KeePass Alternative Passwordstate von Clickstudios

Passwordstate

In jedem Unternehmen muss man sich heutzutage die Frage stellen, wie man seine Passwörter und Remote-Zugangsdaten sicher verwaltet. Sichere Kennwörter sind in der Regel lang und komplex. Außerdem benötigt man für jeden Dienst und jede Webseite andere Zugangsdaten. Diese Kriterien sind den meisten Menschen bekannt, trotzdem halten sich noch immer viele nicht an diese Vorgaben. Das liegt unter Anderem häufig daran, dass es sehr kompliziert ist die Menge an verschiedenen sehr komplexen Zugangsdaten zu verwalten. Diesem Problem stellen sich diverse Anbieter von Programmen zur Verwaltung von Zugangsdaten. Dazu gehört die KeePass Alternative Passwordstate.

De-facto-Standard KeePass

In der Vergangenheit setzten sehr viele Leute auf KeePass. Mit KeePass hat man eine kostenlose Open Source Passwortverwaltung, welche sich großer Beliebtheit und Verbreitung erfreut. Es gibt Möglichkeiten zur Zwei-Faktor-Authentifizierung, es ist auf verschiedenen Plattformen verfügbar und es gibt eine große Anzahl zusätzlicher Plugins und Erweiterungen. Für den persönlichen Gebrauch einer einzelnen Person kann ich KeePass deshalb weiterhin empfehlen.

Allerdings fehlen einige in der heutigen Zeit unverzichtbare Funktionen. Dazu gehören unter anderem die Möglichkeit der granularen Rechteverteilung (wie vom BSI gefordert) oder auch die Protokollierung der Zugriffe.

Anforderungen an eine Passwort- und Remotezugangsdatenverwaltung

Betrachtet man die heute relevanten Themen wie Datenschutz, Auditierung nach verschiedenen Normen und den gestiegenen Bedarf an unterschiedlichen Zugangsdaten, ergeben sich daraus unter anderem die folgenden Kriterien:

  • Einfach zu bedienen
  • Verfügbarkeit auf vielen Plattformen
  • Multi-Faktor-Authentifizierung
  • Berechtigungsmanagement
  • Protokollierung der Zugriffe
  • Hohe Sicherheit
  • Ständige Versorgung mit Updates

KeePass Alternative Passwordstate

Die Produktauswahl ging in diesem Fall schnell. Nach Prüfung einiger auf dem Markt verfügbaren Software erschien Passwordstate von der Firma Click Studios (SA) Pty Ltd als die ideale Lösung.

Es existieren noch viele weitere Anbieter, welche die genannten Kriterien voll erfüllen. Mich hat aber der persönliche Kontakt mit den Entwicklern von Passwordstate voll und ganz überzeugt. Die Mitarbeiter dort sind unglaublich motiviert und stehen voll und ganz hinter ihrem Produkt. Von dieser Begeisterung erwarte ich mir ein hohes Maß an Perfektion und Qualität.

Anforderungsprüfung

  • Zur Bedienung von Passwordstate bedarf es etwas Gewöhnung. Das liegt vor allem an großen der Funktionsvielfalt. Nach Erlernung der „Bedien-Idee“ kommt man jedoch schnell an sein Ziel. An dieser Stelle ist trotzdem noch Verbesserungspotential vorhanden.
  • Passwordstate ist eine Web-Applikation. Diese funktioniert mit allen gängigen Browsern und ist daher auf allen Geräten mit Browser verfügbar.
  • Es werden viele gängige Möglichkeiten zur Multi-Faktor-Authentifizierung unterstützt. Dazu gehören sowohl integrierte Varianten wie TOTP (Time-Based One Time Password) und E-Mail-Pins als auch Cloud Anbieter wie Duo Security.
  • Das Berechtigungsmanagement in Passwordstate ist sehr umfangreich. Die Berechtigungen werden basierend auf Rollen vergeben. Es gibt dabei Einzel- und Gruppenberechtigungen. Zugänge können auch nur für einen bestimmten Zeitraum an Personen vergeben werden (zum Beispiel als Vertretungsregelung). Außerdem gibt es die Möglichkeit Anfragen an Passwortlisten-Administratoren zu stellen.
  • Sämtliche Zugriffe in Passwordstate werden protokolliert. Es gibt weitreichende Reporting-Funktionen, um genau zu sehen, welche Person auf welche Kennwörter zugegriffen hat.
  • Die Entwickler legen großen Wert auf Sicherheit. Das ist bei einem Produkt mit diesen Funktionen selbstverständlich. Weil die Entwickler jedoch Entwickler sind und keine „Hacker“, arbeitet das Team von Click Studios mit verschiedenen Software Security Consultants zusammen. Zum Thema Sicherheit lässt sich hier einiges nachlesen.
  • Zum Thema Updates sagt nichts mehr als ein Blick in die übersichtlich gestalteten Changelogs. Übrigens habe ich persönlich schon drei Mal zur Verbesserung von Passwordstate beigetragen. Ich habe noch nie eine Firma erlebt, welche derart schnell auf Kritik und Verbesserungsvorschläge mit sichtbaren Änderungen in der Software reagiert.

Installation von Passwordstate

Zur Installation möchte ich gar nicht viel schreiben. Nach dem Herunterladen des Installers auf ein aktuelles Windows (Server) Betriebssystem mit installiertem IIS wird dieser ausgeführt. Der Installationsassistent leitet einen durch die Installation. Datenbank und Programmdateien würde ich auf eine eigene Festplatte installieren.

Zu den Systemvoraussetzungen und zur Installation gibt es hervorragende Dokumente auf der Firmenwebseite.

Passwörter, Hosts und Administration

Die Weboberfläche gliedert sich abgesehen vom Seitenmenü in drei unterschiedliche Bereiche.

Im Bereich „Passwords“ werden alle Einträge mit Hilfe von Passwortlisten verwaltet. Jede Passwortliste kann eigene Berechtigungen haben. Hier können sowohl Benutzer, als auch Gruppen verwendet werden. Außerdem sind die Passwortlisten sehr flexibel anpassbar. Man kann eine Vielzahl zusätzlicher Felder für Passwörter konfigurieren wie zum Beispiel URL’s, eine Beschreibung oder Sicherheitsfragen.

KeePass Alternative Passwordstate

Der Bereich Hosts steht für eine Funktion, welche in KeePass nur aufwendig nachkonfiguriert werden kann. Passwordstate bietet eine sehr bequeme Möglichkeit Remote-Verbindungen über RDP, SSH, VNC und Team Viewer aufzubauen. Damit konkurriert es auch mit Software zur Remotezugangsverwaltung.

KeePass Alternative Passwordstate

Unter „Administration“ finden Administratoren sehr umfangreiche Möglichkeiten Passwordstate auf die persönlichen Bedürfnisse anzupassen.

 

KeePass Alternative Passwordstate

Passwortlisten

Kennwörter sind immer in Passwortlisten organisiert. Man kann Passwortlisten als „Private Password List“ und „Shared Password List“ anlegen. Der Unterschied besteht darin, dass nur bei letzteren die Möglichkeit besteht Diese mit anderen Benutzern zu teilen. Private Passwortlisten sind nur dem anlegenden Benutzer zugänglich und können auch von Administratoren nicht eingesehen werden.

Für geteilte Passwortlisten können auch Administratoren konfiguriert werden. Dann können Benutzer Zugriff auf Passwortlisten anfragen. Diese Anfragen können dann von den Listenadminsitratoren freigegeben oder abgelehnt werden.

Passwordstate bietet außerdem hervorragende Log-Möglichkeiten. Jede Änderung, jeder Zugriff und jedes Verwenden eines Passworts oder einer Passwortliste wird im „Recent Activity“ Log angezeigt.

KeePass Alternative Passwordstate

Hosts

Im Bereich „Hosts“ werden alle Systeme verwaltet, auf die per RDP, SSH, VNC oder Team Viewer zugegriffen werden soll. Auch hier gibt es wieder ein komplexes Berechtigungsmanagement. Man kann sogar Nutzern den Remote Zugang zu Geräten ermöglichen, welche keinen Zugriff auf das Kennwort haben. Damit kann man zum Beispiel auch Dienstleistern kurzfristig Zugriff auf ein System geben.

Der Remotezugriff ist sowohl über einen Client Launcher als auch über den Browser möglich. Der Client Launcher ist eine Software für Windows, welche dann aus dem Browser heraus die Remote Sitzungen mit lokaler Client Software (RDP, PuTTY usw.) startet. Der Webbasierte Launcher startet die Remotesitzung in einer HTML5 Oberfläche direkt im Browser.

Übrigens sieht man hier einen meiner persönlichen Änderungsvorschläge. Zu Beginn war es nur dem Administrator möglich für Benutzer den Client Based Launcher oder den Browser Based Launcher vorzugeben. Nach einem kurzen Mail-Austausch mit den Entwicklern wurde für mich die Auswahl für den Benutzer ermöglicht (Administratoren können aber trotzdem noch die Launcher einzeln erlauben oder verbieten). Hier übrigens mein professionell vorbereiteter Änderungswunsch.

KeePass Alternative Passwordstate

Der Browser Based Launcher bietet einfache Funktionen wie Maus- und Tastatureingaben und die Synchronisierung der Zwischenablage (Nur Text, keine Dateien).

KeePass Alternative Passwordstate

 

Administration

Die Administration von Passwordstate ist sehr komplex. Die Software hat einen unglaublichen Funktionsumfang und lässt sich sehr individuell anpassen, daher würde ich jedem die Anleitung für „Security Administrators“ nahelegen.

Gerne will ich eine ganz kurze Auflistung der sicherheitsrelevanten von mir empfohlenen Anpassungen anbieten.

  • Backups and Upgrades
    • Settings | Zugangsdaten und Pfad zu einem Speicherort für Backups einrichten.
  • Password Generator Policies
    • Default Password Generator | Einstellungen entsprechend der eigenen Richtlinien anpassen.
  • Password List Templates
    • Standard Password List | Vorlage nach den eigenen Wünschen anpassen. Beispielsweise aktivieren des URL Feldes.
  • System Settings
    • allowed ip ranges | Interne IP Adressen eintragen und eine Multi-Faktor Lösung einstellen.
    • authentication options | Aktivieren einer Multi Faktor Lösung.
    • email alerts & options | SMTP Einstellungen für Benachrichtigungen setzen.
    • mobile access options | Authentifizierungseinstellung mit Multi-Faktor einrichten.
  • User Account Policies
    • Add | „Specify which Authentication option will apply to the user’s account“ auf „Use the System Wide Authentication Settings“ setzen.

Generell sind alle Einstellungen gut beschrieben. Vieles lässt sich durch schlichtes Ausprobieren herausfinden.

Fazit

Mit Passwordstate habe ich also eine für mich ideale Software zur Verwaltung meiner Kennwörter gefunden. Es gibt eine Menge Features und engagierte Entwickler. Hier im Blog werde ich regelmäßig über neue Features berichten und diesen Beitrag dann um eine Linksammlung erweitern.