Zum Inhalt springen

Verantwortlich für den Inhalt dieser Website (gilt auch für die Facebook-Seite):

xeit AG
Limmatstrasse 291
CH-8005 Zürich

Vertreten durch
Andrea Iltgen & Simon Künzler

Tel. +41 44 240 15 00
Fax +41 44 240 15 09
E-Mail: info [at] xeit [dot] ch

Bei Fragen helfen wir Ihnen gerne weiter.
Bankverbindung
Zürcher Kantonalbank
Postfach 715
CH-8010 Zürich

Kontonummer: 1100-1923.503
IBAN: CH02 0070 0110 0019 2350 3
Swiftcode: ZKBKCHZZ80A
BC-Nr.: 700
Mehrwertsteuer
CHE-114.712.024

Haftungsausschluss
Der Autor übernimmt keinerlei Gewähr hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit der Informationen.
Haftungsansprüche gegen den Autor wegen Schäden materieller oder immaterieller Art, welche aus dem Zugriff oder der Nutzung bzw. Nichtnutzung der veröffentlichten Informationen, durch Missbrauch der Verbindung oder durch technische Störungen entstanden sind, werden ausgeschlossen.
Alle Angebote sind unverbindlich. Der Autor behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen.

Haftung für Links
Verweise und Links auf Webseiten Dritter liegen ausserhalb unseres Verantwortungsbereichs Es wird jegliche Verantwortung für solche Webseiten abgelehnt. Der Zugriff und die Nutzung solcher Webseiten erfolgen auf eigene Gefahr des Nutzers oder der Nutzerin.

Urheberrechte
Die Urheber- und alle anderen Rechte an Inhalten, Bildern, Fotos oder anderen Dateien auf der Website gehören ausschliesslich xeit gmbh oder den speziell genannten Rechtsinhabern. Für die Reproduktion jeglicher Elemente ist die schriftliche Zustimmung der Urheberrechtsträger im Voraus einzuholen.

xeit AG
Limmatstrasse 291
8005 Zürich

info@xeit.ch

Person gibt Passwort in Password Manager ein xeit

Über die Vor- und Nachteile eines Password Managers

von Oliver Hunziker
keine Kommentare

Um die Menge an Logins im digitalen Berufsalltag zu bewältigen, braucht es ein System. Im letzten Blogbeitrag ging es dabei um die Generierung sicherer Passwörter. Es ist unmöglich, sich eine grössere Zahl an wirklich sicheren zufälligen Passwörtern zu merken. Die Lösung dafür ist ein Passwortmanager. Doch wie funktioniert ein Password Manager? Was muss ich bei der Auswahl eines Anbieters beachten?

Wie funktioniert ein Password Manager?

Ein Passwort Manager speichert alle Passwörter zentral an einem Ort ab. Die Passwörter werden über ein Masterpasswort verschlüsselt. Einige Passwortmanager geben die Passwörter auch eigenständig in die Anmeldefelder von Websites ein. Damit muss man sich nur noch ein Passwort merken statt viele und loggt sich schneller ein.

Bildschirmfoto 1Password Eingabe des Masterpasswords Password Manager xeit
Eingabe des Masterpassword bei 1Password

Noch sicherer wird ein Passwort Manager, wenn neben dem Masterpasswort eine Zwei-Faktor-Authentifizierung eingesetzt wird. Dabei wird ein zweiter Sicherheitsfaktor verwendet. Möglichkeiten dafür sind das Zusenden eines SMS auf das Handy, das Scannen des Fingerabdrucks oder die Verwendung einer App oder eines Drittgerät zur Bestätigung. Aus dem Onlinebanking sind solche Methoden bereits bekannt.

Welche Vorteile ergeben sich wenn ich einen Passwort Manager benutze?

Der grösste Vorteil ist klar: Passwörter müssen sich nicht gemerkt werden und können darum komplett zufällig generiert werden. Auch werden die Passwörter nicht mehr von Hand eingetippt, was ermöglicht, viel längere Passwörter zu verwenden. Beides wirkt sich positiv auf die Sicherheit aus.

Daneben ergeben sich noch viele weitere Vorteile:

  • Alle Passwörter an einem Ort für mehr Übersichtlichkeit
  • Passwörter können durchsucht werden
  • Gute und zufällige Passwort-Generierung für mehr Sicherheit
  • Automatisches Ausfüllen und Einloggen was zu Zeitersparnis im Alltag führt
  • Passwörter können je nach Anbieter geteilt und synchronisiert werden
    • Ändern von Passwörtern ohne Konsequenzen für Mitarbeiter
    • Neue Mitarbeiter sind sofort produktiv
    • Die Passwortfreigabe kann jederzeit beendet werden ohne dass der Mitarbeiter noch eine Kopie der Daten hat

Je nach Sicherheitsbewusstsein oder benötigter Sicherheit sind nicht alle dieser Vorteile nutzbar.

Was sind die Nachteile eines Passwort Managers?

Wiederkehrend Kosten

Die allermeisten Passwort Manager kosten etwas. Mittlerweile haben alle grösseren Anbieter auf ein Software as a Service (SaaS) Modell gewechselt. Dabei wird nicht mehr einmalig ein Produkt verkauft, sondern ein Service vermietet. Die Folge davon sind monatliche oder jährliche Kosten. Ich bin davon überzeugt, dass diese den Gewinn an Sicherheit und die Steigerung der Produktivität wert sind.

Es gibt auch Open-Source Lösungen. Da diese nicht kommerziell orientiert sind, haben Sie in der Regel weniger für Unternehmen interessante Features.

Initialaufwand

Sofern Sie nicht gerade ein neues Unternehmen gründen, werden Sie bereits jetzt irgendein System im Umgang mit Passwörtern haben. Somit müssen Sie ein neues Projekt starten und einen Initialaufwand leisten, um auf einen Passwort Manager zu wechseln. Dabei müssen alle Passwörter gesammelt werden und Mitarbeiter mit der neuen Lösung geschult werden. Je nach Umfang der Passwortsammlung braucht es auch ein Freigabekonzept sowie eine oder mehrere Personen welche das System als Administrator betreuen.

Passwort vergessen

Je nach Einstellungen eines Passwort Managers kann das Verlieren oder Vergessen des Masterpassworts bedeuten, dass alle gespeicherten Passwörter für immer verloren sind. Dieses Risiko kann man aber durch Aufbewahren des Passworts an einem sicheren physischen Ort gut minimieren.

Datenschutz und Sicherheit

Die Verwendung eines Passwort Managers bedingt, dass Sie einem Hersteller vertrauen. Nur wenn der Hersteller keine geheime Hintertür eingebaut hat und keine Sicherheitsmängel in der Software zulässt, ist ein Password Manager sicher. Da dies als Laie schwierig zu beurteilen ist, gibt es entsprechende Zertifizierungen und Tests welche die Sicherheit garantieren sollen.

Was ist mit dem im Browser integrierten Password Manager?

Webbrowser wie Mozilla Firefox oder Google Chrome haben bereits eingebaute Passwort Manager. Dies ist zwar sehr einfach zu benutzen, da die Funktionen nahtlos ins Browsen eingebunden werden. Dafür sind die Passwörter aber nicht vor Zugriff beschützt. Sitzt also jemand für einige Minuten ungestört an Ihrem Computer, kann er ohne Passworteingabe alle Passwörter auslesen. In Firefox gibt es die Option die Passwörter über ein Masterpasswort zu schützen.

Autofill Browserfunktion des Browser Password Manager xeit
Autofill Browserfunktion des Browser in Aktion

Die Passwörter können nach Anmeldung auf andere Geräte mit denselben Browser synchronisiert werden. Was aber nicht geht ist die Synchronisation in Browser anderer Hersteller.

Ein dezidierter Passwort Manager bietet die gleichen Funktionen mit mehr Sicherheit und ohne diese Nachteile.

Kriterien zur Auswahl eines Password Managers

Sicherheit

Das erste Kriterium ist ganz klar die Sicherheit. Dies sollte zumindest eines der Hauptargumente für die Verwendung eines Passwortmanagers sein.

Dabei sind diese Punkte interessant:

  • Datenschutz und Sicherheit der Software. Der Anbieter sollte seriös und vertrauenswürdig sein und sowohl Datenschutz wie auch ein genügendes Sicherheitsniveau garantieren können. Umso besser, wenn dies auch durch unabhängige Zertifizierungen und Test bewiesen ist.
  • Verschlüsslung der Passwörter. Die Passwörter müssen zwingend verschlüsselt abgelegt werden.
  • Passwort-Generierung. Die generierten Passwörter müssen zufällig sein und entsprechende Optionen für die Anpassungen an verschiedene Anforderungen besitzen.
  • Zwei-Faktor-Authentifizierung. Damit wird jeder Passwort Manager nochmals viel schwieriger zu hacken. Unbedingt zu empfehlen.

Komfort und Produktivität

Die Einführung eines neuen kostenpflichtigen Tools muss sich lohnen. Wenn neben der gestiegenen Sicherheit auch die Produktivität und Zufriedenheit der Mitarbeiter steigt, schmerzen die Ausgaben viel weniger.

Diese Features sind in diesem Bereich relevant:

  • Automatisches Ausfüllen und Einloggen. Damit muss man keine Passwörter mehr hin und her kopieren. Zudem werden automatisch die richtigen Zugangsdaten vorgeschlagen.
  • Unterstütze Geräte. Unterstützt die Lösung nur Windows oder nur Mac? Alle im Unternehmen verwendeten Betriebssystem müssen unterstützt werden. Je nach Art des Unternehmens ist auch eine Lösung für Smartphones und Tablet hilfreich.
  • Sicheres Teilen von Passwörter. Passwörter müssen in Teams oder über Projekte geteilt werden können. Nicht in jedem Tool macht es Sinn für jeden Benutzer einen eigenen Account anzulegen.
  • Synchronisation. Geteilte Passwörter müssen zudem einfach aktualisiert werden können. Die Synchronisation erfolgt entweder über den Anbieter oder einen anderen Cloud-Dienst wie Dropbox, OneDrive oder Google Drive.

Zusatzfeatures:

  • Automatisches Ausfüllen von Formularen. Nicht nur Passwörter können automatisch eingefüllt werden. Sehr nützlich, wenn man regelmässig sehr ähnliche Formulare ausfüllt.
  • Ändern von Passwörter mit einem Klick. Der Anbieter Dashlane unterstützt die Änderung des Passworts mit einem Klick bei mehr als 500 der populärsten Website. Damit sind auch die regelmässig empfohlenen Passwortänderungen leicht zu schaffen.
  • Abgleich mit „Have I Been Pwned“. Einige Tools überprüfen die Logins und Passwörter mit einer Datenbank an gehackten Accounts. Somit kann man sein Passwort sofort ändern, sollten die eigenen Zugangsdaten bei einem Hack eines anderen Unternehmens bekannt geworden sein.
  • Anzeige Passwortstärke. Die geschätzte Zeit zum Knacken des Passwortes wird direkt angezeigt, was zu stärkeren Passwörtern motiviert.
  • Unternehmensrichtlinien. Einige Tools bieten umfassende Funktionen für Administratoren an um Richtlinien für Verhalten und Passwortsicherheit anzulegen. Dabei können auch Alerts eingerichtet werden.

Preis

Jede Lösung hat Ihren Preis. Die verschiedenen Anbieter sind jedoch preislich häufig auf einem sehr ähnlichen Niveau, was für den Kunden sehr attraktiv ist. Open Source Lösungen wie beispielsweise WordPress sind in diesem Punkt unschlagbar, da keine Kosten anfallen. Dafür bieten Sie oftmals nicht denselben Funktionsumfang wie eine Enterprise Lösung. Für kleinere Teams, Privatpersonen oder kleine Projekte aber unbedingt eine Option.

Wie machen Sie das? Nutzen Sie einen Password Manager?

Wie wird in Ihrem Unternehmen die Passwortthematik gelöst? Welche Lösungen können Sie empfehlen? Ich freue mich auf Ihre Kommentare und Vorschläge. Ein nächster Artikel wird eine Auswahl von Passwort Managern vergleichen.

Tipp: Checken Sie Ihre Website mit einem Passwort Manager

Ist Ihre Website kompatibel mit den verbreiten Passwortmanager? Funktioniert die automatische Eingabe? Was ist die maximale Länge eines Passworts auf Ihrer Website oder in Ihrer Software? Es lohnt sich, diese Fragen abzuklären. Eventuell gibt es Optimierungsbedarf für eine bessere Sicherheit und eine besser Nutzererfahrung (UX). Daneben empfehlen wir auch die verwendeten Passwörter regelmässig zu überprüfen und anzupassen. Dazu bieten wir den Security-Check für Ihre Website an.

Oliver Hunziker
Oliver Hunziker
Oliver ist Seniore Project Manager bei xeit und bloggt hier rund ums Thema Websites, Apps und User Experience. Thematische Schwerpunkte bilden User Experience Design, WordPress (Block Editor und FSE Editing) sowie SEO.
Mehr von Oliver
Kategorie:  SecurityWebsite

keine Kommentare

Dein kommentar zum artikel

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Tags & Verwandte artikel

Mehr Besucher für Ihre Internetpräsenz.


Unsere Website verwendet Cookies, die uns helfen, unsere Website zu verbessern, den bestmöglichen Service zu bieten und ein optimales Kundenerlebnis zu ermöglichen. Durch Nutzung dieser Webseite stimmen Sie der Verwendung von Cookies für Analysen, personalisierte Inhalte und Werbung zu. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Akzeptieren