← Zurück zum Blog

Eine Zeichnungen von meinem Sohn

Passwort-Manager für Marketing Teams

∙ 6 Min. ∙ English

Wer digitale Geräte benutzt sollte unbedingt einen Passwort-Manager verwenden.Falls du noch keinen verwendest, höre sofort auf diesen Beitrag zu lesen. Richte dir einen ein und lese erst danach weiter.

In diesem Beitrag konzentriere ich mich darauf, was ich über das Nutzen eines Passwort-Managers in einer Arbeitsumgebung gelernt habe, insbesondere im Marketing. Ziel dieser Übung ist es, ein teamweites Setup zu erstellen, das die Online-Konten Ihres Unternehmens in höchstem Maße sichert und gleichzeitig die Zusammenarbeit innerhalb des Marketingteams ermöglicht.

Ich bin ein begeisterter Benutzer von 1Password. Du wirst dies bestimmt in diesem Beitrag spüren. Möglicherweise gibt es andere Passwort-Manager, die eine ebenso gute Mischung aus UX, Funktionen und Sicherheitsmodell anbieten. Ich benutze diese einfach nicht.

Benutzermodelle verstehen

Es gibt mehrere Anwendungsfälle zu betrachten wenn du überlegst, ein Passwort-Manager in dein Team und dessen Workflows einzuführen.

Szenario 1: Jeder Benutzer verfügt über Anmeldeinformationen und gehört einer Benutzerorganisation an

Dies ist die sauberste Konfiguration und diese erfordert kein Passwort-Manager für dein Team. Allerdings können die Teammitglieder sicherlich den Passwort-Manager zum Verwalten der privaten Anmeldeinformationen verwenden. Die Unternehmensseite bzw. -profil und die Benutzerkonten unterscheiden sich konzeptuell Benutzer sind Benutzer oder Administratoren des Unternehmenskontos aber ihre Anmeldeinformationen gehören ihnen.

Beispiele: LinkedIn- und Facebook-Unternehmensseiten.

Hinweis: Erinnere dein Team daran, dass es in diesem Fall eine schlechte Idee ist, die einzelnen Anmeldungen im Passwort-Manager zu teilen.

Szenario 2: Mehrere Benutzer teilen sich die Anmeldeinformationen eines einzelnen Kontos

In diesem Fall gibt es keinen Unterschied zwischen dem Benutzer und dem Firmenkonto. Das Firmenkonto ist eigentlich ein Einzelbenutzerkonto. Möglicherweise machst du dies, weil das Plattform nichts anderes zulässt, oder weil du einfach mehrere Benutzerkonten vermeiden möchtest. Hier kommt ein Passwort-Manager wirklich zum Einsatz.

Beispiele: Instagram- und Twitter-Unternehmensseiten.

Funktionen

Diese sind alle wichtig, jedoch in abnehmender Reihenfolge ihrer Bedeutung. Ich verzichte auf einfache Funktionen wie starke Passwortgeneratoren (sie sollten dies alle unterstützen) und geräteübergreifende Unterstützung.

Echtes Multiuser-Setup

Der von Ihnen ausgewählte Passwort-Manager sollte die Verwendung von Mehrbenutzern ermöglichen. Dies scheint selbstverständlich zu sein, ist es aber nicht. Ein beliebter / kostenloser Passwort-Manager, KeePass, tut dies nicht. Tatsächlich weisen sie dich an, das Datenbankkennwort mit allen Mitgliedern Ihres Teams zu teilen, um Mehrbenutzer zu ermöglichen. Das ist für mich ein absolutes No-Go und deshalb habe ich einen Passwort-Manager gewählt, mit dem Einzelpersonen Konten anlegen und Teil einer Gruppe sein können.

Zwei-Faktor-Authentifizierung

Für den Kennwortmanager selbst: Suche nach einem Passwort-Manager, mit dem du die Zwei-Faktor-Authentifizierung (2FA) erzwingen kannst. Wenn du alle Passwörter zentralisieren möchtest, solltest du zumindest paranoid sein, was die Sicherheit dieses Repository angeht. Am besten 2FA auf alle Geräte (Smartphone, Tablet) mit dem QR-Code gleichzeitig einrichten, damit alle deiner Geräte Zugriff auf dein Passwort-Manager im Fall der Fälle ermöglichen können.

Für die gespeicherten Websites / Apps: Dies ist etwas, das nur wenige Passwort-Manager gut handhaben, aber es ist kritisch! Du solltest 2FA überall einrichten. So kannst du deinen Kuchen haben und ihn auch essen. Du kannst eine hohe Sicherheit für deine Konten genießen und dennoch die Anmeldeinformationen mit deinem Team teilen. Dies ist in zweierlei Hinsicht viel besser als SMS-basiertes 2FA. Erstens ist SMS-basiertes 2FA aus Sicherheitsgründen aufgrund von SIM-Hacking weniger sicher. Zweitens ist es in einem Team unpraktisch, weil nur ein Telefon das Einmalpasswort erhält.

An image of a Twitter login credential set highlighting the one-time password generated within 1Password

Einige argumentieren möglicherweise, dass das Speichern des 2FA-Einmalpassworts im Passwort-Manager nicht gerade Kosher ist. Ich sehe das anders. Ein guter Passwort-Manager macht dich besser auf ein neues / verdächtiges Login aufmerksam als die meisten, wenn nicht alle anderen Dienste. Die Hürde, die du mit 2FA für deine Konten erschaffst , überwiegt meiner Meinung nach die Gefahr, dass das 2FA im Passwort-Manager selbst gespeichert wird. Denke daran, es gibt keine perfekte Sicherheit. Aber es reicht aus, deine Konten nur ein wenig hacksicherer zu machen als die des nächsten Opfer, um die meisten Hacker abzuschrecken.

Granulare Zugangskontrolle

Nicht jeder im Team sollte Zugriff auf alles haben. Daher ist es wichtig, Anmeldungen zu gruppieren und den Zugriff zu kontrollieren. Beispielsweise sollten nur wenige Personen Zugriff auf die Social-Media-Konten des Unternehmens haben. Aber jeder könnte, zum Beispiel, Zugang zu dem Bildanbieter haben. Du musst in der Lage sein, diese Zugriffsebenen zu unterscheiden.

Unterschiedliche Passwort-Manager ermöglichen eine unterschiedliche Granularität der Zugriffskontrolle (normalerweise ist eine zunehmende Granularität mit einem höheren Preis verbunden). Denke jedoch daran, dass viel Granularität auch Kopfschmerzen bereiten kann. Finde hier durch Ausprobieren die richtige Balance.

Active-Directory

Wenn das Unternehmen eine Form von Active-Directory verwendet, kann es sinnvoll sein, den Benutzerzugriff des Passwort-Manager an diese Infrastruktur zu koppeln. Wenn jemand das Unternehmen verlässt, widerruft die IT-Abteilung dem Mitarbeiter auf einheitliche Weise den Zugriff auf alles (einschließlich des Passwort-Managers).

Zahlungsdetails

Möglicherweise haben Sie eine Zahlungsmethode mit einem Konto verbunden, das du mit deinem Team teilst. Hier musst du vertrauen, dass die anderen berechtigten Nutzer kein zusätzliche Dienste oder Abonnements ohne deine Zustimmung kaufen. Dies ist ein Urteil, das du fällen musst. Man kommt nicht darum herum.

Meine Empfehlung: sprich klar mit deinem Team und lasse sie es wissen, dass sie mit diesen Konten besonders vorsichtig sein sollten. Alles, was “Upgrade”, “Gebot”, “Abonnieren” oder ähnliche Schlüsselwörter erwähnt, die Ausgaben implizieren, sollte rote Fahnen setzen. Selbst unbeabsichtigter Missbrauch kann finanzielle Folgen für das Unternehmen haben. Dies ist eine gute Zeit, um diese Zugriffskontrolle zu nutzen.

Regelmäßiges Löschen offener Sitzungen

Es ist eine gute Angewohnheit, regelmäßig alle offenen Sitzungen von Teamkonten mit gemeinsam genutzten Anmeldeinformationen zu löschen. Dies ist eine gute Zeit, das Kennwort zu ändern (möglicherweise musst du das Kennwort ändern, um die Sitzungen zu löschen, ironischerweise). Dadurch werden alle aktiven Benutzer abgemeldet und gezwungen, sich erneut anzumelden. Dies gibt dir die Gewissheit, dass nur diejenigen Zugriff auf diesen Dienst im Passwort-Manager haben. Dies ist besonders wichtig, wenn du den Zugriff im Passwort-Manager änderst. Der Service (eg. Twitter) hat keine Ahnung, dass im Passwort-Manager etwas passiert ist, und es ist deine Aufgabe, alle Sitzungen zurückzusetzen und neue Anmeldungen zu erzwingen.

Wenn ein Teammitglied das Unternehmen verlässt

Menschen verlassen Firmen und fangen woanders an. Das kommt vor. Mithilfe eines Passwort-Managers lassen sich alle Passworte schnell aktualisiert, auf die ehemalig Teammitglieder zugriff hatten. Denk auch daran, nicht nur das Passwort zu ändern, sondern auch die Sitzungen des Kontos (siehe oben) zu löschen, wenn dies möglich ist.

Freigabe für Benutzer außerhalb des Kennwortmanagers

Manchmal braucht ein Kollege in einer anderen Abteilung Zugriff auf im Passwortmanager gespeicherten Passworte. Möglicherweise möchtest du keinen weiteren Benutzer hinzufügen und die Gebühren bezahlen, um dies zu ermöglichen.

Einige Passwort-Manager, wie 1Password, unterstützen Gastbenutzer mit eingeschränkten Zugriffsrechten. Alternativ können Sie diese Passwörter über einen durchgängig verschlüsselten Kanal wie WhatsApp, iMessage, Signal oder Telegram mit diesen Kollegen teilen. Vermeide E-Mail oder Unternehmens-Chat-Dienste wie Slack, Microsoft Teams oder Skype, da diese Dienste nicht durchgängig verschlüsselt sind. Im Wesentlichen könnten diese Unternehmen deine Nachrichten entschlüsseln und dadurch Kenntnis von deinen Benutzernamen und Passworten erlangen, auch wenn dies höchst unwahrscheinlich ist.

Ein Wort zum Training

Die meisten Leute benutzen keinen Passwort-Manager. Nimm also die Zeit, um alle über die Gründe für die Verwendung eines Passwort-Managers auf der Arbeit zu informieren. Wenn dein Team die Logik versteht und über den Zeitraum der Einführung informiert ist, wird die Änderung einfacher. Das ist etwas, was ich nicht immer gut mache, muss ich zugeben.

Es hilft einen Passwort-Manager mit einem hervorragenden Support-System auszuwählen. 1Password und LastPass bieten solches Support an, aber viele andere Anbieter bestimmt auch.

← Zurück zum Blog