Über die Vor- und Nachteile eines Password Managers
Um die Menge an Logins im digitalen Berufsalltag zu bewältigen, braucht es ein System. Im letzten Blogbeitrag ging es dabei um die Generierung sicherer Passwörter. Es ist unmöglich, sich eine grössere Zahl an wirklich sicheren zufälligen Passwörtern zu merken. Die Lösung dafür ist ein Passwortmanager. Doch wie funktioniert ein Password Manager? Was muss ich bei der Auswahl eines Anbieters beachten?
Wie funktioniert ein Password Manager?
Ein Passwort Manager speichert alle Passwörter zentral an einem Ort ab. Die Passwörter werden über ein Masterpasswort verschlüsselt. Einige Passwortmanager geben die Passwörter auch eigenständig in die Anmeldefelder von Websites ein. Damit muss man sich nur noch ein Passwort merken statt viele und loggt sich schneller ein.
Noch sicherer wird ein Passwort Manager, wenn neben dem Masterpasswort eine Zwei-Faktor-Authentifizierung eingesetzt wird. Dabei wird ein zweiter Sicherheitsfaktor verwendet. Möglichkeiten dafür sind das Zusenden eines SMS auf das Handy, das Scannen des Fingerabdrucks oder die Verwendung einer App oder eines Drittgerät zur Bestätigung. Aus dem Onlinebanking sind solche Methoden bereits bekannt.
Welche Vorteile ergeben sich wenn ich einen Passwort Manager benutze?
Der grösste Vorteil ist klar: Passwörter müssen sich nicht gemerkt werden und können darum komplett zufällig generiert werden. Auch werden die Passwörter nicht mehr von Hand eingetippt, was ermöglicht, viel längere Passwörter zu verwenden. Beides wirkt sich positiv auf die Sicherheit aus.
Daneben ergeben sich noch viele weitere Vorteile:
- Alle Passwörter an einem Ort für mehr Übersichtlichkeit
- Passwörter können durchsucht werden
- Gute und zufällige Passwort-Generierung für mehr Sicherheit
- Automatisches Ausfüllen und Einloggen was zu Zeitersparnis im Alltag führt
- Passwörter
können je nach Anbieter geteilt und synchronisiert werden
- Ändern von Passwörtern ohne Konsequenzen für Mitarbeiter
- Neue Mitarbeiter sind sofort produktiv
- Die Passwortfreigabe kann jederzeit beendet werden ohne dass der Mitarbeiter noch eine Kopie der Daten hat
Je nach Sicherheitsbewusstsein oder benötigter Sicherheit sind nicht alle dieser Vorteile nutzbar.
Was sind die Nachteile eines Passwort Managers?
Wiederkehrend Kosten
Die allermeisten Passwort Manager kosten etwas. Mittlerweile haben alle grösseren Anbieter auf ein Software as a Service (SaaS) Modell gewechselt. Dabei wird nicht mehr einmalig ein Produkt verkauft, sondern ein Service vermietet. Die Folge davon sind monatliche oder jährliche Kosten. Ich bin davon überzeugt, dass diese den Gewinn an Sicherheit und die Steigerung der Produktivität wert sind.
Es gibt auch Open-Source Lösungen. Da diese nicht kommerziell orientiert sind, haben Sie in der Regel weniger für Unternehmen interessante Features.
Initialaufwand
Sofern Sie nicht gerade ein neues Unternehmen gründen, werden Sie bereits jetzt irgendein System im Umgang mit Passwörtern haben. Somit müssen Sie ein neues Projekt starten und einen Initialaufwand leisten, um auf einen Passwort Manager zu wechseln. Dabei müssen alle Passwörter gesammelt werden und Mitarbeiter mit der neuen Lösung geschult werden. Je nach Umfang der Passwortsammlung braucht es auch ein Freigabekonzept sowie eine oder mehrere Personen welche das System als Administrator betreuen.
Passwort vergessen
Je nach Einstellungen eines Passwort Managers kann das Verlieren oder Vergessen des Masterpassworts bedeuten, dass alle gespeicherten Passwörter für immer verloren sind. Dieses Risiko kann man aber durch Aufbewahren des Passworts an einem sicheren physischen Ort gut minimieren.
Datenschutz und Sicherheit
Die Verwendung eines Passwort Managers bedingt, dass Sie einem Hersteller vertrauen. Nur wenn der Hersteller keine geheime Hintertür eingebaut hat und keine Sicherheitsmängel in der Software zulässt, ist ein Password Manager sicher. Da dies als Laie schwierig zu beurteilen ist, gibt es entsprechende Zertifizierungen und Tests welche die Sicherheit garantieren sollen.
Was ist mit dem im Browser integrierten Password Manager?
Webbrowser wie Mozilla Firefox oder Google Chrome haben bereits eingebaute Passwort Manager. Dies ist zwar sehr einfach zu benutzen, da die Funktionen nahtlos ins Browsen eingebunden werden. Dafür sind die Passwörter aber nicht vor Zugriff beschützt. Sitzt also jemand für einige Minuten ungestört an Ihrem Computer, kann er ohne Passworteingabe alle Passwörter auslesen. In Firefox gibt es die Option die Passwörter über ein Masterpasswort zu schützen.
Die Passwörter können nach Anmeldung auf andere Geräte mit denselben Browser synchronisiert werden. Was aber nicht geht ist die Synchronisation in Browser anderer Hersteller.
Ein dezidierter Passwort Manager bietet die gleichen Funktionen mit mehr Sicherheit und ohne diese Nachteile.
Kriterien zur Auswahl eines Password Managers
Sicherheit
Das erste Kriterium ist ganz klar die Sicherheit. Dies sollte zumindest eines der Hauptargumente für die Verwendung eines Passwortmanagers sein.
Dabei sind diese Punkte interessant:
- Datenschutz und Sicherheit der Software. Der Anbieter sollte seriös und vertrauenswürdig sein und sowohl Datenschutz wie auch ein genügendes Sicherheitsniveau garantieren können. Umso besser, wenn dies auch durch unabhängige Zertifizierungen und Test bewiesen ist.
- Verschlüsslung der Passwörter. Die Passwörter müssen zwingend verschlüsselt abgelegt werden.
- Passwort-Generierung. Die generierten Passwörter müssen zufällig sein und entsprechende Optionen für die Anpassungen an verschiedene Anforderungen besitzen.
- Zwei-Faktor-Authentifizierung. Damit wird jeder Passwort Manager nochmals viel schwieriger zu hacken. Unbedingt zu empfehlen.
Komfort und Produktivität
Die Einführung eines neuen kostenpflichtigen Tools muss sich lohnen. Wenn neben der gestiegenen Sicherheit auch die Produktivität und Zufriedenheit der Mitarbeiter steigt, schmerzen die Ausgaben viel weniger.
Diese Features sind in diesem Bereich relevant:
- Automatisches Ausfüllen und Einloggen. Damit muss man keine Passwörter mehr hin und her kopieren. Zudem werden automatisch die richtigen Zugangsdaten vorgeschlagen.
- Unterstütze Geräte. Unterstützt die Lösung nur Windows oder nur Mac? Alle im Unternehmen verwendeten Betriebssystem müssen unterstützt werden. Je nach Art des Unternehmens ist auch eine Lösung für Smartphones und Tablet hilfreich.
- Sicheres Teilen von Passwörter. Passwörter müssen in Teams oder über Projekte geteilt werden können. Nicht in jedem Tool macht es Sinn für jeden Benutzer einen eigenen Account anzulegen.
- Synchronisation. Geteilte Passwörter müssen zudem einfach aktualisiert werden können. Die Synchronisation erfolgt entweder über den Anbieter oder einen anderen Cloud-Dienst wie Dropbox, OneDrive oder Google Drive.
Zusatzfeatures:
- Automatisches Ausfüllen von Formularen. Nicht nur Passwörter können automatisch eingefüllt werden. Sehr nützlich, wenn man regelmässig sehr ähnliche Formulare ausfüllt.
- Ändern von Passwörter mit einem Klick. Der Anbieter Dashlane unterstützt die Änderung des Passworts mit einem Klick bei mehr als 500 der populärsten Website. Damit sind auch die regelmässig empfohlenen Passwortänderungen leicht zu schaffen.
- Abgleich mit „Have I Been Pwned“. Einige Tools überprüfen die Logins und Passwörter mit einer Datenbank an gehackten Accounts. Somit kann man sein Passwort sofort ändern, sollten die eigenen Zugangsdaten bei einem Hack eines anderen Unternehmens bekannt geworden sein.
- Anzeige Passwortstärke. Die geschätzte Zeit zum Knacken des Passwortes wird direkt angezeigt, was zu stärkeren Passwörtern motiviert.
- Unternehmensrichtlinien. Einige Tools bieten umfassende Funktionen für Administratoren an um Richtlinien für Verhalten und Passwortsicherheit anzulegen. Dabei können auch Alerts eingerichtet werden.
Preis
Jede Lösung hat Ihren Preis. Die verschiedenen Anbieter sind jedoch preislich häufig auf einem sehr ähnlichen Niveau, was für den Kunden sehr attraktiv ist. Open Source Lösungen wie beispielsweise WordPress sind in diesem Punkt unschlagbar, da keine Kosten anfallen. Dafür bieten Sie oftmals nicht denselben Funktionsumfang wie eine Enterprise Lösung. Für kleinere Teams, Privatpersonen oder kleine Projekte aber unbedingt eine Option.
Wie machen Sie das? Nutzen Sie einen Password Manager?
Wie wird in Ihrem Unternehmen die Passwortthematik gelöst? Welche Lösungen können Sie empfehlen? Ich freue mich auf Ihre Kommentare und Vorschläge. Ein nächster Artikel wird eine Auswahl von Passwort Managern vergleichen.
Tipp: Checken Sie Ihre Website mit einem Passwort Manager
Ist Ihre Website kompatibel mit den verbreiten Passwortmanager? Funktioniert die automatische Eingabe? Was ist die maximale Länge eines Passworts auf Ihrer Website oder in Ihrer Software? Es lohnt sich, diese Fragen abzuklären. Eventuell gibt es Optimierungsbedarf für eine bessere Sicherheit und eine besser Nutzererfahrung (UX). Daneben empfehlen wir auch die verwendeten Passwörter regelmässig zu überprüfen und anzupassen. Dazu bieten wir den Security-Check für Ihre Website an.
keine Kommentare