Kritische Sicherheitslücken in Passwordstate Enterprise Password Manager

Sicherheit (Pexels, allgemeine Nutzung)In der Passwort-Verwaltungslösung Passwordstate Enterprise Password Manager gibt es kritische Schwachstellen, die das Abgreifen von Kennwörtern ermöglichen. The Hacker News hat die Details im Beitrag Critical Security Flaw Reported in Passwordstate Enterprise Password Manager aufgegriffen. Ein deutschsprachiger Beitrag findet sich bei alltech.de. (via @WhiteRabbit)


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Kritische Sicherheitslücken in Passwordstate Enterprise Password Manager

  1. Joerg sagt:

    Sry. aber: lol, das 2. "Enterprise" Tool für Passwortmanagement in so kurzer Zeit, auch wenn es jetzt kein Hack ist :(

    Mittlerweile ist die Methode meiner Mutter wohl das sicherste: selbst komplexere Passwörter in Ihrem Notizbuch "abgelegt", ist war z.T. Umständlich mit der Eingabe, aber sicher vor jedem Hacker :).

    Was mich jetzt interessiert: gibt es dort jetzt eine Produkthaftung wenn dadurch Passwörter abfließen und dem Kunden ein finanziller oder rechtlicher Schaden betrifft?

    Oder gilt wie fast immer "Bedauerlicher Softwarefehler, da kann man nichts machen ¯\_(ツ)_/¯!"?

    • Knusper sagt:

      Wieviel Passwörter hat deine Mami?
      Bei mir sind es gut 100, teilweise sehr komplexe……

      • Paul sagt:

        Ich hatte Zeit weise ca. 40.
        Auf einem Zettel mit einem 3p Font.
        Alles nur Passwörter, keine Rechnername..
        Waren aber nur unter 12 Zeichen lang.

        Heute der Zettel existiert immer noch hat aber nur noch 1/2 des Passwort Wortes. Die andere Hälfte kommt aus Auskeypass.

        Wird der Keypaas kontinener geklaut, so sind die Passwörter darin wertlos, auch wenn es die Hälfte eines echten ist.
        Der Dieb müsste auch noch dringlich meinen Zettel klauen, was eine andere Aufgabe ist, als eine Datei zu kopieren.
        Findet wer den Zettel (so klein geschrieben, daß er nur mit Lupe lesbar ist.) so hilft ihm der auch nicht, da ihm die andere Hälfte fehlt.

        Klingt doch erstmal sehr sicher und sehr billig, auch bei größeren Passwort Mengen.
        Wo ist der Fehler, dass ich das so bisher nirgends vorgeschlagen sah?
        Password splitting?

  2. Torsten sagt:

    Wenn man sich die Analyse von der modzero AG durchliest, kann man nur mit dem Kopf schüttelt.
    https://www.modzero.com/modlog/archives/2022/12/19/better_make_sure_your_password_manager_is_secure/index.html
    "Even more surprising was the code, which validated the token: The only field from the string used for authentication and authorization was the username."

    In solchen Passwort-Managern sind ja keine sensiblen Daten drin…

  3. R.S. sagt:

    Lösung:
    Einfach so etwas wie Passwortmanager gar nicht nutzen!
    Da opfert man doch nur Sicherheit zugunsten von Bequemlichkeit.
    Ist das Kennwort des Passwortmanagers gehackt, sind alle darin gespeicherten Kennwörter bekannt.
    Nutzt man so etwas nicht und wird ein Kenwort geknackt, ist nur genau dieses eine Kennwort betroffen und keines der anderen Kennwörter, die man benutzt.

    • Geige0815 sagt:

      Deine "Logik" entzieht sich der Vernunft. Wenn jemand auf deinem PC einfach etwas absaugen kann, kann man dich auch direkt Keyloggen. Es gibt sehr wohl Passwortmanager die offline funktionieren. Es gibt auch Passwortmanager die man auf eigenen Servern betreiben kann.

      Wenn du deine eigenen Maschinen nicht sicher halten kannst nützt auch manuelles eintippen aus dem Gehirn wenig.

    • Andy sagt:

      Vielleicht etwas extrem, gleich gar keinen Passwortmanager zu nutzen.
      Ich meine, kein echtes Problem. Ich habe ein Notizbuch, da passen meine ca. 500 Passworte rein, die ich für die Arbeit brauche.
      Jeden Tag Kopien für die Kollegen machen oder Änderungsblätter halt. Und denen geben und oder per Post, besser per Boten schicken.
      Das Abschreiben der kryptischen und langen Passworte ist dann sicher nur Übungssache…
      Werde ich mal auf Arbeit vorschlagen. Oder auch nicht.

  4. janil sagt:

    Es war nicht KeePass, sondern der hier… grins

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.