heise PlusAbo
Anzeige

Credential-Management fĂĽr DevOps-Teams

Seite 2: Produktauswahl

Inhaltsverzeichnis

Die Palette der angebotenen und etablierten Credential-Management-Produkte lässt sich in drei Klassen einteilen, wobei die Autoren aus jeder Klasse stellvertretend für diese ein bekanntes Produkt ausgewählt haben, um die entsprechenden Ansätze anhand der Auswahlkriterien zu untersuchen. Die Produktklassen gliedern sich folgendermaßen:

  • eine verschlĂĽsselte Datei, eventuell ĂĽber ein Laufwerks-Share verteilt (Vertreter: KeePassX)
  • Dateibaum mit vielen Dateien, eventuell verteilt ĂĽber Git (Vertreter: passwordstore)
  • Online as a Service (Vertreter: LastPass)
KeePass(X)

KeePassX ist ein persönlicher, lokaler Passwortmanager, der Passwörter in einer symmetrisch verschlüsselten Datei auf dem eigenen Computer speichert. Manche Teams nutzen die KeePassX-Dateien gemeinsam und verteilen so Credentials im Team.

KeePassX legt Credentials in Files ab (Abb. 1)

Wie passt KeePassX zu den Anforderungen?

  • Sicherheit: KeePass wurde durch das EU-Projekt FOSSA 2016 auditiert, auch fĂĽr den Nachfolger KeePassX gibt es kleinere Sicherheitsaudits. KeePass und KeePassX nutzen dasselbe Speicherformat.
  • Benutzbarkeit: KeePassX hat ein ansprechendes Frontend und ist sehr benutzerfreundlich.
  • verteilt nutzbar: Einige Teams nutzen KeePassX und die in einer Datei gespeicherten Passwörter per Netzlaufwerk, OwnCloud oder Ă„hnlichem gemeinsam. Allerdings ist KeePassX fĂĽr diese Nutzung nicht vorgesehen, da nur ein Teammitglied die Datei zum Schreiben öffnen und so neue Passwörter hinzufĂĽgen kann.
  • Integrationsfähigkeit: Mit python-keepassx liegt eine Kommandozeilenintegration vor, die allerdings schon länger keine Updates erfahren hat.
  • Offline-Fähigkeit: ist gegeben.
  • breite BetriebssystemunterstĂĽtzung: Die Software läuft unter Linux, macOS und Windows.
  • Personal-ProzessunterstĂĽtzung: FĂĽr das Onboarding benötigen neue Teammitglieder das Passwort zum Entsperren, wodurch sie auf alle Passwörter zugreifen können. Offboarding wird nicht spezifisch unterstĂĽtzt, daher sind eventuell alle Credentials auszutauschen.
  • Lizenzmodell: KeePass und KeePassX stehen unter der GNU General Public License Version 2.

LastPass ist Passwortmanagement as a Service. Es speichert die Passwörter aller Benutzer in der Cloud. Der Betreiber macht jedoch keine Aussage darüber, wo sich die Server befinden, jedoch können Premium-Benutzer als Serverstandort zwischen EU und USA auswählen. Prozesse wie das Hinzufügen von Teammitgliedern oder das Gewähren von Zugriffen auf ein Credential werden komfortabel unterstützt.

LastPass ist ein reiner Online-Service (Abb. 2)

Wie passt LastPass zu den Anforderungen?

  • Sicherheit: Die Passwörter (geschĂĽtzt durch ein Masterpasswort) liegen beim Hersteller und nicht im eigenen Haus. Das bedeutet auf der einen Seite die Gefahr, dass Passwörter in fremde Hände gelangen, auf der anderen Seite kann der LastPass-Hersteller aber auch intensivere SicherheitsmaĂźnahmen einsetzen.
  • Integrationsfähigkeit und Offlinenutzung: LastPass lässt sich zum Beispiel mit lastpass-python rudimentär auf der Kommandozeile integrieren, allerdings ist eine Offlinenutzung damit nicht möglich.
  • Personal-ProzessunterstĂĽtzung: Umfangreiche UnterstĂĽtzung fĂĽrs Teammanagement ist vorhanden.
  • Lizenzmodell: Es gibt verschiedene Bezahlmodelle fĂĽr Privatanwender und Unternehmen zur Nutzung des LastPass-Service.

Nachvollziehbarkeit und Transparenz, Benutzbarkeit, verteilte Nutzung und abgestufter Empfängerkreis sind die Kerngründe, um LastPass zu nutzen. Durch Browsererweiterungen und Smartphone-Apps ist eine breite Betriebssystemunterstützung gegeben.

password-store

password-store ist ein einfaches Kommandozeilentool, das GnuPG und Git dazu nutzt, um Passwörter zu verwalten. Mit dem passenden Set-up lässt sich der Zugang zu Credentials individuell konfigurieren.

VerschlĂĽsslung mit GnuPG und Verteilung mit Git (Abb. 3)

Wie passt password-store zu den Anforderungen?

  • Sicherheit: Credentials werden mit GnuPG asymmetrisch verschlĂĽsselt. Damit lassen sich Credentials einfach und sicher verteilen. Mit GnuPG setzt password-store auf VerschlĂĽsslung mit hohem Sicherheitsniveau.
  • Benutzbarkeit: Git und vor allem GnuPG sind anspruchsvoll in der Benutzung. Gerade GnuPG sorgt dafĂĽr, dass man mit Startschwierigkeiten rechnen sollte.
  • breite BetriebssystemunterstĂĽtzung: Linux und macOS werden unterstĂĽtzt, jedoch funktioniert die UnterstĂĽtzung fĂĽr Windows nur mit (einigen) Abstrichen.
  • Personal-ProzessunterstĂĽtzung: On- und Offboarding ist mit Erweiterungen eher leidlich gegeben.
  • Lizenzmodell: Der passwordstore wird genau wie KeePass(X) unter der GNU General Public License Version 2 angeboten.

Nachvollziehbarkeit und Transparenz, abgestufter Empfängerkreis, verteilt nutzbar, Integrationsfähigkeit und Offlinefähigkeit: Hier liegen ganz klar die Stärken des password-store.

Gerade durch die gute Harmonie mit Git und Bash eignet sich password-store für DevOps-Teams, bei denen meist viele unterschiedliche Tools in Verwendung sind, die häufig nur über Bash miteinander funktionieren. Im folgenden Beispiel wird daher die Funktionsweise des password-store verdeutlicht.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten