Hier folgt eine ausführliche Analyse von Passwork, einem selbstgehosteten Passwortmanager, der speziell für Unternehmen konzipiert wurde.
Die Notwendigkeit sicherer Passwörter ist allgegenwärtig. Die Realität sieht jedoch oft anders aus: Es ist eine Herausforderung!
Durchschnittliche Internetnutzer haben mitunter Hunderte von Logins zu verwalten (meine eigene Liste zählt 202 und wächst stetig…). Die Erstellung komplexer, kryptischer Passwörter ist dabei die letzte Priorität.
Es ist schlichtweg unmöglich, sich für jedes Konto unterschiedliche, einzigartige Zeichenfolgen zu merken. Die altbewährte Methode, sie aufzuschreiben, ist ebenfalls keine praktikable Lösung.
So bleibt der Einsatz eines Passwortmanagers die einzig vernünftige Option – es sei denn, man setzt auf passwortlose Authentifizierung.
Für diejenigen, die noch nicht vertraut sind: Ein Passwortmanager speichert Ihre Zugangsdaten, generiert sichere Passwörter, bietet Auto-Ausfüllfunktionen und weitere nützliche Features, um das Surfen im Internet sicherer und einfacher zu gestalten.
Trotz dieser überzeugenden Vorteile nutzen nur 31 % der Berufstätigen einen Passwortmanager bei der Arbeit:
Die persönliche Sicherheit ist eine individuelle Verantwortung, aber Unternehmen sollten nicht für die Nachlässigkeit ihrer Mitarbeiter zahlen.
In diesem Kontext stellt ein On-Premise-Passwortmanager die sicherste Variante für jedes Unternehmen dar. Selbst wenn der Anbieter des Passwortmanagers gehackt werden sollte, bleiben Ihre Daten geschützt.
Daher werden wir uns mit Passwork beschäftigen, einer Software, die sowohl lokal als auch in der Cloud eingesetzt werden kann. Beide Varianten ähneln sich, doch die selbstgehostete Version bietet mehr Funktionen. Diese werden wir genauer unter die Lupe nehmen.
Legen wir los!
Passwork: Der On-Premise Passwortmanager
Passwork, ein finnisches Produkt, kann auf Windows Servern, Linux und als Docker-Image implementiert werden. Detaillierte Anleitungen für die Installation auf den jeweiligen Plattformen werden bereitgestellt.
Es bietet umfangreiche Funktionen für Unternehmen, darunter:
- AES-256-Verschlüsselung
- Prüfbarer Quellcode
- Rollenbasierte Benutzerverwaltung
- Umfassendes Aktivitätsprotokoll
- Zwei-Faktor-Authentifizierung
- AD/LDAP-Integration
- SAML-SSO-Kompatibilität
- Mobile App
- Browser-Erweiterungen
- Import/Export in JSON/CSV
- Passwork-API
- Dunkel-/Hell-Modi
In den folgenden Abschnitten werden wir einige der Funktionen praktisch testen, um Ihnen eine fundierte Entscheidungsgrundlage zu bieten.
Erstellung und Freigabe von Tresoren
Als Administrator beginnen Sie mit der Einrichtung eines Passwort-Tresors. Es gibt zwei Tresor-Typen: Organisation und Privat.
Die Tresore der Organisation werden vom Passwortmanager-Administrator verwaltet, der sich auch als erster Account anmeldet. Er kann anschließend anderen Nutzern ähnliche oder spezifische Zugriffsrechte für die jeweiligen Tresore zuweisen.
Der Tresor-Administrator hat zudem die Möglichkeit, einen Tresor über einen zeitlich begrenzten Link mit eingeschränktem Zugriff freizugeben. Diese Option findet sich unten rechts im vorherigen Bild.
Das Hinzufügen von Nutzern zum Tresor erfolgt ebenfalls unkompliziert. Sie können registrierte Benutzer einladen, indem Sie ihnen entweder eine direkte Einladung senden oder einen Link erstellen, den Sie mit der Gruppe teilen.
Der Administrator muss jedoch die Benutzerprofile erstellen, bevor er die Einladung versendet.
Im Gegensatz dazu werden private Tresore von den jeweiligen Nutzern verwaltet. Ein Benutzer kann seinen privaten Tresor aber auch mit anderen Mitarbeitern oder der Organisation teilen.
Benutzerverwaltung
Ein weiteres wichtiges Feature für Unternehmen ist die Benutzerverwaltung. Je nach gewähltem Abonnement können bis zu 100 Konten in einem Plan angelegt werden.
Dies erfolgt über die Schaltfläche „Benutzer erstellen“. Sie müssen den Benutzernamen, die Rolle, die E-Mail-Adresse und den Mitgliedschaftsstatus angeben.
Anschließend erhalten Sie spezifische Zugangsdaten, die Sie dem jeweiligen Nutzer mitteilen können.
Darüber hinaus können Sie Rollen erstellen und Registrierungs-URLs mit Einladungen teilen.
Das Hauptziel der Rollenvergabe ist es, Gruppen zu erstellen und die Zugriffsrechte für alle Gruppenmitglieder gleichzeitig zu managen.
Es wird außerdem die Anzahl der Mitglieder in jeder Gruppe sowie die Tresore angezeigt, auf die sie Zugriff haben.
Passwort-Import/Export
Der Passwort-Import ist besonders dann relevant, wenn Sie von einem anderen Passwortmanager migrieren oder neu starten. In beiden Fällen müssen die Daten im JSON- oder CSV-Format vorliegen.
Analog dazu können Sie beim Export alle Tresore oder einzelne Tresore selektiv in JSON oder CSV herunterladen.
Es ist auch möglich, Daten direkt in einen bestimmten Tresor zu importieren (oder aus ihm zu exportieren).
Klicken Sie hierfür auf die horizontale Ellipse (die durch den Pfeil gekennzeichnet ist) und wählen Sie die gewünschte Option aus dem Dropdown-Menü aus.
Passwörter können auch manuell über die Schaltfläche „+ Passwort hinzufügen“ eingegeben werden.
Der integrierte Passwortgenerator kann Zahlen, Klein- und Großbuchstaben sowie Sonderzeichen zusammen oder getrennt verwenden.
Es besteht auch die Möglichkeit, mehrere Benutzernamen und Passwörter für dieselbe URL zu hinterlegen.
Sicherheit
Nicht nur externe Bedrohungen, sondern auch Mitarbeiter können die Sicherheit eines Unternehmens gefährden.
Passwork überlässt es den Administratoren, die passenden Sicherheitsmaßnahmen umzusetzen.
Das erste Kontrollwerkzeug ist das Aktivitätsprotokoll, welches im jeweiligen Tresor unter dem Namen „Verlauf“ (unter den horizontalen Auslassungspunkten versteckt) zu finden ist.
Alternativ ist der komplette Tresorverlauf im Aktivitätsprotokoll im linken Seitenbereich einsehbar.
Dieser Bereich ist besonders praktisch, da er alle Aktivitäten jedes Nutzers in allen Tresoren anzeigt.
Es werden unter anderem Administratoraktivitäten wie die Erstellung von Tresoren und Nutzern, das Löschen und Teilen von Passwörtern sowie alle anderen Vorgänge in den Tresoren protokolliert.
Diese Informationen sind nur für die jeweiligen Tresor-Administratoren einsehbar.
Die „Passwork Einstellungen“ ermöglichen es, die Tresorerstellung, deren Inhalte, Freigaben usw. auf Mikroebene zu steuern.
Der Administrator kann beispielsweise die Nutzung der Zwei-Faktor-Authentifizierung erzwingen, die Passwortfreigabe und Tresorerstellung durch Nicht-Administratoren regulieren, die automatische Abmeldung einrichten, zeitlich begrenzte API-Schlüssel aktivieren usw.
Ein weiteres Feature, das auf Sicherheit ausgerichtet ist, ist das Security Dashboard.
Dieses Dashboard gibt einen Überblick über den allgemeinen Sicherheitsstatus der Passwörter. Sie können die Stärke und das Alter der Passwörter überprüfen und gegebenenfalls zurücksetzen. Zudem werden Passwörter automatisch markiert, auf die ehemalige Mitarbeiter zugegriffen haben. Auf diese Weise können Sie den Zugriff auf Unternehmensdienste für ausgeschiedene Mitarbeiter schnell unterbinden.
Passwork legt großen Wert auf Sicherheit und bietet die meisten Funktionen, die Unternehmen jeder Größe benötigen.
LDAP/AD-Integration
Passwork lässt sich in Ihr Unternehmens-LDAP integrieren, sodass Nutzer sich nicht ein zusätzliches Passwort merken müssen.
Ziel ist es, das LDAP/AD-Verzeichnis für Passwork zu nutzen und nicht die Einrichtung nativer Zugangsdaten zu erzwingen.
Zur Aktivierung müssen Sie zunächst einen LDAP/AD-Server einrichten, indem Sie auf „Server hinzufügen“ klicken. Geben Sie im Anschluss die Serverdetails ein, testen und speichern Sie diese.
Danach müssen Sie auf der Startseite der LDAP-Einstellungen den Schalter aktivieren, um die LDAP-Autorisierung freizuschalten.
Auch jeder Server kann mit einem einfachen Klick auf den Schalter neben dem Servernamen deaktiviert werden. Die Debug-Option unterhalb von „Server hinzufügen“ erlaubt es Ihnen, die LDAP/AD-Autorisierung zu überprüfen.
SSO-Einstellungen
Single Sign-On (SSO) wurde entwickelt, um die Passwortverwaltung weiter zu vereinfachen.
SAML SSO ermöglicht die Verwendung einer einheitlichen Kombination aus Benutzername und Passwort für die Anmeldung bei einer Reihe von Webanwendungen. Dies eliminiert die Notwendigkeit, sich unterschiedliche Anmeldedaten für jedes Konto merken zu müssen.
Dies ist besonders nützlich, wenn Sie bereits einen SAML-Identitätsanbieter nutzen oder planen, dies zu tun.
Um SSO zu nutzen, müssen Sie lediglich die angegebenen Details (wie im Bild) bei Ihrem Identitätsanbieter (IdP) konfigurieren. Dies ermöglicht es den Nutzern, sich mit dem vorhandenen IdP bei Passwork anzumelden.
Diese Vorgehensweise ähnelt den Social Logins und ist ein unkomplizierter Weg, den entsprechenden Nutzern Zugriff zu gewähren.
Passwork-API
Die Passwork-API bietet eine Möglichkeit, Tresorinhalte schnell zu erstellen oder zu ändern.
Sie können den API-Schlüssel in den API-Einstellungen abrufen und zum Erstellen, Aktualisieren und Abrufen von Passwörtern aus den Tresoren verwenden, die Sie verwalten oder auf die Sie Zugriff haben.
Die auf den Seiten (unterhalb der Handbücher) befindliche API-Dokumentation ist sehr ausführlich und enthält Beispiele, die alle Funktionen der Passwork-API erläutern.
Der JS Connector vereinfacht die Integration in Ihre bestehende Infrastruktur.
Browsererweiterung und mobile App
Die Passwork-Browsererweiterung ist kompatibel mit Chrome, Firefox, Edge und Safari. Sie finden die Browsererweiterungen unter „Einstellungen und Benutzer“ im Bereich „APPS VERBINDEN“.
Laden Sie die Erweiterung herunter und geben Sie die Hostadresse an, damit diese funktioniert.
Die Browsererweiterung listet alle Tresore auf, bietet einen Passwortgenerator und die wichtigsten Funktionen der Webanwendung.
Sie können die Erweiterung mit einer PIN verwenden, um nicht jedes Mal ein Autorisierungspasswort verwenden zu müssen. Die Benutzeroberfläche bietet zudem die Option für helle und dunkle Modi.
Die mobile App ist für Android und iOS verfügbar. Passwork gibt jedoch an, dass Ihr Smartphone über LAN oder VPN auf die Hosting-Server zugreifen muss.
Nach dem Herunterladen der mobilen App werden Sie aufgefordert, einen QR-Code (aus der Desktop-Anwendung) zu scannen, um Zugriff auf die Tresore zu erhalten.
Im Vergleich zur Browsererweiterung ist die mobile App umfangreicher und versucht, die Desktop-Erfahrung auf kleineren Bildschirmen nachzubilden. Sie haben Zugriff auf Ihre Tresore und die kollaborativen Funktionen der Passwork-Smartphone-App und können diese somit als umfassenden Passwortmanager unterwegs nutzen.
Fazit
Dies war ein kurzer Einblick in die praktische Nutzung der selbst gehosteten Passwork Software für Unternehmen. Die detaillierte Dokumentation und der schnelle Support haben die Nutzung besonders angenehm gemacht.
Das Demokonto eignet sich zudem hervorragend, um die Funktionen und Eignung der Software zu bewerten.