Passwort-Manager: Wie sicher und verschlüsselt sind die Einträge wirklich?

Will man seine Passwörter sicher verwahren und schützen, dann ist ein Passwort Manager immer die beste Wahl. ISE ein unabhängiges Sicherheits- und Beratungsunternehmen hat sich die wichtigsten Passwort Manager einmal ganz genau angeschaut, wie diese mit den Daten umgehen, die im Speicher (Ram) sind und welche dort verbleiben.

Getestet haben sie 1Password4, 1Password7, Dashlane, KeePass und LastPass. Mit dem Test wollte man keine Kritik an den Passwort Managern üben, sondern den Erstellern der Software zeigen, wo sie ansetzen können damit die Software noch sicherer wird. Getestet haben sie die Software im laufenden Zustand, also geöffnet und einmal nach Beenden der Software.

Sowie eine dieser Manager gestartet wird, wird natürlich auch etwas in den Speicher (RAM) geschrieben. Und wenn ein Manager geschlossen wird. Wie dann genau der RAM von den Resten bereinigt wird. Genau das haben sie untersucht. Dabei stellte sich heraus, dass fast alle Programme Probleme damit haben, dass einmal Passwörter und auch das Master Passwort verschlüsselt oder auch im Klartext im Speicher zu sehen ist bzw. im Speicher geblieben ist.

Ein paar Auszüge:

  • Die Speicherhygiene von 1Password7 ist so mangelhaft, dass es möglich ist, Passwörter aus dem Speicher zu entfernen, ohne dass ein absichtlicher Angriff stattfindet. Während unserer Evaluierung von 1Password7 stießen wir auf einen Systemstoppfehler (Ausnahme Kernelmodus) auf unserer Windows 10-Workstation, der auf ein nicht damit zusammenhängendes Hardwareproblem zurückzuführen ist, das einen vollständigen Speicherdebug-Dump auf die Festplatte erzeugte. Bei der Untersuchung dieser Speicherauszugsdatei stießen wir auf unsere geheimen Erkenntnisse, dass 1Password7 Klartext im Speicher in einem gesperrten Zustand hielt, als der Stoppfehler auftrat
  • Obwohl wir jedoch in der Lage sind, Geheimnisse aus einem gesperrten Zustand von Dashlane zu extrahieren, wurde die Speicherregion, in der sie sich befinden, dereferenziert und freigegeben. So können im Laufe der Zeit Teile der XML-Datenstruktur überschrieben werden. Während unserer Untersuchung stellten wir fest, dass Vertraulichkeiten für einige Minuten bestehen können. In einigen Fällen haben wir beobachtet, dass sie noch mehr als 24 Stunden im Speicher sind.
  • Geheimnisse werden im Speicher ohne Referenzen verstreut. Wenn Sie jedoch einen einfachen Zeichenketten-Dump aus dem Prozessspeicher von KeePass durchführen, wird eine Liste der Einträge angezeigt, mit denen interagiert wurde. Mit den obigen Informationen können wir dann nach einem Benutzernamen für einen Eintrag suchen und den entsprechenden Eintrag im Passwortfeld finden

Hier jetzt alles wiederzugeben ist beinahe unmöglich. Wer sich darüber informieren möchte, sollte sich den Betrag einmal in Ruhe durchlesen.

Aber wie oben geschrieben. Deshalb sind Passwort Manager nichts verkehrtes und man kann sie einsetzen. Die Entwickler werden sich jetzt nur Gedanken machen müssen, wie die noch vorhandenen Möglichkeiten die Passwörter doch noch auszulesen zu unterbinden.

Passwort-Manager: Wie sicher und verschlüsselt sind die Einträge wirklich?
Artikel teilen
Über den Autor
ähnliche Artikel
vorheriger Artikel
nächster Artikel

2 Kommentare zu “Passwort-Manager: Wie sicher und verschlüsselt sind die Einträge wirklich?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.