Internet-Sicherheit Forscher beklagen Mängel in Passwort-Managern
Passwort (Symbolbild): Keine absolute Sicherheit
Foto: Oliver Berg/ dpaVier Informatiker der University of California in Berkeley haben bedenkliche Sicherheitslücken in fünf beliebten Passwortmanagern für Webbrowser entdeckt. Weil die Nutzer in ihnen quasi alle Zugangsdaten für Websites speichern, sind Probleme dort besonders gefährlich: Sobald ein Angreifer den Passwortmanager geknackt hat, ist er im Besitz des Online-Zentralschlüssels des Opfers.
Tatsächlich wiesen vier der fünf untersuchten Passwortmanager Sicherheitslücken auf, die ein solches Szenario als möglich erscheinen lassen. Manche gingen schlampig mit Bookmarklets um, wiesen typische Web-Schwachstellen auf, scheiterten an der sicheren Autorisierung der Nutzer oder boten Möglichkeiten für Phishing-Angriffe. In der Studie gelang es den Forschern, mit diversen Tricks die Sicherheitsvorkehrungen der Programme "LastPass", "RoboForm", "My1login" und "NeedMyPassword" auszuhebeln.
"Unsere Angriffe sind verheerend", schreiben die vier Informatiker Zhiwei Li, Warren He, Devdatta Akhawe und Dawn Song in ihrer Veröffentlichung "The Emperor's New Password Manager: Security Analysis of Web-based Password Managers " (PDF). "Ein Angreifer kann die Zugangsdaten jeder beliebigen Website, auf der die Nutzer und Nutzerinnen ein Konto führen, in Erfahrung bringen."
"Jeder weiß, dass Passworte im Web unsicher sind"
Die Sicherheitsprobleme betreffen viele Stellen und haben verschiedene Ursachen. Ihrer Herr zu werden, schätzen die Informatiker als schwierig ein; zunächst bedürfe es vielschichtiger Sicherheitskonzepte. Aber das eigentliche Problem sei das Passwortsystem an sich: "Jeder weiß, dass eine Passwortauthentifizierung im Internet unsicher ist.
Allein schon die Mühe, die man aufbringen muss, um für jede Website ein sicheres, zufälliges Passwort zu wählen, ist eines der Hauptprobleme. Und es sieht ganz so aus, als ob die Nutzer eh längst aufgegeben haben und einfach simple Passwörter auf mehreren Seiten benutzen." Passwortmanager könnten dieses Problem zwar theoretisch lösen, indem sie die Passwortverwaltung übernehmen, aber ein einziger Fehler in diesen Programmen würde ausreichen, um ihre Vorteile zunichtezumachen.
Schwachstellen beseitigt
Die Informatiker drängen die Entwickler deswegen, ihre Tipps ernst zu nehmen, um die schlimmsten Fehler zu verhindern. Eine entsprechende E-Mail an die Hersteller der betroffenen Programme verschickten die Forscher im Sommer 2013. Einer der Empfänger war Joe Siegrist von LastPass. In einem Blog-Eintrag spielt er die Sicherheitsprobleme herunter. Ihm sei nicht bekannt, dass es jemals über die von den Forschern beschriebenen Lücken einen Angriff gegeben habe. Wer seinen Passwörtern trotzdem nicht mehr traue, solle sie ändern. "Aber wir glauben nicht, dass das nötig ist." Die von den Forschern angemahnten Schwachstellen in LastPass seien bereits im September 2013 beseitigt worden.
Aber die Zeit der Passwörter könnte ohnehin bald vorbei sein. Längst arbeiten Internetfirmen und Sicherheitsforscher an alternativen Konzepten. Ein besonders interessantes kommt von Google, das das Smartphone eines Nutzers als Schlüssel für dessen Online-Konten benutzt und den Login-Vorgang quasi automatisch übernimmt. Im Extremfall reicht es damit schon aus, sein Smartphone in die Nähe des Computers zu bringen, den man benutzen will, um darauf Zugang zu seinen Nutzerkonten zu erlangen. Doch bis es soweit ist, wollen die vier Berkeley-Informatiker selbst mit einem Passwortmanager auf den Markt gehen, der prinzipiell sicher sei.
