In der Passwort-Verwaltungslösung Passwordstate Enterprise Password Manager gibt es kritische Schwachstellen, die das Abgreifen von Kennwörtern ermöglichen. The Hacker News hat die Details im Beitrag Critical Security Flaw Reported in Passwordstate Enterprise Password Manager aufgegriffen. Ein deutschsprachiger Beitrag findet sich bei alltech.de. (via @WhiteRabbit)
Translate
Suchen
Blogs auf Borncity
Spenden
Den Blog durch Spenden unterstützen.
Links
Seiten
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Günter Born bei Nachtrag zur Frage, ob Outlook Classic Anmeldedaten an Microsoft überträgt
- Anonym bei Apple iOS 26.2; macOS 26.2 veröffentlicht
- Patrick bei Der App-Zwang, die Sicherheit und Datenabflüsse
- Mossi bei Patchday: Windows 10/11 Updates (9. Dezember 2025)
- washieiko bei Windows Server 2025: KB5072033 setzt AppX Deployment Service-Starttyp auf "Automatisch"
- Martin S. bei Nachtrag zur Frage, ob Outlook Classic Anmeldedaten an Microsoft überträgt
- Anonym bei Digitale Souveränität: Die DATEV zementiert mit Windows 11-Zwang Abhängigkeiten
- EDV-Opa bei Digitale Souveränität: Die DATEV zementiert mit Windows 11-Zwang Abhängigkeiten
- Matze bei Der App-Zwang, die Sicherheit und Datenabflüsse
- Fredbert bei AI-Funktionen wie Copilot aus Windows 11 entfernen
- Anonym bei Der App-Zwang, die Sicherheit und Datenabflüsse
- Anonym bei Windows 7: Bekommt Microsoft Security Essentials noch Updates ab 1. März 2025?
- UPuetz bei Digitale Souveränität: Die DATEV zementiert mit Windows 11-Zwang Abhängigkeiten
- Righter bei Hat Fortinet gerade den kostenfreien VPN-Client aufgekündigt?
- Günter Born bei Windows 7: Bekommt Microsoft Security Essentials noch Updates ab 1. März 2025?
Sry. aber: lol, das 2. "Enterprise" Tool für Passwortmanagement in so kurzer Zeit, auch wenn es jetzt kein Hack ist :(
Mittlerweile ist die Methode meiner Mutter wohl das sicherste: selbst komplexere Passwörter in Ihrem Notizbuch "abgelegt", ist war z.T. Umständlich mit der Eingabe, aber sicher vor jedem Hacker :).
Was mich jetzt interessiert: gibt es dort jetzt eine Produkthaftung wenn dadurch Passwörter abfließen und dem Kunden ein finanziller oder rechtlicher Schaden betrifft?
Oder gilt wie fast immer "Bedauerlicher Softwarefehler, da kann man nichts machen ¯\_(ツ)_/¯!"?
Wieviel Passwörter hat deine Mami?
Bei mir sind es gut 100, teilweise sehr komplexe……
Ich hatte Zeit weise ca. 40.
Auf einem Zettel mit einem 3p Font.
Alles nur Passwörter, keine Rechnername..
Waren aber nur unter 12 Zeichen lang.
Heute der Zettel existiert immer noch hat aber nur noch 1/2 des Passwort Wortes. Die andere Hälfte kommt aus Auskeypass.
Wird der Keypaas kontinener geklaut, so sind die Passwörter darin wertlos, auch wenn es die Hälfte eines echten ist.
Der Dieb müsste auch noch dringlich meinen Zettel klauen, was eine andere Aufgabe ist, als eine Datei zu kopieren.
Findet wer den Zettel (so klein geschrieben, daß er nur mit Lupe lesbar ist.) so hilft ihm der auch nicht, da ihm die andere Hälfte fehlt.
Klingt doch erstmal sehr sicher und sehr billig, auch bei größeren Passwort Mengen.
Wo ist der Fehler, dass ich das so bisher nirgends vorgeschlagen sah?
Password splitting?
Wenn man sich die Analyse von der modzero AG durchliest, kann man nur mit dem Kopf schüttelt.
https://www.modzero.com/modlog/archives/2022/12/19/better_make_sure_your_password_manager_is_secure/index.html
"Even more surprising was the code, which validated the token: The only field from the string used for authentication and authorization was the username."
In solchen Passwort-Managern sind ja keine sensiblen Daten drin…
Lösung:
Einfach so etwas wie Passwortmanager gar nicht nutzen!
Da opfert man doch nur Sicherheit zugunsten von Bequemlichkeit.
Ist das Kennwort des Passwortmanagers gehackt, sind alle darin gespeicherten Kennwörter bekannt.
Nutzt man so etwas nicht und wird ein Kenwort geknackt, ist nur genau dieses eine Kennwort betroffen und keines der anderen Kennwörter, die man benutzt.
Deine "Logik" entzieht sich der Vernunft. Wenn jemand auf deinem PC einfach etwas absaugen kann, kann man dich auch direkt Keyloggen. Es gibt sehr wohl Passwortmanager die offline funktionieren. Es gibt auch Passwortmanager die man auf eigenen Servern betreiben kann.
Wenn du deine eigenen Maschinen nicht sicher halten kannst nützt auch manuelles eintippen aus dem Gehirn wenig.
Vielleicht etwas extrem, gleich gar keinen Passwortmanager zu nutzen.
Ich meine, kein echtes Problem. Ich habe ein Notizbuch, da passen meine ca. 500 Passworte rein, die ich für die Arbeit brauche.
Jeden Tag Kopien für die Kollegen machen oder Änderungsblätter halt. Und denen geben und oder per Post, besser per Boten schicken.
Das Abschreiben der kryptischen und langen Passworte ist dann sicher nur Übungssache…
Werde ich mal auf Arbeit vorschlagen. Oder auch nicht.
Es war nicht KeePass, sondern der hier… grins