News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

Robert

Redakteur
Teammitglied
Dabei seit
Feb. 2009
Beiträge
1.321
Die Sicherheitsforscher der Firma Independent Security Evaluators (ISE) haben in einer Untersuchung aktueller Passwortmanager mehrere Sicherheitslücken bei diesen festgestellt. Unter anderem war es möglich, Masterpasswörter oder private Schlüssel zu extrahieren. Das setzt aber Zugriff mit Admin-Rechten auf den Computer voraus.

Zur News: Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern
 

DarkInterceptor

Commander
Dabei seit
Mai 2014
Beiträge
2.843
ist am ende der gute alte stift und zettel unter der tastatur sicherer als alles andere?
€rgänzung: am heimischen rechner der nicht als bürorechner für die arbeit genutzt wird.


@Balthasarbildet
bei mir zuhause hab ich nichts zu verbergen.
ich bin nicht wichtig genug um was verbergen zu müssen.
 
Zuletzt bearbeitet:

Balthasarbildet

Lieutenant
Dabei seit
Jan. 2005
Beiträge
1.003
Zuletzt bearbeitet:

Blumenwiese

Lt. Junior Grade
Dabei seit
Mai 2018
Beiträge
282
Ne schöne TXT auf nem mit VeraCrypt verschlüsselten USB Stick/im verschlüsselten Container auf der Cloud etc etc, alles sinnvoller als Passwortmanager.
(Am besten die TXT auch noch mit PGP verschlüsselt ;))
 

Cempeg

Lieutenant
Dabei seit
Nov. 2009
Beiträge
777
Was ist wenn man sie sich vom Browser (FF) merken lässt?
Kann man die auch irgendwie auslesen?
Bequem ist es ja schon.
 

-THOR-

Ensign
Dabei seit
Okt. 2011
Beiträge
248
Nutze seit Jahren LastPass ohne Probleme. Allerdings auch mit 2 Faktor Authentifizierung mittels YubiKey.
Zumindest das "auslesbare" Masterpasswort ist damit nicht ausreichend.
 

DocWindows

Commodore
Dabei seit
Mai 2013
Beiträge
4.510
@Blumenwiese Bei VeraCrypt muss du auch ein Passwort eingeben, welches man dann aus dem Speicher auslesen kann. Die Frage ist wie lange das möglich ist und wie Aufwändig es ist.

Bei einer Attacke auf VeraCrypt würde ich es mir einfach machen und versuchen dem User eine selbstkompilierte EXE Datei unterzujubeln. Dann kann man das Passwort schön bequem im Klartext mitschneiden.
 

Blumenwiese

Lt. Junior Grade
Dabei seit
Mai 2018
Beiträge
282
Was ist wenn man sie sich vom Browser (FF) merken lässt?
Kann man die auch irgendwie auslesen?
Bequem ist es ja schon.
Die kann sich eigentlich jeder, der in deinem Benutzeraccount eingeloggt ist, ohne Probleme anzeigen lassen. (Zumindest hat Firefox bei mir nie nach nen PW verlangt), deshalb speichere ich auch nur unwichtige PWs im Firefox, die Passwörter lassen sich auch leicht mit ner Schadware saugen, dafür muss man nur den Profilordner des Firefoxprofils kopieren)


@DocWindows
Und deshalb auch noch die TXT (bzw den Text in der TXT) mit PGP verschlüsseln ;)
 

Wishbringer

Commander
Dabei seit
Juli 2002
Beiträge
2.837
@Blumenwiese :
Man kann die Passwörter im FF mit einem Masterpasswort schützen.
Wenn man es denn aktiviert.
Ansonsten kommt da jeder dran, der im laufenden Betrieb an den installierten Firefox kommt.
Gleiches gilt für die Profildaten. Falls Masterpasswort existiert sind diese geschützt.
 
Zuletzt bearbeitet:

andy_m4

Commander
Dabei seit
Aug. 2015
Beiträge
2.283
Es ist klar, das auch Passwortmanager (wie jeder andere Software auch) Sicherheitslücken enthalten kann.
Was wenig hilft ist aber jetzt in Panik zu verfallen oder Passwortmanager zu verdammen.
Schließlich geht es bei dem beschriebenen Angriff um ein Szenario, wo bereits Schadsoftware auf dem Rechner ist und mit Admin-Rechten läuft.

In dem Fall hat man so oder so ein Problem. Da helfen auch keine verschlüsselten Textdateien oder Passwörter auf dem Zettel zu notieren. Weil der Angreifer dann natürlich auf die verschlüsselte Datei zugreifen kann, sobald sie der Benutzer entschlüsselt.
Und auf die Passwörter auf dem Papier, sobald der Nutzer sie bei Onlinebanking etc. eingibt.

Ein wirksamer Schutz ist es also nicht Passwörter zu verdammen, sondern aufpassen das man sich keine Schadsoftware einfängt. Dazu gibt es eine Reihe an Maßnahmen die hier auch schon rauf und runter diskutiert wurden.

Wer mehr Sicherheit erreichen möchte sollte wenn möglich 2-Faktor-Authentifizierung benutzen:
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
 

Axendo

Lt. Junior Grade
Dabei seit
Juni 2013
Beiträge
289
Meine Passwörter sind als PDF in einem 7z-Archiv mit 16 stelligen AES-256 PW mit Zahlen und Sonderzeichen. Dürfte ähnlich sicher sein...
 

luckysh0t

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.384
Ich teste ja aktuell Bitwarden.Ich habe mal den Entwickler mit Blick auf den Artikel angeschrieben - mal sehen ob und was zurück kommt xD
 

Blutschlumpf

Fleet Admiral
Dabei seit
März 2001
Beiträge
17.687
Wenn jemand Admin-Zugriff auf den Rechner hat und die Keepass-Datei mit dem passenden pw entsperrt wurde, würde ich eh nciht mehr von Sicherheitlücken reden.
Hab beim Titel schon befürchtet, dass die Container entschlüsselbar sind oder sowas.
 

Blumenwiese

Lt. Junior Grade
Dabei seit
Mai 2018
Beiträge
282
Meine Passwörter liegen unter brain.exe. Unknackbar.
Viele (auch ich) können die Flut an nötigen Passwörtern einfach nicht merken.
Bei mir sind es insgesamt ca 30 PW die ich brauche, davon habe ich jedoch nur die wichtigsten im Kopf. (VeraCrypt Laptop+sämtliche andere Container, dann mein PGP Passwort und noch die Passwörter für die Mailkonten/Online Banking (gesamt 10 Passwörter inkl Handy))

Der Rest will mir nicht in den Kopf und ich möchte keine Passwörter doppelt nutzen.
 

Christock

Lieutenant
Dabei seit
Sep. 2005
Beiträge
756
Der Apostroph beim Genitiv wird nur bei Eigennamen verwendet, daher muss es hier einfach heißen: des entsperrten Modus.

Da hier von einer Prämisse ausgegangen wird, unter der man in jedem Fall Sicherheitsprobleme mit seinen Passwörtern hat, finde ich die Erkenntnis nur wenig erhellend und für den praktischen Alltag fast irrelevant. Passwortmanager sind mit dem richtigen Gebrauch weit sicherer als die Praxis, mit der die allermeisten Anwender mit ihren Passwörtern verfahren, sei es, immer dasselbe Passwort zu verwenden, oder sei es, eine Basisvariante in verschiedenen Modifizierungen zu nutzen.
 

DKK007

Lt. Junior Grade
Dabei seit
Nov. 2015
Beiträge
365
Wobei durchaus Fälle möglich sind, bei denen der Angreifer erst nach der Nutzung des Passworts auf/an den PC gelangt und somit das Passwort nicht mit ein Keylogger hätte mitschneiden können.
Z.B. bei einer Hausdurchsuchung.

Dazu kommt, das die Passwörter im RAM auch in der Pagefile, Hiberfile oder Memdumps vom Bluescreen landen können und damit möglichweise tagelang offen auf der Platte liegen.
 

andy_m4

Commander
Dabei seit
Aug. 2015
Beiträge
2.283
Bei mir sind es insgesamt ca 30 PW die ich brauche, davon habe ich jedoch nur die wichtigsten im Kopf.
Ja. Das mit dem "im Kopf behalten" ist ein Problem.
Wobei ein Passwort nicht zwangsläufig mit Zahlen und Sonderzeichen gespickt sein muss, wie immer gesagt wird.
Wenn es denn lang genug ist.
Es darf also z.B. auch ein Satz sein und er darf auch Sinn ergeben. Da wird die Sicherheit über die Länge erreicht. Und Sätze lassen sich für viele Menschen meist besser merken als ein kurzes kompliziertes Passwort.

Das einzige Problem ist, das Webdienste gerne mal ne zu starke Beschränkung der Passwortlänge haben.
Wenn ich regelmäßig beim Online-Banking sehe das da nur irgendwie 6 Zeichen (meist auch ohne Sonderzeichen) erlaubt sind, frag ich mich was so ein Blödsinn soll.
 

Drölfzehn

Ensign
Dabei seit
Okt. 2012
Beiträge
248
@Axendo

Ich denke nicht, dass das wirklich sicher ist. Denn sobald du auf die Datei in deinem 7z zugreifst, wird diese vorher irgendwohin entpackt. Dann liegt diese Datei als Klartext in deinem Temp-Ordner und kann ohne weiteres abgegriffen werden. Auch wenn du deinen Temp-Ordner regelmäßig löschst, sollte die Datei relativ einfach wiederherstellbar sein.
 
Top