra schrieb: > Am geeignesten scheint mir eine Lösung mit Zusatzsoftware / > Bildschirmschoner. Sofern es etwas gibt was den Anforderungen > entspricht. Die haben alle nur ein Kennwort. Für zwei verschiedene Kennwörter/Anmeldedaten braucht es spezielle an eure Bedürfnisse angepasste Software. Bis Windows 10 1703 konnte man noch Syskey nutzen und damit ein zweites Anmeldekennwort setzen, das hat Microsoft aber inzwischen entfernt.
:
Bearbeitet durch User
Wahnsinn, was man heute für eine Aufwand treiben muss wegen Datenschutz. Früher hätte so eine Anmeldeprozedur ausgereicht, um einige Dutzend Interkontinentalraketen starten zu können.
Eine moderne Loesung waere : Die beiden Benutzer tragen sich ein, oder suchen sich aus einer Liste aus. Denen wird jeweils auf eine hinterlegte Mobil Nummer per SMS eine zufaellige Zahl mitgeteilt. die tragen sie jeweils ein. Die Protokolier Software muss diesen Prozess unterstuetzen, resp implementieren. Man kann das auch machen, dass die Zahlen nur eine begrenzte Zeit gueltig sind. zB 5 Minuten, um aus dem Keller vor die Tuere zu gelangen, wo die SMS dann auch empfangen werden kann, Im Keller ja eher nicht.
:
Bearbeitet durch User
2 Lesegeräte und jeder legt seinen Betriebsausweis oder was entsprechendes drauf, das System kennt die Berechtigten und auch in welcher Kombination sie die Daten lesen dürfen, das kann man beliebig fein aufteilen. Sicherheitshalber würde ich das Programm abbrechen wenn einer der Ausweise entfernt wird, zumindest müsste es ein Zeitlimit geben. Für das Starten könnte man auch 2 gültige Fingerabdruck- oder Iris-Scans innerhalb einer Minute nehmen. Die Prozedur auf Atom-Ubooten mit 2 gleichzeitig gedrehten Schlüsseln (wenn man den Filmen glauben darf) löst nur das halbe Problem, nicht wann die Berechtigung endet - einfach weil nach dem Start von Atomraketen alles weitere sowieso egal ist. Georg
Petra schrieb: > Von mechanischen Lösungen möchte ich absehen. (In dem Serverschrank / > Raum ist noch mehr Technik installiert. Auf die anderen Komponenten muss > man auch alleine Zugriff haben können.) Dann einen ders kann, mit einer Fernsteuerung/remote per intelligenter Zulassung beauftragen. Admin installiert das anzuschaffende Remotesystem mit Fingerabdruck- oder Iriskamera und 2x 3FA-Faktor-Authentifizierung (Besitz + Wissen + biometrisches Merkmal - Augeniris oder Fingerprint). Nach erfolgter Vieraugenprüfung bootet das Prüfsystem den Windowsrechner per Draht oder per Funk (Routerawake). Nach dem booten von Windows gehts wie gewohnt weiter. Viel Erfolg!
Georg schrieb: > Betriebsausweis Aber was, wenn einer zwei Karten hat? Biometrisch ist sicherer, obwohl... Schäubles Glas :(
Du brauchst einfach nur einen 4-Augen-Scanner. Wo ist das Problem? Kannst Du Google nicht (richtig) bedienen? Wirft Google nichts aus? Kennst Du das "Dark-Net"? Gibt es dort auch nichts? Gründe ein Start-up und ziehe Leuten das Geld aus der Tasche - ist lohnend für Dich und vielleicht findest Du auch jemanden, der eine Idee dazu hat. Falls nicht - so what (GmbH UG vorausgesetzt)? "Vater Staat" macht es einfach, Leute über den Tisch zu ziehen.
:
Bearbeitet durch User
@Sammeltier
> ... Biometrisch ist sicherer
Nein, definitiv NICHT, wurde oft bewiesen.
Unter Linux wäre so etwas möglich zu realisieren. Für wenige Nutzer ginge das auch manuell. In einer VM müßte dann das Windows laufen mit normaler Anmeldung.
1.Im Sägewerk könnte der nötige Finger für die biometrische Anmeldung fehlen? 2.Je komplizierter solch eine Prozedur gestaltet wird, desto mehr geht schief, wenn der Admin gerade Urlaub hat ... Mein Vorschlag wäre: übliches USER-PW + Besitz einer nötigen Hardware wie USB-Stick oder aktueller SMS. Wenn der User Nr.3 natürlich seinen Stick verleiht, wird es Mist.
Sammeltier schrieb: > Biometrisch ist sicherer Ja und Nein. Wenn jemand einen Abzug von deiner Fingerkuppe hat und damit das System täuschen kann, hast du ein für Biometrie typisches Problem: du kannst wenn nötig ein kompromittiertes Passwort wechseln oder einen Ausweis oder einen Schlüssel, aber nicht deinen Finger oder deine Iris. Es soll auch vorkommen dass man sich beim Kochen in den Finger schneidet... Mein altes Notebook erkennt meinen Finger in geschätzt 80% der Fälle, wenn nicht muss ich es nochmal probieren. Georg
Pucki, Schlaumaier schrieb: > So ein Theater für ein OS was jedes Kleinkind in 10 Min. knackt. > > Aber wenn du es unbedingt willst, Steck das OS in eine VMM. Und lasse > den Startvorgang der VMM über ein eigenes Programm laufen. > > Das Prg = vmm müsste dann nur in einen geschützten Bereich liegen. es ist unerträglich mit Dir, Deine Kryptokenntnisse sind auf dem Niveau von Detlev Granzow. > So ein Theater für ein OS was jedes Kleinkind in 10 Min. knackt. Versuch' Dich doch mal an einem mit Truecrypt oder Veracrypt verschlüsselten Laptop mit einem Windows- oder Linux-Betriebssystem. Du hast überhaupt keinen Plan, wie heutzutage Schutz realisiert wird und kennst nur Computerkonfigurationen, die von kenntnisfreien Script-Kiddies "gehackt" werden können.
Christian M. schrieb: > Man könnte z.B. Ein 10 stelliges PW nehmen. Jeder kennt 9 Stellen und > Eine nicht, jeder eine Andere. So klappt das. > > Gruss Chregu Je nachdem wie groß der Schlüsselzeichensatz ist, finden die Schlüsselbesitzer schnell die fehlende Stelle heraus...
Peter M. schrieb: > Christian M. schrieb: >> Man könnte z.B. Ein 10 stelliges PW nehmen. Jeder kennt 9 Stellen und >> Eine nicht, jeder eine Andere. So klappt das. >> >> Gruss Chregu > > Je nachdem wie groß der Schlüsselzeichensatz ist, finden die > Schlüsselbesitzer schnell die fehlende Stelle heraus... Die Lösung dafür gab es dafür im Beitrag #6958613:
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.