Wer in der Online-Kommunikation arbeitet, erhält Zugriff auf wichtige Logins. Wie verwaltet man diese Zugangsdaten einfach und vor allem sicher? Und: Wie teilt man diese Informationen mit seinen Teamkollegen? Meine 2 Cents zur sicheren Verwaltung und zum Sicheren Teilen von Passwörtern.
«Du, was sind nochmals die Twitter-Zugangsdaten?» – «Die stehen doch im Word-Dokument auf dem gemeinsamen Laufwerk?»
Eine Konversation – in diesem Fall zwar erfunden, aber doch nicht Ursprung meiner Fantasie. In einigen Unternehmen, in denen ich bisher arbeiten durfte, war das völlig gang und gäbe. Ein solch unverantwortlicher Umgang mit sensiblen Daten ist leider an vielen Orten Praxis. Und: Passwörter werden noch immer gerne ausgedruckt und neben den Computer gelegt.
Bei einfall7 – wo ich 20% arbeite – sammeln sich Logins an, die gemeinsam genutzt werden. Zum Beispiel der Firmenaccount bei digitec oder ein Lieferant für die Schreinerei. Auch bei meinem ehemaligen Arbeitgeber tinkla waren gemeinsame Logins ein Thema. Zum Beispiel wenn wir für Kunden redaktionelle Inhalte auf ihren Kommunikationskanälen geplant haben. Solche Zugangsdaten können besonders heikel sein, wenn Kanäle grosser Firmen dahinter stecken. Und seien wir ehrlich: Niemand will, dass diese Zugriffe in falsche Hände geraten und eine Drittperson im Namen grosser Unternehmen Beiträge postet. Doch wie teilt man in einem Unternehmen diese Logins auf eine einfache und sichere Weise?
Die Antwort ist einfach: Passwortmanager für Teams
Wer vernünftig komplexe Kennwörter mit einem Team teilen möchte, sollte sich einen Passwortmanager zulegen. Das ist eine Software, die Zugangsdaten verschlüsselt in einer Datenbank ablegt. Bei tinkla verwendeten dafür 1Password, bei einfall7 und in Teams von YJOO by Farner setzen wir auf den Service LastPass. Aber es gibt auch noch weitere Anbieter, die diese Funktion anbieten. Wichtig in diesem Fall: Es muss möglich sein, Ordner mit anderen Teammitgliedern zu teilen. In diesem Beitrag gehe ich auf die bekanntesten Anbieter kurz ein.
Ist das denn wirklich sicher?
Eine Frage, die mir beim Thema Passwort-Manager immer wieder gestellt wird: «Ist es sicher überhaupt sicher, seine Passwörter einem Programm anzuvertrauen?»
Darauf eine abschliessende Antwort zu geben, ist sicher nicht ganz einfach. Man kann sagen, dass es bestimmt sicherer ist, komplexe, einzigartige Passwörter für Services zu haben und in einem Passwort-Manager zu verwalten, anstatt überall einfach Passwörter zu verwenden, die man sich alle merken kann. Mehr zum Thema Passwort haben wir damals bei tinkla bereits verbloggt.
Diese Anbieter gibt es
Wenn wir von Passwortverwaltung sprechen, dann möchten viele Anbieter ihren Service verkaufen. Hier eine kleine Übersicht der aus meinen Augen seriösesten Marktführer.
1. 1Password, USD 3.99 / Monat & User
Bei tinkla verwendeten wir 1Password. Wie jeder gute Passwortmanager bietet 1Password starke Verschlüsselung. Damit man es als Team sinnvoll verwenden kann, wird auch ein Cloud-Sync mit geteilten Ordnern unterstützt. Man kann also ausgewählte Passwörter mit den Team-Mitgliedern teilen. Dazu erstellt man neue Tresore, zu welchen man Personen einladen kann. Will man also zum Beispiel die Zugangsdaten für ein Kundenprojekt nicht mit der ganzen Firma, sondern nur mit zwei weiteren Team-Mitgliedern teilen, geht das problemlos.
2. LastPass, USD 2.42 bis USD 4.00 / Monat & User
Bei einfall7 und YJOO by Farner, setzen wir LastPass für Teams bzw. Enterprise ein. Das ist mit ab 2.42 USD pro Monat auch preislich sehr attraktiv und bietet einen ähnlichen Funktionsumfang wie 1Password. Ich setze LastPass seit vielen Jahren (sehr zufrieden) privat ein. Die Basisversion ohne Sharing ist für private Anwender kostenlos.
Mehr zu LastPass (Refferal-Link; 1 Monat gratis Premium für dich und mich bei einer Anmeldung)
3. Dashlane, USD 4.00 / Monat & User
Dashlane habe ich nur in der kostenlosen Version einmal eingesetzt: Eine schöne Software, die für vier Dollar auch noch etwas mehr leistet und sich ebenfalls für den Business-Einsatz eignet.
Weitere Anbieter
Es gibt natürlich noch viele weitere Anbieter, die sich um den Marktanteil der Passwortmanager streiten. Der Vollständigkeit halber hier eine Auflistung weiterer Anbieter, die ich nicht kenne/getestet habe und ebenfalls Passwort Sharing anbieten: Da gibt es KeePass (selfhosted) StickyPassword, Roboform, LogMeOnce, Zoho Vault, PasswordBoss und vermutlich noch einige weitere.
Noch mehr Sicherheit mit dem Passwortmanager
Wer bereits einen Passwortmanager einsetzt, kann durch diese Tipps noch sicherer im Web unterwegs sein:
- Ein einmaliges, sicheres Masterpasswort verwenden (man kann es nicht oft genug gesagt haben)
- 2-Faktor-Authentifizierung aktivieren (schwierig in Teams)
Aber bitte nicht per SMS. SMS als zweiter Faktor ist nicht sicher und Telefonnummern können in gewissen Ländern sehr einfach übernommen werden – es reichen einfach Daten (Name, Adresse, Geburtsdatum). Eindrücklich demonstriert im Podcast Reply All «#130 The Snapchat Thief» von Gimlet Media. - Hardware-Keys verwenden (ebenfalls schwierig in Teams)
Wer noch eins drauflegen möchte, kauft sich einen Hardware-Key als zweiter Faktor.
Gewinne ein Jahr 1Password
Möchtest du einen Passwortmanager erst einmal privat selber testen? Raphael hat sich netterweise bereit erklärt, sein Gratis-Jahr 1Password mit meinen Lesern zu teilen. Kommentiere bis zum 29. November um 12:00 Uhr, weshalb du das Tool ein Jahr gratis haben möchtest.
Too long; didn’t read
- Passwörter nerven
- Sensible Kundenlogins gehören nicht ins Worddokument auf dem gemeinsamen Server!
- Abhilfe für Unternehmen bieten Passwortmanager für Teams