Vorsicht ist geboten

Bittere Ironie: Sicherheitslücken in 5 beliebten Passwort Managern entdeckt

Geschätzte Lesezeit: ca. 4 Minuten

Foto von Sven Schäfer

von Sven Schäfer (@kreativfrei)-

Bei all den verschiedenen Accounts, Webseiten und Co. wundert es kaum, dass sich Passwort Manager größter Beliebtheit erfreuen. Die praktischen Tools ermöglichen das sichere Aufbewahren sämtlicher Passwörter an einem Ort – doch wie sich jetzt herausgestellt hat, sind diese Programme doch nicht so sicher, wie man bisher geglaubt hat.

Ob Facebook, Twitter, Steam, Battle.net oder Google Mail – sämtliche Accounts benötigen ein Passwort, das möglichst sicher und am besten einmalig sein soll. Doch mit der Zeit kommen immer neue Passwörter hinzu, sodass man schnell den Überblick verlieren kann. Zudem ist es bekanntlich ratsam, die Zugangsdaten hin und wieder zu ändern, um die eigene Sicherheit zu erhöhen – was der Übersichtlichkeit allerdings nicht wirklich zuträglich ist. Genau hier kommen die Passwort Manager ins Spiel: Dabei handelt es sich um praktische Anwendungen, die es dem Nutzer ermöglichen, sämtliche Passwörter an einem Ort aufzubewahren. So braucht es nur noch ein einziges, das sogenannte Master-Passwort, um auf alle anderen Zugangsdaten zugreifen zu können.

Bislang galten diese Management-Tools als nahezu unknackbar, doch wie die Sicherheits-Experten des US-amerikanischen Unternehmens Independent Security Evaluators (ISE) jetzt herausgefunden haben, können sich Unbefugte doch leichter Zugriff auf die sensiblen Daten verschaffen, als gedacht. Die Forscher, die sich selbst als 'White Hats' (ein Begriff für Hacker, die ihre Fähigkeiten für die gute Seite einsetzen) bezeichnen, haben dazu die fünf derzeit beliebtesten Passwort Manager genauer unter die Lupe genommen: 1Password4, 1Password7 (Neue Version), KeePass, Dashlane und LastPass. Das Ergebnis: ernüchternd.

Die Schlüssel unter der virtuellen Fußmatte

Alle genannten Passwort Manager bieten Hackern die potentielle Möglichkeit, auf die unverschlüsselten Anmeldeinformationen zugreifen zu können, wenn die Software die ganze Zeit im Hintergrund ausgeführt wird. Der Grund dafür ist, dass die Tools das Hauptpasswort nicht immer aus dem Speicher des Computers löschen und es dort, unverschlüsselt, verbleibt – auch wenn man den Benutzer wechselt. Als besonders anfällig hat sich während der Tests die Anwendung 1Password herausgestellt. Dieses Tool speichert das Hauptkennwort während der Entsperrung des Programms im Speicher ab und belässt es dort, selbst wenn man das Tool nach der Benutzung wieder sperrt.

Damit man das Passwort tatsächlich auslesen kann, bedarf es einiges an Können und diverse Hacker-Tools, die zum Teil komplizierter sind, als eine Abhandlung über Raketentechnik.

Quelle: Independent Security Evaluators

Zudem ist es bei 1Password7 – also der neueren Version – sogar möglich, sich nicht nur das Master-Passwort, sondern auch alle anderen gespeicherten Kennwörter aus dem Speicher heraus als Klartext anzeigen zu lassen, auch während das Tool eigentlich gesperrt ist. Bei dem Programm Dashlane wird während der Ausführung nur das letzte aktive Kennwort im Speicher angezeigt. Sobald der Benutzer jedoch einen der Einträge aktualisiert, macht er seine gesamte Datenbank als Klartext im Arbeitsspeicher des Computers verfügbar. Hinzukommt, dass diese sensiblen Informationen auch dann vorhanden bleiben, wenn sich der Benutzer bei Dashlane abmeldet. Nur durch das vollständige Schließen des Programms werden die zwischengespeicherten Daten gelöscht. Da viele User den Passwort Manager jedoch häufig über einen längeren Zeitraum am Stück nutzen, bietet sich hier also Potential für Unbefugte.

Kein Grund, direkt in Panik zu verfallen

Die Tests von ISE belegen zwar, dass die als unknackbar dargestellten Passwort Manager am Ende doch eine Angriffsfläche bieten, allerdings ist das trotzdem noch lange kein Grund, das praktische Tool direkt zu löschen. Damit ein Hacker die Passwörter aus dem Arbeitsspeicher auslesen kann, bedarf es nämlich einiges mehr, als viele der sogenannten 'Scriptkiddies' im Allgemeinen zu bieten haben. Zum einen müsste bereits Malware auf dem Computer installiert sein, um unbefugten Fremdzugriff von Außen überhaupt möglich zu machen. Zum anderen sind absolutes Fachwissen und spezielle Tools nötig, um tatsächlich an die Daten im Speicher gelangen zu können.

Gesunder Menschenverstand und ein gewisses Maß an Vorsicht.

Die Sicherheits-Experten weisen zudem darauf hin, dass man womöglich schwerwiegendere Probleme als die Sorge um seine Passwörter hat, wenn der eigene PC bereits mit Keyloggern oder Ransom-, Spy- und Malware infiziert ist. Die Empfehlung der Spezialisten: Sämtliche Software auf dem neusten Stand halten, Virenscanner und Firewalls nutzen, Zwei-Faktor-Authentifizierung bei allen möglichen Accounts verwenden und dafür sorgen, dass sich Unbefugte keinen physischen Zugang zum PC verschaffen können.

Quelle: ISE

Hier erfährst du mehr über: Sicherheit

Sag uns deine Meinung!