Generell gilt die Empfehlung, Passwörter nicht weiterzugeben. Im Arbeitsalltag ist das jedoch oft nicht einzuhalten, zum Beispiel wenn ein Firmen-Account auf Social Media oder bei einem Webshop angelegt wird und hierfür keine individuellen Zugangsdaten existieren.
Trotzdem sollte vor der Nutzung eines gemeinsamen Passworts immer geprüft werden, ob nicht ein Zugangskonzept mit entsprechenden Berechtigungen vorhanden ist, mit dem mehrere Personen auf einen Account zugreifen können, ohne sich ein Passwort zu teilen.
Insbesondere dürfen die Zugangsdaten zu persönlichen Uni-Accounts (wie st-/ac-/gs-Accounts) grundsätzlich nicht geteilt werden.
Falls gemeinsame Passwörter genutzt werden müssen, gelten für grundsätzlich dieselben Empfehlungen wie für individuelle sichere Passwörter.
Besonders hervorzuheben ist hier nochmal die Grundregel:
Für jeden Account ein eigenes Passwort verwenden.
Insbesondere bedeutet das, dass ein geteiltes Passwort keinesfalls mit einem individuell verwendeten Passwort einer der beteiligten Personen übereinstimmen darf.
Keinesfalls sollten gemeinsam genutzte Passwörter per E-Mail verschickt oder in der Teeküche an der Pinnwand aufgehängt werden.
Für das Teilen gemeinsam genutzter Passwörter ist stattdessen die Verwendung eines entsprechenden Passwort-Managers dringend zu empfehlen.
Passwortmanager lassen sich grob in zwei Kategorien unterteilen, je nach angedachtem Verwendungszweck:
Passwortmanager, welche primär für die Verwendung von Einzelpersonen entwickelt wurden, sind oft am einfachsten bei der Einrichtung. Sie speichern typischerweise ihre Passwörter lokal auf dem Gerät. Einige dieser Passwortmanager bieten Funktionen zur Synchronisation zwischen verschiedenen Geräten.
Man kann die Passwortdatenbank dieser Passwortmanager auch in Gruppen teilen, allerdings ist dabei besondere Aufmerksamkeit für die Synchronisation nötig. Eventuell muss die Passwortdatenbank über ein Netzlaufwerk ausgetauscht werden (wobei es jedoch je nach verwendeter Software zu Bearbeitungskonflikten kommen kann). Außerdem ist zu bedenken, dass bei einer solchen Lösung alle beteiligten Personen automatisch Zugriff auf sämtliche geteilten Passwörter haben.
Passwortmanager, welche für die Verwendung von Gruppen entwickelt wurden, bieten hier mehr Funktionalität. Passwörter werden typischerweise auf einem eigenen Server oder einem Cloud-Dienst gespeichert, eine Synchronisation ist damit direkt gewährleistet.
Darüber hinaus besteht die Möglichkeit, Passwörter gezielt einzelnen Personen zu teilen und damit ein feiner gegliedertes Zugriffskonzept umzusetzen.
Bei der Verwendung von Cloud-Diensten, insbesondere in der Verbindung mit sensitiven Daten wie Passwörtern, möchten wir an dieser Stelle auf unsere Hinweise zur Nutzung von Cloud-Diensten verweisen.
Im Allgemeinen werden regelmäßige Änderungen von Passwörtern nicht mehr empfohlen (vgl. Berichterstattung).
Für gemeinsam genutzte Passwörter ist jedoch jedes Mal eine Änderung angebracht, wenn eine der Personen das Unternehmen verlässt, die Kenntnis von diesem Passwort hatte.