Passwort-Jongleure

von Simon Wegmüller

2. Dezember 2017 - Passwort-Manager bieten Unternehmen die Möglichkeit, Zugangsdaten und sensitive Informationen für alle Mitarbeiter zu verwalten. Wir haben den drei bekanntesten Lösungen auf den Zahn gefühlt.

E-Mail-Plattfomen, Social Media, Online-­Shops, die Zahl der Systeme, bei denen man sich heute via Passwort einzuwählen hat, kann beliebig fortgesetzt werden. Für all diese Dienste und Systeme benutzen wir im Idealfall unterschiedliche Passwort/User-Kombina­tionen, so jedenfalls lehren es uns die Security-Spezialisten. Dazu werden wir angehalten, möglichst komplexe Passwörter zu kreieren, mit Sonderzeichen, Zahlen und Gross/Kleinschreibung.

Will man nun unzählige Passwörter der komplexen Sorte nutzen, kommt man um eine Verwaltung dieser Kennworte nicht herum. Entsprechend existiert dafür denn auch eine ganze Reihe von Hilfsmitteln. Diese reichen von umfassenden Identity-Management-Lösungen für Grosskonzerne über Cloud-basierte Passwort-Management-­Lösungen bis hin zu lokal installierbaren Passwort-Verwaltungstools, die oftmals als Freeware oder Open-Source-Anwendungen kostenfrei bereit gestellt werden.

Im vorliegenden Vergleichstest haben wir gängige Online-Plattformen fürs Passwort-Management unter die Lupe genommen und deren Funktionen einem Praxistest unterzogen. Dabei haben wir uns auf Plattformen konzentriert, deren primärer Fokus auf der Passwortverwaltung liegt und die damit explizit auch Unternehmen unterstützen. Cloud-Dienste wie Securesave von Dswiss oder auch Swisscoms Docsave, die sich in erster Linie der Dokumenten-Verschlüsselung verschrieben haben und nur nebenbei ein Modul fürs Passwort-Management bieten, wurden damit ausser Acht gelassen.


Kernfunktionen

Die Basisfunktionalität ist bei allen getesteten Diensten identisch: Über eine Administrationskonsole werden die Anwender erfasst und optional in Gruppen eingeteilt. In einem weiteren Schritt erfolgt die Erfassung der Passwörter beziehungsweise Logins, die im Normalfall gleich aus dem Browser importiert, manuell erfasst oder en masse importiert werden. Die Zugangsdaten lassen sich bei Bedarf wiederum gruppieren, worauf diese Gruppen oder die einzelnen Sites dann den jeweiligen Benutzern beziehungsweise Benutzergruppen zugeordnet werden.

Alle Produkte stellen weiter Mobile Apps für iOS und Android zur Verfügung, womit die Daten auch unterwegs zur Verfügung stehen. Dazu sind die Dienste in der Lage, die Daten zwischen Online-Speicher und Mobilgeräten zu synchronisieren.

Weiter wird bei allen Lösungen für die gängigen Browser ein Add-on installiert, das einerseits automatisch die Zugangsdaten liefert, bei noch nicht erfassten Sites aber auch gleich Userkennung und Passwort speichert. Weiter stehen alle Lösungen auch beim Ausfüllen von Formularen zur Verfügung, indem die hinterlegten Daten wie Adresse oder Telefonnummer bei Bedarf automatisch eingegeben werden.


Dashlane

Bei Dashlane erhalten Administratoren Zugriff auf ein Dashboard, wo die Konfiguration erfolgt und auch die Erfassung der Benutzerdaten erledigt wird. Diese können entweder manuell eingetippt werden oder alternativ im Komma-separierten CSV- oder TXT-Format importiert werden. Gleich nach der Erfassung wird auf einen Button geklickt, worauf die betreffenden Benutzer per Mail eine Einladung erhalten. Im nächsten Schritt wird auf Dashlane das betreffende Konto generiert und eine Windows-Desktop-App zum Download angeboten. Die erfassten Benutzer lassen sich sodann in beliebigen Gruppen zusammenfassen, um diesen in einem späteren Schritt Passwortberechtigungen zuzuordnen. Auch dies gestaltet sich ebenso einfach wie komfortabel. Per Mausklick wird eine Gruppe erstellt, worauf sich die Mailadressen der bereits erfassten User zuordnen lassen. Auch hier müssen die zugeordneten Anwender ihre Gruppenzuordnung jeweils über einen Mail-Link bestätigen.

In einem nächsten Schritt werden die Cre­dentials erfasst, also Website, Benutzername und Passwort. Diese lassen sich einerseits dem persönlichen Account oder dem Firmen-Account zuordnen, womit sie dann auch den weiteren Benutzern zur Verfügung gestellt werden können. Die einzelnen Dashlane-Benutzer installieren sodann das gleichnamige Desktop-Tool. Nach der Installation wird ein Assistent gestartet, der einem den Import der Browser-Passwörter erlaubt, wobei sich jeder Account an- und abwählen lässt. Passworte lassen sich alternativ auch aus anderen Management-Tools importieren, wobei Keepass, 1password, Roboform, Lastpass sowie Passwordwallet unterstützt werden. Schliesslich führt der Assistent noch durch die Installation der Browser-Erweiterung, wobei zuerst die Konfiguration des Standard-Browsers erfolgt. Weitere Browser lassen sich anschliessend über ein dediziertes Menü in der Dashlane-Anwendung konfigurieren.

In einem nächsten Schritt werden die Cre­dentials erfasst, also Website, Benutzername und Passwort. Diese lassen sich einerseits dem persönlichen Account oder dem Firmen-Account zuordnen, womit sie dann auch den weiteren Benutzern zur Verfügung gestellt werden können. Die einzelnen Dashlane-Benutzer installieren sodann das gleichnamige Desktop-Tool. Nach der Installation wird ein Assistent gestartet, der einem den Import der Browser-Passwörter erlaubt, wobei sich jeder Account an- und abwählen lässt. Passworte lassen sich alternativ auch aus anderen Management-Tools importieren, wobei Keepass, 1password, Roboform, Lastpass sowie Passwordwallet unterstützt werden. Schliesslich führt der Assistent noch durch die Installation der Browser-Erweiterung, wobei zuerst die Konfiguration des Standard-Browsers erfolgt. Weitere Browser lassen sich anschliessend über ein dediziertes Menü in der Dashlane-Anwendung konfigurieren.

Die Passwörter werden danach auf mehreren Ebenen kategorisiert. Dabei wird zwischen Privat und Unternehmen unterschieden, zum anderen lassen sich den Kennwörter Kategorien wie "Shopping" oder "Social Media" zuordnen, wobei sich der Kategorienkatalog beliebig den eigenen Wünschen anpassen lässt. Die Passwörter lassen sich danach den im Dashboard definierten Anwendergruppen zur Verfügung stellen, wobei diese Teilen-Funktion für jedes einzelne Passwort aufgerufen wird und sich nicht auf Kategorie-Ebene erledigen lässt.

Zudem wird bei Dashlane eine Zwei-Faktor-Authentifizierung zur Verfügung gestellt. Nachdem bei einem Login die Mailadresse eingegeben wurde, wird auf diese ein sechsstelliger Zahlencode gesandt, der dann während drei Stunden gültig ist. Erst nach dessen Eingabe wird dann das Master-Password eingetippt und der Zugang gewährt.

Dazu bietet Dashlane auch eine Active-Directory-Integration, wobei die Einbindung über ein Powershell-Script erfolgt, das vorkonfiguriert über die Administrator-Konsole zur Verfügung gestellt wird. Dazu wird auch die Bereitstellung via SAML ermöglicht, indem sich die URL und Zertifikate der Identity Provider in der Konsole erfassen lassen.


Lastpass

Auch bei Lastpass erfolgt die Benutzerkonfiguration auf einer Online-Administratorkonsole, wobei die Daten manuell erfasst oder sich über eine Komma-separierte Liste en masse einlesen lassen. Dazu steht auch hier eine Active-Directory-Anbindung wie auch ein SAML-Zugriff auf Identity-Provider-Dienste zur Verfügung. Zusätzlich wird ein Provisioning API bereitgestellt, welches das Erstellen und Löschen von Benutzern und weitere Konfigurationen via REST-Webservice erlaubt. Auch hier lassen sich die Benutzer zusätzlich vorab erstellten Gruppen zuordnen. Das Handling ist erwartungsgemäss unkompliziert: Eine Gruppe wird erstellt, worauf sich die einzelnen Anwender zuordnen lassen.

Lastpass stellt ebenfalls eine Windows-App zur Verfügung, die im wesentlichen die Browser-Passwörter einliest und dazu die Add-ons für die vorliegenden Browser bereitstellt und installiert. Anders als bei Dashlane werden keine weiteren Funktionen zur Verfügung gestellt und Konfigurationen werden stattdessen über eine lokal laufende Website oder via Online-Portal erledigt. Dazu steht eine Import-Funktion zur Verfügung, um Webseiten mit den dazugehörenden Passwörtern schnell aus anderen Passwort-Managern zu importieren. Während Dashlane hier allerdings nur eine Handvoll Services unterstützt, versteht sich Lastpass mit gut drei Dutzend Konkurrenzsystemen. Wie ein Praxistest zeigt, funktioniert das Ganze auch hier wie erwartet problemlos. Neben Zugangsdaten von Webseiten versteht sich Lastpass ausserdem mit Formulardaten wie Adress- oder Kreditkarteninformationen oder auch quasi beliebigen Testdaten, die sich im Bereich "Sichere Notizen" ablegen lassen.

Sind Benutzer, Benutzergruppen und eine Reihe von Webseiten mit ihren Log­ins erfasst, lassen sich die Credentials weiter in "Freigegebenen Ordnern" zusammenfassen, die sich dann wiederum einzelnen Usern oder User-Gruppen zuordnen lassen. Dabei lassen sich Sites mehreren Ordnern zuweisen, können dafür aber nicht aufs Mal editiert werden.

Weiter wird auch hier ein Passwort-Generator zur Verfügung gestellt, der im Übrigen auch von Nicht-Kunden kostenlos unter https://lastpass.com/generatepassword.php genutzt werden kann. Ebenfalls interessant sind bei Lastpass die ausführlichen Reporting-Funktionen, die einerseits über die Nutzung des Dienstes Auskunft geben, andererseits aber auch auf wenig sichere Einstellungen aufmerksam machen.

Leider fällt auf, dass die Lokalisierung der Online-Anwendung hier nur wenig konsistent ausgefallen ist, Menüführung und Hinweise präsentieren sich bunt gemischt in Deutsch und Englisch. In der Hilfedatei finden sich dann maschinelle Übersetzungen wie "Wenn LastPass das importieren aus Ihrem aktuellen Passwort-­Manager nicht unterstützt, Sie können möglicherweise importieren mit Hilfe eines generischen CSV-Datei sein." Oder noch besser: "Zu beginnen, klicken Sie auf den Lastpass Symbol, click the More Options on the drop-down menu."


1password

Beim dritten Kandidaten im Testfeld handelt es sich um 1password, ebenfalls ein Anbieter, der bereits seit längerem am Markt ist und in etwa ähnliche Funktionen bietet wie die beiden bereits besprochenen Dienste. Auffallend bei 1password sind allerdings die preislichen Abstufungen bei den Unternehmensangeboten, die hier unter der Bezeichnung 1password Teams laufen. Die Standard-Ausführung kostet zwar 4 Dollar pro Benutzer und Monat, doch finden sich weitergehende Funktionen wie die Organisation der Benutzer in Gruppen oder ein Activity-Log nur in der Pro-Version, die allerdings mit 12 Dollar pro User und Monat massiv mehr kostet.

Die Bedienung erfolgt hingegen weitgehend intuitiv und dürfte auch weniger versierte Anwender kaum vor Probleme stellen. Die Erfassung der Benutzer erfolgt auch hier über eine Web-Oberfläche, worauf neue User per Mail eingeladen werden. Für die Verwaltung der Logins steht ebenfalls eine Desktop-Anwendung zur Verfügung, die neben Windows auch die Mac-Plattform unterstützt. Wer von einem Mitbewerber-Service umsteigt, findet hier beim Import Unterstützung für Lastpass oder Dashlane, wobei sich zudem auch Textdateien im CSV-Format einlesen lassen. Die Organisation der Passwörter erfolgt hier über sogenannte Vaults, wovon sich beliebige erstellen lassen. Dazu lassen sich die Zugänge über frei definierbare Tags weiter kategorisieren. Die Tags dürften sich insbesondere bei der Verwaltung grosser Mengen von Passwörtern als hilfreich erweisen, da sich entsprechende Kennungen über die Suchfunktion schnell und einfach auffinden lassen. Die Verwaltung mit Vaults hat den Vorteil, dass sich neue Benutzer direkt diesen Vaults zuordnen lassen, womit ihnen schnell und einfach Zugriff auf ganze Passwortgruppen verschafft werden kann.

Auf die Lokalisierung wird auch bei 1password kein allzu grosser Wert gelegt. Während die Web-Oberfläche wie auch die Windows-Anwendung ausschliesslich in englischer Sprache zur Verfügung gestellt werden, werden immerhin die Apps für iOS und Android in Deutsch bereitgestellt. Auch was die Plug-in-Unterstützung der Webbrowser betrifft, vermag 1password nicht in jeder Hinsicht zu überzeugen. So steht zwar ein Add-on für den Exoten-Browser Opera zur Verfügung aber keines für die Microsoft-Browser. Zumindest für Edge soll mittlerweile die Plug-in-Entwicklung in Arbeit sein.


Fazit

Unter dem Strich hat uns Dashlane am meisten angesprochen. Sowohl die Desktop­App als auch der Onlineservice präsentieren sich mit einer aufgeräumten und durchdachten Benutzeroberfläche. Die diversen Aufgaben wie das Erstellen von neuen Benutzern oder Benutzergruppen lassen sich intuitiv erledigen und ein Blick ins Handbuch drängt sich nur in seltenen Fällen auf.

Unternehmen, die hingegen auf eine möglichst weitgehende Anbindung von Drittsystemen angewiesen sind, dürften Lastpass den Vorzug gegeben, zumal hier auch via REST-Schnittstelle auf die Funktionen zugegriffen werden kann und man sich auch beim Datenimport am flexibelsten zeigt. Wer allerdings auf die deutsche Sprache angewiesen ist, dürfte am Sprachen-Mix, wie er hier aufgetischt wird, wenig Freude haben. Als definitiv überteuert empfinden wir hingegen die Team-Versionen von 1password, wo man für Features wie Benutzergruppen oder weitergehendes Reporting happige 12 Dollar pro Monat und User verlangt, also genau drei Mal so viel wie bei den Mitbewerbern.

Copyright by Swiss IT Media 2018