Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

Robert McHardy 218 Kommentare
Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern
Bild: Holly Victoria Norval | CC BY 2.0

Die Sicherheitsforscher der Firma Independent Security Evaluators (ISE) haben in einer Untersuchung aktueller Passwortmanager mehrere Sicherheitslücken bei diesen festgestellt. Unter anderem war es möglich, Masterpasswörter oder private Schlüssel zu extrahieren. Das setzt aber Zugriff mit Admin-Rechten auf den Computer voraus.

ISE hat insgesamt fünf Passwortmanager für Windows 10 untersucht. Mit Nutzerzahlen von 10 Millionen bei Dashlane, 15 Millionen bei 1Password, 16,5 Millionen bei LastPass und 20 Millionen bei KeePass gehören sie zu den beliebtesten Programmen dieser Art.

Untersuchte Passwortmanager
Name Version
1Password 4 for Windows 4.6.2.626
1Password 7 for Windows 7.2.576
Dashlane for Windows 6.1843.0
KeePass Password Safe 2.40
LastPass for Applications 4.1.59

Wenn die Passwortmanager nicht aktiv liefen, waren die von Nutzern gespeicherten Daten in allen Fällen sicher. Im laufenden Betrieb unterschieden die Forscher zwischen dem gesperrten und entsperrten Zustand. Nach Eingabe des Masterpassworts wechselt der Passwortmanager vom gesperrten in den entsperrten Modus, in dem der Nutzer Zugriff auf seine Passwörter hat. Der Fokus lag darauf, zu untersuchen wie effektiv der entsperrte Modus die im Arbeitsspeicher liegenden Daten nach dem Zurückwechseln in den gesperrten Zustand entfernt und ob Daten im entsperrten Modus abgegriffen werden können. Diese Szenarien setzen voraus, dass ein Angreifer Zugriff auf den Rechner hat und obendrauf Programme mit Admin-Privilegien ausführen kann.

Masterpasswörter und private Schlüssel

In 1Password 4 wird das Masterpasswort nach dem Verlassen des entsperrten Modus nicht aus dem Speicher entfernt. Zwar wird das Passwort verschleiert im Speicher gehalten, den Forschern gelang es jedoch, den Klartext auszulesen. Ein Vorteil von 1Password 4 ist, dass im entsperrten Modus lediglich ein aktiv genutztes Passwort im Klartext im Speicher vorliegt. Im Vergleich dazu werden bei der neueren Version 1Password 7 sämtliche gespeicherten Passwörter beim Wechsel in den entsperrten Modus entschlüsselt und im Speicher als Klartext gehalten.

Des Weiteren werden bei 1Password 7, nachdem vom entsperrten in den gesperrten Zustand gewechselt wird, weiterhin das Masterpasswort, alle gespeicherten Passwörter und der private Schlüssel im Speicher gehalten. Demnach müssen Nutzer den Passwortmanager manuell schließen und neu starten, um diese Daten aus dem Arbeitsspeicher zu entfernen. Die im Arbeitsspeicher vorliegenden Daten können unter anderem auch in Speicherabbildern bei Systemabstürzen auftauchen.

Dashlane hält die Passwörter in XML-Form im Speicher vor. Zwar gibt die Anwendung den entsprechenden Speicherbereich nach Wechsel des entsperrten in den gesperrten Zustand frei, der Speicher wird aber nicht bereinigt. Die Forscher konnten so sämtliche gespeicherte Passwörter – teilweise sogar mehr als 24 Stunden nach Wechsel in den gesperrten Modus – abgreifen. Auch in der Open-Source-Software KeePass konnten nach Beendigung des entsperrten Modus Passwörter, mit denen der Nutzer zuvor interagierte, im Speicher abgegriffen werden. Das Masterpasswort war in diesem Fall jedoch sicher, sodass nur ein Teil der Passwörter gelesen werden konnte.

In LastPass wird nach der Eingabe des Masterpassworts dieses mit „lastpass rocks“ überschrieben. In einem weiteren Buffer wird es jedoch weiterhin vorgehalten, auch nachdem zurück in den gesperrten Modus gewechselt wurde. Mittels eines Speicherabbilds des Prozesses konnten die Forscher das Masterpasswort wenige Zeilen von „lastpass rocks“ entfernt im Speicher finden. Auch sämtliche Passwörter, mit denen zuvor im entsperrten Modus interagiert wurde, können in diesem Speicherabbild gefunden werden.

Passwortmanager müssen nicht perfekt sein

Auch wenn die untersuchten Passwortmanager mit einigen Sicherheitsproblemen zu kämpfen haben, ist ihr Einsatz dennoch sinnvoll. Insbesondere, da Admin-Zugriff auf den Rechner benötigt wird, um den Speicher auszulesen, gibt es für Angreifer einfachere Methoden wie Keylogger oder Clipboard-Sniffing, um die Passwörter abzugreifen. Der Sicherheitsforscher Troy Hunt sagte in diesem ZusammenhangPasswortmanager müssen nicht perfekt sein, sie müssen nur besser sein als keinen zu haben“.

Entwickler sind sich der Lücken bewusst

Gegenüber ZDNet haben sich mehrere der betroffenen Entwickler zu den gefundenen Sicherheitslücken geäußert. Der Tenor ist, dass sich die Hersteller der Lücken bewusst sind, diese aber (zum aktuellen Zeitpunkt) nicht vermeidbar sind. „Dieses spezielle Problem zu beheben würde zu weiteren, schwerwiegenderen Sicherheitsproblemen führen [...]“, so Jeffrey Goldberg, „Chief Defender Against the Dark Arts“ bei 1Password. Ein Dashlane-Sprecher wies in diesem Zusammenhang auch auf die diesem Test zugrunde liegende extreme Annahme hin, dass ein Angreifer bereits Admin-Zugriff auf einen anzugreifenden Rechner hat.