Password Manager, Kennworttresore, Single Sign-On – diese Begriffe sind Ihnen rund um die Erstellung und Verwaltung sicherer Kennwörter mithilfe von Identity and Access Management-Technologien sicher schon einmal begegnet. Aber was genau bedeuten sie und wie unterscheiden sie sich?
Password Manager und Kennworttresor sind nur zwei Begriffe für dieselbe Art von Produkt. Dabei handelt es sich um sichere Speichersysteme, die Benutzerkennwörter für verschiedene Websites oder Anwendungen verschlüsseln und speichern. Normalerweise meldet sich ein Mitarbeiter mit einem einzigen Kennwort beim Password Manager an und kann dann auf alle Kennwörter zugreifen, die er für seine Arbeitsanwendungen und Websites erstellt hat.
Moderne Password Manager können jedoch mehr als das. Die meisten erstellen sichere, zufällige Kennwörter, die der Mitarbeiter auf Websites oder in Apps verwenden kann. Darüber hinaus bieten die meisten jetzt auch Browsererweiterungen an, die die Anmeldeinformationen für die Website abrufen, bei der sich der Benutzer anmeldet, und den Anmeldedialog ausfüllen, um die Anmeldung zu erleichtern, ohne sich all diese Kennwörter merken zu müssen.
Single Sign-On (SSO) ist eine andere Technologie, mit der sich Benutzer sicher bei Websites und Anwendungen authentifizieren können, indem sie sich nur einmal am Tag mit einem einzigen Kennwort anmelden. Danach ist der Benutzer automatisch bei allen Arbeitsanwendungen oder Websites angemeldet, ohne dass er seine Anmeldeinformationen erneut eingeben muss.
SSO basiert nicht auf der Suche nach dem Kennwort des Benutzers in einer Datenbank. Stattdessen stützt es sich auf Standards wie SAML oder OpenID Connect, um sich über Vertrauensbeziehungen anzumelden. Das bedeutet, dass die Drittanbieter-Anwendung oder -Website dem SSO-Tool vertraut, um zu verifizieren, dass der Benutzer derjenige ist, der er vorgibt zu sein.
Die meisten Password Manager sind heutzutage Cloud-basiert. Natürlich können Sie einen Password Manager verwenden, der die Datenbank auf dem lokalen Rechner des Mitarbeiters speichert, aber das erschwert den Zugriff auf die Kennwörter, wenn sich der Mitarbeiter von seinem Telefon oder einem anderen Rechner aus bei einer Website anmeldet. Bei vielen Password Managern müssen Sie jedoch Browsererweiterungen oder mobile Apps installieren, um von jedem Gerät und Browser aus Zugriff zu haben. Mit einem Cloud-basierten Password Manager können Sie auch sicherstellen, dass Sie Ihre Kennwörter nicht verlieren, wenn auf einem Server oder Rechner ein Ereignis eintritt.
Für Einzelpersonen, die ihre persönlichen Kennwörter sicher aufbewahren wollen, ist ein Cloud-basierter Password Manager sinnvoll. Er ist in jedem Fall besser als eine Tabelle oder die Verwendung desselben Kennworts für jede Website (was die häufigste Taktik ist).
Wenn Sie jedoch nach einer Lösung für Kennwortprobleme in Ihrem Unternehmen suchen, ist ein Cloud-basierter Password Manager möglicherweise nicht die beste Lösung. Password Manager für Unternehmen speichern oft die Kennwörter aller Benutzer des Unternehmens in einer Datenbank. Der Password Manager wird dann nur zu einer weiteren Angriffsfläche für Hacker. Umso alarmierender sind die neuesten Nachrichten von ISE. Diese brachten ans Licht, dass einige der bekanntesten Password Manager die Benutzerinformationen im Speicher preisgeben, selbst wenn sie gesperrt sind. Sogar das Master-Kennwort für den Password Manager kann offengelegt werden.
Eine Möglichkeit, die Sicherheit von Kennworttresoren oder Password Managern zu erhöhen, besteht darin, eine Multi-Faktor-Authentifizierung (MFA) zu verlangen. Dadurch wird sichergestellt, dass Cyberkriminelle, die an den Benutzernamen und das Kennwort eines Kontos gelangen, sich trotzdem nicht anmelden können. Leider wird MFA nicht von allen Password Managern unterstützt bzw. ist nicht nahtlos in sie integriert.
Darüber hinaus bieten Password Manager einfach nicht das Maß an Sicherheit, das Single Sign-On (SSO) bietet. Sie verfügen über keine Möglichkeit, rollen- oder standortbasierte Zugriffsrechte innerhalb einer Anwendung zu verwalten. Sie ermöglichen es nicht, den Zugang zu verfeinern, indem Sie beispielsweise den Zugriff auf vertrauliche Daten einschränken oder eine häufigere Authentifizierung für Anwendungen mit Zugriff auf diese verlangen. Sie ermöglichen keine intelligente Authentifizierung, z. B. die Einschränkung des Zugriffs auf bestimmte Anwendungen oder Websites, wenn sich die Benutzer von weniger sicheren Standorten aus anmelden.
Im Gegensatz zu SSO synchronisieren die meisten Password Manager nicht mit Ihrem Cloud Directory oder Ihrem Active Directory-System für rollenbasierten Zugriff, um eine nahtlose Erfahrung für IT und Benutzer zu bieten. Außerdem bieten sie in der Regel nicht die detaillierten Kontroll- und Auditierungsfunktionen, die für die Einhaltung vieler Normen erforderlich sind. Mit SSO hingegen können Sie sehen, wer sich angemeldet hat und von wo aus, sogar bis hinunter zur IP-Adresse.
Und schließlich funktionieren die meisten Cloud-basierten Password Manager nur für Websites und Webanwendungen. Sie ermöglichen keine einfache Anmeldung auf dem Desktop oder bei lokalen Anwendungen. SSO-Tools, die LDAP und Produkte wie OneLogin Desktop verwenden, können den Mitarbeitern ein einheitliches Anmeldeverfahren bieten, das für alle Anwendungen und Geräte gleich funktioniert. Das Ergebnis ist eine höhere Mitarbeiterzufriedenheit und Produktivität.
Cloud-basierte Password Manager, die durch MFA ergänzt werden, sind ein guter erster Schritt für kleinere Unternehmen, die noch nicht bereit sind, in Single Sign-On zu investieren. Schnell wachsende Unternehmen und mittlere bis größere Firmen werden jedoch feststellen, dass ihr Cloud-basierter Password Manager schnell überholt ist und sie sich nach robusteren Single-Sign-On-Tools umsehen müssen, um ihre wachsenden Anforderungen an Sicherheit und Benutzerfreundlichkeit zu erfüllen.