Will man seine Passwörter sicher verwahren und schützen, dann ist ein Passwort Manager immer die beste Wahl. ISE ein unabhängiges Sicherheits- und Beratungsunternehmen hat sich die wichtigsten Passwort Manager einmal ganz genau angeschaut, wie diese mit den Daten umgehen, die im Speicher (Ram) sind und welche dort verbleiben.
Getestet haben sie 1Password4, 1Password7, Dashlane, KeePass und LastPass. Mit dem Test wollte man keine Kritik an den Passwort Managern üben, sondern den Erstellern der Software zeigen, wo sie ansetzen können damit die Software noch sicherer wird. Getestet haben sie die Software im laufenden Zustand, also geöffnet und einmal nach Beenden der Software.
Sowie eine dieser Manager gestartet wird, wird natürlich auch etwas in den Speicher (RAM) geschrieben. Und wenn ein Manager geschlossen wird. Wie dann genau der RAM von den Resten bereinigt wird. Genau das haben sie untersucht. Dabei stellte sich heraus, dass fast alle Programme Probleme damit haben, dass einmal Passwörter und auch das Master Passwort verschlüsselt oder auch im Klartext im Speicher zu sehen ist bzw. im Speicher geblieben ist.
Ein paar Auszüge:
- Die Speicherhygiene von 1Password7 ist so mangelhaft, dass es möglich ist, Passwörter aus dem Speicher zu entfernen, ohne dass ein absichtlicher Angriff stattfindet. Während unserer Evaluierung von 1Password7 stießen wir auf einen Systemstoppfehler (Ausnahme Kernelmodus) auf unserer Windows 10-Workstation, der auf ein nicht damit zusammenhängendes Hardwareproblem zurückzuführen ist, das einen vollständigen Speicherdebug-Dump auf die Festplatte erzeugte. Bei der Untersuchung dieser Speicherauszugsdatei stießen wir auf unsere geheimen Erkenntnisse, dass 1Password7 Klartext im Speicher in einem gesperrten Zustand hielt, als der Stoppfehler auftrat
- Obwohl wir jedoch in der Lage sind, Geheimnisse aus einem gesperrten Zustand von Dashlane zu extrahieren, wurde die Speicherregion, in der sie sich befinden, dereferenziert und freigegeben. So können im Laufe der Zeit Teile der XML-Datenstruktur überschrieben werden. Während unserer Untersuchung stellten wir fest, dass Vertraulichkeiten für einige Minuten bestehen können. In einigen Fällen haben wir beobachtet, dass sie noch mehr als 24 Stunden im Speicher sind.
- Geheimnisse werden im Speicher ohne Referenzen verstreut. Wenn Sie jedoch einen einfachen Zeichenketten-Dump aus dem Prozessspeicher von KeePass durchführen, wird eine Liste der Einträge angezeigt, mit denen interagiert wurde. Mit den obigen Informationen können wir dann nach einem Benutzernamen für einen Eintrag suchen und den entsprechenden Eintrag im Passwortfeld finden
Hier jetzt alles wiederzugeben ist beinahe unmöglich. Wer sich darüber informieren möchte, sollte sich den Betrag einmal in Ruhe durchlesen.
Aber wie oben geschrieben. Deshalb sind Passwort Manager nichts verkehrtes und man kann sie einsetzen. Die Entwickler werden sich jetzt nur Gedanken machen müssen, wie die noch vorhandenen Möglichkeiten die Passwörter doch noch auszulesen zu unterbinden.
Sowie Daten irgendwo gespeichert sind, sind sie nicht sicher. 100% Sicherheit gibt es nur, wenn nichts am Rechner verbleibt oder gar irgendwo gespeichert wird. Verschlüsselung hin oder her. Wenn eine Softw-Firma Sicherheit suggeriert, dann suggeriert sie das in der Annahme, dass die Leute ihr das abnehmen. Es kann nur relative Sicherheit geben.
So ist es!
Gleich im ersten Satz oben in dem Artikel steht etwas, was schon vom Grundsatz her falsch ist und den Lesern eine völlig falsche Sicherheit übermittelt:
„Will man seine Passwörter sicher verwahren und schützen, dann ist ein Passwort Manager immer die beste Wahl.“
Die beste Wahl ist immer, Passwörter gar nicht irgendwo zu speichern, sondern aufzuschreiben und wegschließen.