Digital
epa04034669 A file photo dated 23 January 2012 and made available on 21 January 2014 shows a silhouetted face in front of a computer screen with a fictive input mask for a password in Hanover, Germany. The login details of 16 million email users in Germany have been stolen, authorities confirmed on 21 January 2014. The security breach was confirmed by the Federal Office for Information Security (BSI), which has set up a website allowing internet users to ascertain whether their data has been accessed.  EPA/JULIAN STRATENSCHULTE

Bild: EPA/DPA FILE

Internet-Sicherheit

Unsicherheit durch Bequemlichkeit: Forscher beklagen Mängel in Passwort-Managern

Passwort-Manager werden immer beliebter. Sie versprechen verbesserten Schutz und trotzdem Komfort. Doch nun warnen amerikanische Informatiker vor möglichen Schwachstellen.

14.07.14, 12:29

Ein Artikel von

Vier Informatiker der University of California in Berkeley haben bedenkliche Sicherheitslücken in fünf beliebten Passwort-Managern für Webbrowser entdeckt. Weil die Nutzer in ihnen quasi alle Zugangsdaten für Websites speichern, sind Probleme dort besonders gefährlich: Sobald ein Angreifer den Passwort-Manager geknackt hat, ist er im Besitz des Online-Zentralschlüssels des Opfers.

Tatsächlich wiesen vier der fünf untersuchten Passwort-Manager Sicherheitslücken auf, die ein solches Szenario als möglich erscheinen lassen. Manche gingen schlampig mit Bookmarklets um, wiesen typische Web-Schwachstellen auf, scheiterten an der sicheren Autorisierung der Nutzer oder boten Möglichkeiten für Phishing-Angriffe. In der Studie gelang es den Forschern, mit diversen Tricks die Sicherheitsvorkehrungen der Programme LastPass, RoboForm, My1login und NeedMyPassword auszuhebeln.

«Unsere Angriffe sind verheerend», schreiben die vier Informatiker Zhiwei Li, Warren He, Devdatta Akhawe und Dawn Song in ihrer Veröffentlichung «The Emperor's New Password Manager: Security Analysis of Web-based Password Managers» (PDF). «Ein Angreifer kann die Zugangsdaten jeder beliebigen Website, auf der die Nutzer und Nutzerinnen ein Konto führen, in Erfahrung bringen.»

«Jeder weiss, dass Passworte im Web unsicher sind»

Die Sicherheitsprobleme betreffen viele Stellen und haben verschiedene Ursachen. Ihrer Herr zu werden, schätzen die Informatiker als schwierig ein; zunächst bedürfe es vielschichtiger Sicherheitskonzepte. Aber das eigentliche Problem sei das Passwort-System an sich: «Jeder weiss, dass eine Passwort-Authentifizierung im Internet unsicher ist. Allein schon die Mühe, die man aufbringen muss, um für jede Website ein sicheres, zufälliges Passwort zu wählen, ist eines der Hauptprobleme. Und es sieht ganz so aus, als ob die Nutzer eh längst aufgegeben haben und einfach simple Passwörter auf mehreren Seiten benutzen.» Passwort-Manager könnten dieses Problem zwar theoretisch lösen, indem sie die Passwortverwaltung übernehmen, aber ein einziger Fehler in diesem Programmen würde ausreichen, um ihre Vorteile zunichte zu machen.

Schwachstellen beseitigt

Die Informatiker drängen die Entwickler deswegen, ihre Tipps ernst zu nehmen, um die schlimmsten Fehler zu verhindern. Eine entsprechende E-Mail an die Hersteller der betroffenen Programme verschickten die Forscher im Sommer 2013. Einer der Empfänger war Joe Siegrist von LastPass. In einem Blog-Eintrag spielt er die Sicherheitsprobleme herunter. Ihm sei nicht bekannt, dass es jemals über die von den Forschern beschriebenen Lücken einen Angriff gegeben habe. Wer seinen Passwörtern trotzdem nicht mehr traue, solle sie ändern. «Aber wir glauben nicht, dass das nötig ist.» Die von den Forscher angemahnten Schwachstellen in LastPass wurden bereits im September 2013 beseitigt.

Aber die Zeit der Passwörter könnte ohnehin bald vorbei sein. Längst arbeiten Internetfirmen und Sicherheitsforscher an alternativen Konzepten. Ein besonders interessantes kommt von Google, das das Smartphone eines Nutzers als Schlüssel für dessen Online-Konten benutzt und den Login-Vorgang quasi automatisch übernimmt. Im Extremfall reicht es damit schon aus, sein Smartphone in die Nähe des Computers zu bringen, den man benutzen will, um darauf Zugang zu seinen Nutzerkonten zu erlangen. Doch bis es soweit ist, wollen die vier Berkeley-Informatiker selbst mit einem Passwort-Manager auf den Markt gehen, der prinzipiell sicher sei. (fko)

Abonniere unseren NewsletterNewsletter-Abo
0
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
0Alle Kommentare anzeigen

Facebook ist verloren

Nikotin, Fast Food, Social Media: Mark Zuckerberg hat ein süchtig machendes Monster geschaffen. Im Zaum halten will er es nicht. Das müssen andere tun. Zum Beispiel du!

Aus Mark Zuckerbergs «sozialem Netzwerk» ist eine asoziale Propaganda- und Desinformations-Maschinerie geworden, die nicht nur Menschen verbindet, sondern die Gesellschaft spaltet.

Nonstop bombardiert uns der Facebook-Algorithmus mit Banalitäten, Halbwahrheiten und Schlimmerem.

Die Verantwortung übernehmen kann oder will der 33-jährige Firmenchef nicht. Das wird immer offensichtlicher.

Zuerst verleugnete er die Probleme, dann entschuldigte er sich via Facebook und bat an Yom Kippur um …

Artikel lesen