Sichere Passwörter in Unternehmen verwalten

Mateso Password Safe

von - 24.04.2018
Die Passwortmanager-Lösung Password Safe von Mateso gibt es in vier Editionen: Essential, Professional, Enterprise und Enterprise Plus. Die kleinste Version ist für Unternehmen kaum geeignet, da die Sichtsperre für Passwörter und die Zweifaktor-Authentifizierung fehlen. Diese finden sich zwar ab der Professional-Variante, dafür fehlt hier wiederum die für Unternehmen wichtige Active-Directory-Integration. Ab der Enterprise-Version wird es für größere Firmen spannend, da damit ein effektives Management stattfinden kann.
Mateso Password Safe
Mateso Password Safe: Teams können für einen schnellen Zugriff mit der Favoriten-Ansicht arbeiten.
Die Client-Server-Lösung des Programms lässt sich innerhalb der Firma im Intranet oder mit externem Zugriff nutzen. Die Server-Version verlangt entweder einen Windows-Server oder einen Webserver mit Apache oder Nginx. Für den Desktop gibt es nur eine Windows-Version. Nutzer aller anderen Systeme wie Mac OS oder Linux müssen über den auf Java­script basierenden Webclient auf den Datentresor zugreifen. Das gilt auch bei mobilen Zugriffen via Android oder iOS. Der Webclient passt sich immerhin durch responsives Design auf allen Geräten automatisch in der Größe an und ist gut bedienbar. Beim Zugriff via Browser gibt es für den Single-Sign-on-Zugriff Browser-Add-ons für Firefox, Chrome und IE.
Die im System eingetragenen Mitarbeiter lassen sich in Teams, Gruppen oder Abteilungen verwalten und mit Rollen und Richtlinien belegen, die man auch nach einer bereits aktiven Vergabe noch verändern kann. So lässt sich für Mitarbeiter die Nutzung von Zugangsdaten abstufen. Während etwa die Geschäftsleitung die Daten voll einsehen darf, ist für eine Aushilfe nur die Nutzung ohne Ansicht möglich. Zusätzlich ist eine zeitlich befristete Nutzung einstellbar, die automatisch ausläuft. Insgesamt ist der angebotene Funktionsumfang zu jedem Eintrag und den geordneten Passwortsammlungen sehr hoch. Was die Sicherheit angeht, so steht Mateso anderen Herstellern in nichts nach. Es wird die beste Verschlüsselung mit AES-256-Bit und PBKDF2 eingesetzt und RSA 4096 für Langzeitschlüssel. Der externe Zugriff erfolgt nur via SSL/TLS. Bei externen Zugriffen garantiert Mateso eine Ende-zu-Ende-Verschlüsselung.

Pleasant Password Server

Der in der Unternehmensversion Pleasant Password Server für Keepass genutzte Tresor ist eine speziell angepasste Version der Open-Source-Software Keepass. Der bei End­anwendern beliebte Passwortmanager ist relativ schmucklos, aber sehr funktionell. Die Standard-Version lässt sich allerdings nicht in einem Client-Server-Modell nutzen. Pleasant Solutions hat deshalb die Windows- und Mac-Version von Keepass sowie die Apps für An­droid, iOS und Windows Phone für einen Betrieb mit Server-Kontakt ausgerüstet und stellt auch eine vorbereitete Server-Version für Windows oder Windows-Server bereit. Ein Unternehmen kann dann frei entscheiden, ob es den Server intern oder extern in einem Rechenzentrum betreiben will.
Pleasant Password Server
Pleasant Password Server: Die Android-App ist zwar schmucklos, aber durchaus funktionell.
Interessenten können unter drei Ausbaustufen wählen: Community, Enterprise und Enterprise+. Die Community-Edition ist für kleine Teams gedacht. Ihr fehlen die Möglichkeiten, ein Active Directory oder LDAP zu nutzen. Weiterhin lassen sich Zugriffsrechte und Richtlinien für Gruppen und Teams erst ab der Enterprise-Edition zuweisen. Ab Enter­prise+ sind auch noch die Nutzung eines Universal-Single-Sign-on-Moduls sowie eines SSH-Proxys möglich. Die Lizenzpakete starten in allen Editionen ab fünf Nutzern und lassen sich in Fünferschritten bis zu Hunderten von Nutzern steigern. So kosten zum Beispiel 25 Nutzer der Enterprise-Version etwa 1700 Euro inklusive Updates für ein Jahr. Die Verwaltung aller Nutzer, Gruppen und Teams erfolgt über eine Admin-Konsole. Via LDAP oder Active Directory landen alle Nutzer schnell in der Verwaltung. Dort lassen sie sich weiter gruppieren und vorgefertigten Richtlinien zuweisen.
Auf der Bedienoberfläche findet sich auch eine vom Admin bearbeitbare Version des gesamten Passworttresors. Mit wenigen Mausklicks kann man hier definierte Zugänge oder ganze Verzeichnisse mit Zugangsdaten Nutzergruppen oder Teams zuweisen oder sie verweigern. Die Nutzungsrechte laufen intern über Zugriffsebenen, die sich frei anpassen lassen, auch wenn sie bereits zugewiesen sind. An dieser Stelle legt man zum Beispiel auch Zugriffsregeln für Aushilfen fest, damit diese mit Zugriffsdaten arbeiten können, ohne sie zu sehen.
Interessant ist das ausgefeilte Berichtswesen von Pleasant Password Server. Dort lassen sich zum Beispiel Passwort- und Zugriffsberichte ausgeben. Dabei ist es zugleich möglich, sämtliche Passwörter in der Datenbank auf ihre Schlüsselstärke zu prüfen. Unterschreiten Passwörter 40 Bit, werden sie sofort ausgefiltert. Damit Mitarbeiter in Zukunft keine zu schwachen Passwörter generieren, lässt sich ein Schlüsselprofil definieren, das die zu verwendenden Zeichen und somit die Schlüsselstärke vorgibt.
Für die Sicherheit der Passwörter und beim internen und externen Zugriff darauf sorgen ein 128-Bit-SSL-Zertifikat, ein FIPS-140-2-konformer AES-256-Bit-Algorithmus und ein Hash-Algorithmus SHA-512. Durch den frei wählbaren Server-Standort ist auch ein sicherer Betrieb ausschließlich im Intranet möglich.

Marktüberblick: Passwort-Manager für Unternehmen (Teil 2)

Anbieter

LogMeIn

Mateso

Pleasant Solutions

Produkt

Lastpass

Password Safe

Pleasant Password Server für Keepass

Varianten

Team, Enterprise (ab 50 Mitarbeiter)

Essential, Professional, Enterprise, Enterprise Plus

Community, Enterprise, Enterprise+, Enterprise+SSO

Preis pro Nutzer (Beispiele)

Team: 29 Dollar pro Jahr, Enterprise: 48 Dollar pro Jahr

Enterprise (bis 250 Nutzer): 1.500 Euro plus Nutzerlizenzen

Enterprise, 5 Nutzer: 365 Euro inklusive 1 Jahr Updates

Cloud-Service

○ (eigener möglich)

○ (eigener möglich)

Interner Server möglich

Software-Client

Windows, Mac OS, Linux (Add-on)

Windows

Windows, Mac OS

Software-Server

ab Windows Server 2012, IIS ab 7, Apache ab 2.4, Nginx ab 1.13

Windows Vista bis 10, Windows Server 2008, 2012, 2016

Browser-Erweiterungen für

Chrome, Firefox, Safari, IE, Opera

Chrome, Firefox, IE

Mobile Apps

iOS, Android, Windows Phone, Windows Surface

keine, direkter Zugriff via Browser

iOS, Android, Windows Phone

Verschlüsselung

AES-256-Bit, PBKDF2 SHA-256 und Salted Hashes

AES-256-Bit und PBKDF2

FIPS-140-2-konformes

AES-256-Bit

Zweifaktor-Authentifizierung

Besonderheiten

einzelner Datentresor für jeden Nutzer

interne und externe Nutzung in Eigenverwaltung

auch nur als interner Server nutzbar

● ja ○ nein
Verwandte Themen