Internet-Sicherheit Forscher beklagen Mängel in Passwort-Managern

Passwort-Manager werden immer beliebter. Sie versprechen verbesserten Schutz und trotzdem Komfort. Doch nun warnen amerikanische Informatiker vor möglichen Schwachstellen.

Passwort (Symbolbild): Keine absolute Sicherheit
DPA

Passwort (Symbolbild): Keine absolute Sicherheit


Vier Informatiker der University of California in Berkeley haben bedenkliche Sicherheitslücken in fünf beliebten Passwortmanagern für Webbrowser entdeckt. Weil die Nutzer in ihnen quasi alle Zugangsdaten für Websites speichern, sind Probleme dort besonders gefährlich: Sobald ein Angreifer den Passwortmanager geknackt hat, ist er im Besitz des Online-Zentralschlüssels des Opfers.

Tatsächlich wiesen vier der fünf untersuchten Passwortmanager Sicherheitslücken auf, die ein solches Szenario als möglich erscheinen lassen. Manche gingen schlampig mit Bookmarklets um, wiesen typische Web-Schwachstellen auf, scheiterten an der sicheren Autorisierung der Nutzer oder boten Möglichkeiten für Phishing-Angriffe. In der Studie gelang es den Forschern, mit diversen Tricks die Sicherheitsvorkehrungen der Programme "LastPass", "RoboForm", "My1login" und "NeedMyPassword" auszuhebeln.

"Unsere Angriffe sind verheerend", schreiben die vier Informatiker Zhiwei Li, Warren He, Devdatta Akhawe und Dawn Song in ihrer Veröffentlichung "The Emperor's New Password Manager: Security Analysis of Web-based Password Managers" (PDF). "Ein Angreifer kann die Zugangsdaten jeder beliebigen Website, auf der die Nutzer und Nutzerinnen ein Konto führen, in Erfahrung bringen."

"Jeder weiß, dass Passworte im Web unsicher sind"

Die Sicherheitsprobleme betreffen viele Stellen und haben verschiedene Ursachen. Ihrer Herr zu werden, schätzen die Informatiker als schwierig ein; zunächst bedürfe es vielschichtiger Sicherheitskonzepte. Aber das eigentliche Problem sei das Passwortsystem an sich: "Jeder weiß, dass eine Passwortauthentifizierung im Internet unsicher ist.

Allein schon die Mühe, die man aufbringen muss, um für jede Website ein sicheres, zufälliges Passwort zu wählen, ist eines der Hauptprobleme. Und es sieht ganz so aus, als ob die Nutzer eh längst aufgegeben haben und einfach simple Passwörter auf mehreren Seiten benutzen." Passwortmanager könnten dieses Problem zwar theoretisch lösen, indem sie die Passwortverwaltung übernehmen, aber ein einziger Fehler in diesen Programmen würde ausreichen, um ihre Vorteile zunichtezumachen.

Schwachstellen beseitigt

Die Informatiker drängen die Entwickler deswegen, ihre Tipps ernst zu nehmen, um die schlimmsten Fehler zu verhindern. Eine entsprechende E-Mail an die Hersteller der betroffenen Programme verschickten die Forscher im Sommer 2013. Einer der Empfänger war Joe Siegrist von LastPass. In einem Blog-Eintrag spielt er die Sicherheitsprobleme herunter. Ihm sei nicht bekannt, dass es jemals über die von den Forschern beschriebenen Lücken einen Angriff gegeben habe. Wer seinen Passwörtern trotzdem nicht mehr traue, solle sie ändern. "Aber wir glauben nicht, dass das nötig ist." Die von den Forschern angemahnten Schwachstellen in LastPass seien bereits im September 2013 beseitigt worden.

Aber die Zeit der Passwörter könnte ohnehin bald vorbei sein. Längst arbeiten Internetfirmen und Sicherheitsforscher an alternativen Konzepten. Ein besonders interessantes kommt von Google, das das Smartphone eines Nutzers als Schlüssel für dessen Online-Konten benutzt und den Login-Vorgang quasi automatisch übernimmt. Im Extremfall reicht es damit schon aus, sein Smartphone in die Nähe des Computers zu bringen, den man benutzen will, um darauf Zugang zu seinen Nutzerkonten zu erlangen. Doch bis es soweit ist, wollen die vier Berkeley-Informatiker selbst mit einem Passwortmanager auf den Markt gehen, der prinzipiell sicher sei.

fko

Forum - Diskutieren Sie über diesen Artikel
insgesamt 20 Beiträge
Alle Kommentare öffnen
Seite 1
wausq 14.07.2014
1. Welche Passwortmanager?
Zitat von sysopPasswort-Manager werden immer beliebter. Sie versprechen verbesserten Schutz und trotzdem Komfort. Doch nun warnen amerikanische Informatiker vor möglichen Schwachstellen. http://www.spiegel.de/netzwelt/web/passwort-manager-forscher-beklagen-sicherheitsluecken-a-980888.html
Von welchen fünf Passwortmanagern spricht der Autor denn? Wäre schön, wenn diese Information auch im Artikel stände.
amelkreuzung 14.07.2014
2. wer lesen kann
ist klar im Vorteil. Die Dienste werden genannt..
shardan 14.07.2014
3. Dazu nur zwei Punkte
Erstens: wennman schon berichtet, sollte man Ross und Reiter nennen. Welche PWM's sind schlecht,w elcher ist (noch!) nicht geknackt? Zweitens: Wer kennworte inw elcher Weise auch immer mit so einem programm auf dem PC/Tablet/Smartphone speichert, ist bevorzugtes Angriffsziel und dat gefälligst leise zu weinen, wennd as Konto leer ist. Solche Dummheit kann man nicht genug bestrafen.
berufskonsument 14.07.2014
4.
Sehr schwacher Artikel. Welche Sicherheitslücken haben die Passwortmanager denn nun? Wie sehen die Angriffsszenarien aus? Was ist mit den Passwortmanagern, die mit Browsern mitgeliefert werden? Warum soll passwortbasierte Authentifizierung im Internet prinzipiell unsicher sein? Was soll die Alternative sein - der E-Perso? Warum wird nicht über die besseren Alternativen berichtet, z.B. Add-Ons, die bei Bedarf zufällige Passwörter erzeugen (mein Favorit: Password Hasher)?
cabeza_cuadrada 14.07.2014
5. eigentlich sollte man sowas hja gar nicht nutzen.
Zitat von shardanErstens: wennman schon berichtet, sollte man Ross und Reiter nennen. Welche PWM's sind schlecht,w elcher ist (noch!) nicht geknackt? Zweitens: Wer kennworte inw elcher Weise auch immer mit so einem programm auf dem PC/Tablet/Smartphone speichert, ist bevorzugtes Angriffsziel und dat gefälligst leise zu weinen, wennd as Konto leer ist. Solche Dummheit kann man nicht genug bestrafen.
für die 20-30 unterschiedlichen Plattformen sollte man sich immer unterschiedliche Passwörter einfallen lassen! Alle müssen natürlich Groß und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Noch wichtiger ist es, diese Passwörter mindestens alle 8 Wochen zu ändern! und aufschreiben darf man sie sich natürlich auch nicht! Aber das beste ist doch, für den sehr sehr unwahrscheinlichen Fall des Passwortvergessens wurde ja die "geheime Frage" erfunden. Völlig sicher! Mädchenname der Mutter, Lieblingstier oder erstes besuchtes Land. :-) Das krieg ich mit etwas Geschick in 15 Minuten Smalltalk raus. Ganz besonders intelligent gelöst....
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.