Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
epa04034669 A file photo dated 23 January 2012 and made available on 21 January 2014 shows a silhouetted face in front of a computer screen with a fictive input mask for a password in Hanover, Germany. The login details of 16 million email users in Germany have been stolen, authorities confirmed on 21 January 2014. The security breach was confirmed by the Federal Office for Information Security (BSI), which has set up a website allowing internet users to ascertain whether their data has been accessed.  EPA/JULIAN STRATENSCHULTE

Bild: EPA/DPA FILE

Internet-Sicherheit

Unsicherheit durch Bequemlichkeit: Forscher beklagen Mängel in Passwort-Managern

Passwort-Manager werden immer beliebter. Sie versprechen verbesserten Schutz und trotzdem Komfort. Doch nun warnen amerikanische Informatiker vor möglichen Schwachstellen.

Ein Artikel von

Spiegel Online

Vier Informatiker der University of California in Berkeley haben bedenkliche Sicherheitslücken in fünf beliebten Passwort-Managern für Webbrowser entdeckt. Weil die Nutzer in ihnen quasi alle Zugangsdaten für Websites speichern, sind Probleme dort besonders gefährlich: Sobald ein Angreifer den Passwort-Manager geknackt hat, ist er im Besitz des Online-Zentralschlüssels des Opfers.

Tatsächlich wiesen vier der fünf untersuchten Passwort-Manager Sicherheitslücken auf, die ein solches Szenario als möglich erscheinen lassen. Manche gingen schlampig mit Bookmarklets um, wiesen typische Web-Schwachstellen auf, scheiterten an der sicheren Autorisierung der Nutzer oder boten Möglichkeiten für Phishing-Angriffe. In der Studie gelang es den Forschern, mit diversen Tricks die Sicherheitsvorkehrungen der Programme LastPass, RoboForm, My1login und NeedMyPassword auszuhebeln.

«Unsere Angriffe sind verheerend», schreiben die vier Informatiker Zhiwei Li, Warren He, Devdatta Akhawe und Dawn Song in ihrer Veröffentlichung «The Emperor's New Password Manager: Security Analysis of Web-based Password Managers» (PDF). «Ein Angreifer kann die Zugangsdaten jeder beliebigen Website, auf der die Nutzer und Nutzerinnen ein Konto führen, in Erfahrung bringen.»

«Jeder weiss, dass Passworte im Web unsicher sind»

Die Sicherheitsprobleme betreffen viele Stellen und haben verschiedene Ursachen. Ihrer Herr zu werden, schätzen die Informatiker als schwierig ein; zunächst bedürfe es vielschichtiger Sicherheitskonzepte. Aber das eigentliche Problem sei das Passwort-System an sich: «Jeder weiss, dass eine Passwort-Authentifizierung im Internet unsicher ist. Allein schon die Mühe, die man aufbringen muss, um für jede Website ein sicheres, zufälliges Passwort zu wählen, ist eines der Hauptprobleme. Und es sieht ganz so aus, als ob die Nutzer eh längst aufgegeben haben und einfach simple Passwörter auf mehreren Seiten benutzen.» Passwort-Manager könnten dieses Problem zwar theoretisch lösen, indem sie die Passwortverwaltung übernehmen, aber ein einziger Fehler in diesem Programmen würde ausreichen, um ihre Vorteile zunichte zu machen.

Schwachstellen beseitigt

Die Informatiker drängen die Entwickler deswegen, ihre Tipps ernst zu nehmen, um die schlimmsten Fehler zu verhindern. Eine entsprechende E-Mail an die Hersteller der betroffenen Programme verschickten die Forscher im Sommer 2013. Einer der Empfänger war Joe Siegrist von LastPass. In einem Blog-Eintrag spielt er die Sicherheitsprobleme herunter. Ihm sei nicht bekannt, dass es jemals über die von den Forschern beschriebenen Lücken einen Angriff gegeben habe. Wer seinen Passwörtern trotzdem nicht mehr traue, solle sie ändern. «Aber wir glauben nicht, dass das nötig ist.» Die von den Forscher angemahnten Schwachstellen in LastPass wurden bereits im September 2013 beseitigt.

Aber die Zeit der Passwörter könnte ohnehin bald vorbei sein. Längst arbeiten Internetfirmen und Sicherheitsforscher an alternativen Konzepten. Ein besonders interessantes kommt von Google, das das Smartphone eines Nutzers als Schlüssel für dessen Online-Konten benutzt und den Login-Vorgang quasi automatisch übernimmt. Im Extremfall reicht es damit schon aus, sein Smartphone in die Nähe des Computers zu bringen, den man benutzen will, um darauf Zugang zu seinen Nutzerkonten zu erlangen. Doch bis es soweit ist, wollen die vier Berkeley-Informatiker selbst mit einem Passwort-Manager auf den Markt gehen, der prinzipiell sicher sei. (fko)



Abonniere unseren Newsletter

0
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
0Alle Kommentare anzeigen

Was du über die Bauernfängerei «Initiative Q» wissen musst

Seit Oktober geistert ein neues «Werde schnell und ohne Aufwand reich»-Schema durch die Social-Media-Kanäle und E-Mail-Inboxen. «Initiative Q» heisst das Projekt und bei Google sind die weltweiten Anfragen dieses Begriffs seit Ende Oktober explodiert.

Auch die Schweiz wurde vom «Initiative Q»-Hype nicht verschont:

Doch worum geht es dabei? Und ist es gefährlich? Wir klären auf.

«Initiative Q» will nach eigenen Angaben den weltweiten Zahlungsverkehr umkrempeln – ähnlich wie einige …

Artikel lesen
Link to Article