Problem mit ID's

[Steffen_Albrecht]

Hallo!

Ich habe folgendes Problen:
Ich will verhindern, dass jemand mit meiner ID-Datei
(also einer Kopie davon) sich von einem anderen Rechner
aus anmelden kann.
Gibt es irgandwie die möglichkeit
noch ein zweites Passwort abzufragen,
wenn die Maildatenbank geöffnet wird?  

[_Arne_]

Hi wo liegt denn dein Postkorb? nicht zufällig Lokal?

Normalerweise ist eine ID schon ziemlich sicher, und wie sollte jemand an deine ID rankommen???

Gruß,
Arne  

[Steffen_Albrecht]

Meine ID liegt lokal auf meinem Rechner.
Die Maildatenbanken liegen auf dem Server.
Zusätzlich haben wir eine CD auf der noch mal alle ID's mit einem einheitlichen Passwort liegen, weil es einige Spezialisten gibt, die (oft Montags) ihr Passwort vergessen...  

Na ja, jedenfalls bin ich Admin mit Managerrechten auf fast jeder Datenbank. Daher ist es schon wichtig, dass da keiner rankommt...

Ich habe schon versucht in meinem Personendokument unter dem Reiter Administratin "Kennwort überprüfen" einzustellen.
Das hat aber keine Wirkung  

[_Arne_]

Moin also das mit der CD ist ja wahnsinn *G*
Da würde ich doch ehr die möglichkeit der Password wiederherstellung nehmen.

Mir fällt momentan aber auch nichts ein wie du deine id blockieren kannst am besten:

Deine ID auf Diskette und an allen anderen Stellen löschen!

Gruß,
Arne  

[Steffen_Albrecht]

Jau!

Dann erstmal besten Dank...

[eknori]

Sicherheitslücke 1: ID lokal auf dem Rechner.
da kann ich nur hoffen, das du das PW regelmässig änderst.

Sicherheitslücke 2: CD mit allen IDs
Die liegt hoffentlich unter Verschluss beim Datenschutzbeauftragten deines Unternehmens.

Die Datenbanken programmtechnisch mit einem weiteren Zugriffsschutz zu versehen ist natürlich möglich, aber ein irrer Aufwand ( von der Menge her gesehen )

Du glaubst gar nicht, wie sich das Gedächtnis eines Users trainieren lässt und die ihre Passwörter auch über das Wochenende und sogar während der Urlaubszeit behalten, wenn man diesen Usern einfach einmal im Zuge einer internen Leistungsverrechnung die Kosten für das "Zurücksetzen" des PW in Rechnung stellt  

Wir verwenden zur "Archivierung" der UrsprungsID "Visual Source Safe". Ist zwar eigentlich für den Programmiere gedacht, macht sich aber auch für diesen Zweck ganz gut.

Ich persönlich habe meine Admin ID auf Diskette.

[GeNeLeX]

Lösungs Vorschlag:

Bei der AdminClient installation ...Lotus\Notes\Data auf einen Home-Netz-Laufwerk installieren.

sonnige Grüße
AndiAdmin

[Steffen_Albrecht]

Das verhindert doch nicht, dass jemand, der im Besitz meiner "UrID" mit dem Standardpasswort ist, in meiner Maildatenbank rumguckt oder ,dass diese Person in Administrationsdatenbanken rumwuselt.

Trotzdem Danke für den Vorschlag.

[eknori]

Hallo zusammen,

das ganze klingt mir momentan reichlich konstruiert.
Wie soll den der mystriöse Mr. X a eine UrID mir Passwort kommen. Da müsse er ja schon bei der Erstellung dabei sein und im gleichen Moment die ID entwenden.

In meiner ganzen Zeit als Admin ist es mir noch nicht untergekommen, daß irgendein DAU sich die ID des Admin klemmt und damit Unfug begeht.

Wie gesagt, der beste Schutz ist immer noch die ID auf Diskette zu kopieren und "am Mann/ an der Frau") zu tragen und regelmässig das Passwort zu ändern.
Dann möchte ish den DAU sehen, der an meine ID kommt.

Die größte Sicherheitslücke ist nich immer der User; in vielen Fällen sind es Admins, die die erforderliche Sorgfalt nicht walten lassen.

Man kann sein System auch mit einfachen Mitteln absichern und muß nicht immer nach hochtrabenden technischen Umsetzungen suchen.

eknori

[Steffen_Albrecht]

Hallo!

Der ganze Fall ist nicht konstruiert, sondern hier Realität gewesen. Wie schon gesagt existiert vergraben in einem (normalerweise sicheren) Save eien ID Diskette mit allen ID's (auch die Admins). und genau diese ID's haben sich bei einem Spezialisten auf dem Rechner Befunden!

So viel dazu...

Trotzdem nochmal Danke für die vielen Tips.

Ich erstelle mir dann eine neue ID-Datei dann müsste das Problem ja auch gelöst sein oder??

[Christopher]

Hallo,

eine Möglichkeit um an die ID zu kommen ist wenn man ein Script programmiert das ding mit Maske sendet der Nutzer die Mail öffnet wird die ID kopiert und an den Absender zurück gesendet. Natürlich greift die ECL wenn die richtig eingestellt ist. Nun hatt der Böse Junge die ID aber er brauch das Passwort noch. Deshalb immer ein gutes Passwort wählen  .

Noch eine Möglichkeit es gibt einen Agenten der neu erstellte ID an eine Adresse sendet komme leider auf den Namen des Agenten nicht. Deshalb sollte dieser Agent vom Admin benutz werden weil wenn jemand anderes der auch administrative Recht hat den Agenten erstellt funzt der nicht mehr richtig.

Ich kenn auch kein Tool was Passwörter von ID knackt.

Ihr vieleicht???

[eknori]

Steffen:

Da hatte ich das Ur-Posting nicht mehr richtig im Kopf. Sicher, da bleibet dir nur, eine neue ID zu erszellen. Und nicht vergessen, die alte ID in die DenyAccess Group aufzunehmen.

Christopher:

Das beste Tool zum "Knacken" des PW ist immer noch Lotus Notes   Bei jedem Anmelden extrahiert und verifiziert mein Notes das PW.
Also gibt es mit Sicherheit den einen oder anderen API Call, der das PW sichtbar machen kann.

Der Agent, den du ansprichst ist der Escrow Agent ( eigentlich ein User ).
Das war ein Verfahren zur Archivierung der UrIDs bei der Installation neuer User in R4.
In R5 gibt es das leider, leider nicht mehr.

eknori

[Hardy]

Wie sieht es den mit dieser Einstellung aus ?

Kennwörter von Notes IDs überprüfen im
im Serverdokument

Hardy

[Steffen_Albrecht]

Hab ich auch schon versucht.
Scheint aber nicht gefunzt zu haben  
Jedenfalls hab ich jetzt meine ID Datei neu erstellt, den alten Namen und Zugriffsrechte aus allen ACLs gelöscht und mir ne neue ID erstellt ohne sie auf irgendeiner ID-Disk zu speichern...  

[cpo]

Doch, doch, doch: das funktioniert!!!

Wenn man seinem Server(dokument) sagt, daß es die ID's überprüfen soll, kann man sich mit "alten" IDs auf dem Server nicht mehr anmelden.

Leider... :-/

Ich hatte auf meinem Notebook eine uralte Kopie und habe die nie gleichgezogen - auf unseren wichtigsten Server kam ich vom Notebook aus nicht mehr drauf!

Das ist aber auch nicht so richtig die Lösung für Steffen weil das ja auch die "Montags-Kennwort-vergessen"-User im Regen stehen lassen würde  

Ich habe mir angewöhnt, ab und zu die UserActivity in den DB-Eigenschaften anzuschauen....

CPO

[sjabs]

Hi,

Gibt es denn eine Möglichkeit, die TCPIP - Adresse mitloggen zu lassen, von der auf eine Datenbank zugegriffen wurde ?

Nur für den Fall, dass jemand sich mit einer anderen ID eingeloggt hat.

Gruß,

Steffi

[_Arne_]

Hi Steffi,

siehe hier:

http://www.atnotes.de/cgi-bin/yabb/YaBB.pl?board=002-2;action=display;num=1014316200

Gruß,
Arne  

[sjabs]

Hallo Arne,

in diesem Fall müsste ich das Script in jede auf unserem Server liegende Datenbank einbinden, richtig?

Ich hatte eher gehofft, dass es über die Server - Administration ein Protokoll gibt (oder ich erstellen kann), indem von der Server - Seite die auf den Server zugegriffene TCPIP - Adressen sowie die geöffneten Datenbanken mitgeloggt werden.

Ist sowas möglich, und wenn ja wie?

Gruß,

Steffi

[LnMan]

es gibt die Möglichkeit ...ist aber kein LoNo Tool....
ziehe Dir ein Packet Sniffer ausm Netz.
Das solltes Du nur mit deinem Boss verhackstücken ob das save ist bei Euch.

Dann kannst Du locker auslesen wer ...von wo ...was gelesen hat...
Falls Dir die log.Datei von notes nicht reicht. Da siehst Du ja welcher Nutzer wann welche Session offen hatte. Jeder hat ja einen Server und Du weißt ja dann wo er dran hängt. Wenn er ein Einwahlclient benutzt, werdet ihr ja da ein nicht rootingfähiges Protokoll benutzten..d.h. netbeui..oder Ipx...oder so..
Gruß
Alan