Passwörter im Team teilen?

Eine Lösung mittels Trello Power-Up

CC0 Pexels.com

Ein Berner Geschäftsführer kam mit folgendem Problem auf mich zu: Sein Team muss verschiedene Passwörter zeitgleich teilen. Für die Sicherheit wird eine Zwei-Faktor-Authentifizierung benötigt, die sich aber nicht auf ein Gerät/Smartphone beschränkt.

Möglich wird dies mit “Time-based One-time Passwords” oder kurz TOTP. Dabei werden Einmalkennwörter basierend auf einer kryptographischen Hash-Funktion generiert, die maximal 30 Sekunden lang gültig sind. Diese Lösung wurde von der “Initiative for Open Authentification” entwickelt und im 2011 von der Internet Engineering Task Force veröffentlicht.

Nun hatte sein Team zweierlei Probleme:

  1. Die gemeinsamen geheimen Schlüssel lagen unverschlüsselt auf Trello.
  2. Der Prozess war mühsam: Die Mitarbeitenden mussten den geheimen Schlüssel in eine App eintippen, um dann ein Einmalkennwort zu generieren, der dann wiederum auf der Zielwebsite eingefügt wird.

Da es auf Trello keine Power-Up für TOTP gab, fragte er mich, ob es möglich wäre eine zu entwickeln?

Eine Power-Up für Trello

Die Entwicklung einer eigenen Power-Up hat mich gereizt: Schliesslich kann zumindest ein Team von solch einer Entwicklung direkt profitieren - und vielleicht haben sogar andere Teams ähnliche Probleme?

Somit habe ich ein simples UI als spezielle TOTP-Trello-Task gemacht. Darin kann man die geheimen Schlüssel verschlüsselt abspeichern und mit dem Team im gleichen Trello-Board teilen. Es werden darin laufend die neusten Einmal-Codes generiert.

VIDEO

Wenn man ein Code benötigt, kann man einfach auf “copy” klicken, und den Code im Zielfenster einfügen. Folgend zeigt die authentifizierung auf Dockerhub:

VIDEO

Sicherheit und Kontrolle

Das Power-Up wurde von den Trello-Entwicklern Atlassian kritisch überprüft. Es gab mehrere Runden mit Feedbacks, die zu Verbesserungen des Power-Ups geführt haben. Insgesamt hat es zwei Monate gedauert, um das grüne Licht aus den USA zu bekommen.

Alle gespeicherten Secrets werden auf dem Board verschlüsselt und benötigen ein Team-Passwort, welches die Werte vollständig kryptographisch verschlüsselt. Das bedeutet, dass man ohne das Team-Passwort nicht auf die Secrets zugreifen kann.

Serverseitig werden absolut keine Nutzerdaten gepeichert, und es findet kein sensitiver Datenaustausch mit dem Server statt.

Sofort ausprobieren

—> Man kann das power-up “TOTP Generator” kostenlos ausprobieren!

Auf Feedbacks bin ich gespannt!

Dr. Christian Ruiz
Dr. Christian Ruiz
Data Scientist

Dr. Christian Ruiz schreibt hier privat zu digitaler Transformation und Datenkompetenz. Newsletter abonnieren

Related