ETH-Forscher finden bei diesen Passwort-Managern schwere Sicherheitslücken
Millionen von Menschen vertrauen beim Schutz sensibler Daten auf praktische Passwortmanager. Die Anbieter versprechen, dass die in der Cloud abgelegten Passwörter sicher verschlüsselt sind. Dass solche Werbeversprechen mit grösster Vorsicht zu geniessen sind, zeigt nun ein Forschungsteam der ETH Zürich.
Wo ist das Problem?
Komfort, statt Sicherheit
Wer regelmässig Onlinedienste nutzt, verfüge schnell über hunderte Passwörter, schrieb Samuel Schlaefli am Montag für die ETH-News. Sich diese alle zu merken, ist schwer möglich. Millionen Menschen zählen deshalb auf die Hilfe eines Passwortmanagers.
Hinter einem Masterpasswort werden alle anderen Passwörter im sogenannten «Tresor» abgelegt. Das vereinfacht den Zugang zu sensiblen Daten, etwa zu Bankkonten oder zu Online-Zahlungsmitteln wie Kreditkarten. Das mache Passwortmanager zu einem wahrscheinlichen Ziel von Hackerangriffen, sagte Kenneth Paterson, Informatik-Professor an der ETH Zürich.
Anbieter von Passwortmanagern versprechen absolute Sicherheit: Die Daten seien so gut verschlüsselt, dass selbst sie keinen Zugriff darauf hätten. Nun konnten Forschende der ETH Zürich zeigen, dass die verschlüsselten Daten nicht unlesbar sind.
Wie ist das möglich?
«Das Versprechen lautet, dass selbst wenn jemand auf den Server zugreifen kann, dies kein Sicherheitsrisiko für die Kunden darstellt», sagte Matilda Backendal von der Università della Svizzera italiana in Lugano. «Wir konnten nun zeigen, dass dies nicht stimmt.»
Sie führte die Studie gemeinsam mit Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi von der Forschungsgruppe für Angewandte Kryptografie am Institut für Informationssicherheit der ETH Zürich durch.
Ein Ultimatum von neunzig Tagen
Das Forschungsteam konnte Angriffe auf die Passwortmanager dreier populärer Anbieter – Bitwarden, LastPass und Dashlane – demonstrieren, deren Dienste weltweit rund sechzig Millionen Menschen nutzen würden. «Wir waren überrascht, wie gross die Sicherheitslücken sind», sagte Paterson.
Das Forschungsteam gab den Anbietern der gehackten Systeme 90 Tage Zeit, die Sicherheitslücken zu schliessen. Dabei hätten sich die Hersteller kooperativ gezeigt, wobei beim Beheben der Sicherheitslücken nicht alle gleich schnell gewesen seien.
Die Forschenden legten am Montag konkrete Vorschläge für einen besseren Schutz der Systeme vor. Konkret: Die Entwicklerfirmen sollten die Systeme für Neukunden kryptografisch auf den neuesten Stand bringen.
Die bestehende Kundschaft könnte anschliessend selbst auswählen, ob sie auf das neue, sicherere System migrieren und ihre Passwörter dorthin überführen möchte oder ob sie beim alten System bleibt – in Kenntnis der bestehenden Sicherheitslücken.
Zudem raten die ETH-Fachleute, einen Passwort-Manager zu wählen, der offen über mögliche Sicherheitslücken informiere, extern geprüft werde und bei dem zumindest die Ende-zu-Ende-Verschlüsselung standardmässig eingeschaltet sei.
Update (17. Februar): Die Entwickler des Open-Source-Passwortmanagers Bitwarden haben mit einem Blog-Beitrag auf die ETH-Studie reagiert. Darin werden die Vorteile von Open-Source-Lösungen betont. Eine «vertrauenswürdige Open-Source-Architektur» ermögliche Sicherheitsüberprüfungen (Audits) durch Dritte. Und:
Quellen
- Nachrichtenagentur Keystone-SDA
- ethz.ch: Passwortmanager bieten weniger Schutz als versprochen (16. Februar 2026)
- bitwarden.com: Security through transparency: ETH Zurich audits Bitwarden cryptography against malicious server scenarios
- eprint.iacr.org: Studie zu Passwortmanagern
- zkae.io: Website zur Forschung, mit dem Titel «Zero Knowledge (About) Encryption»
(dsc)
