Forscher der ETH Zürich wollten wissen, wie sicher Passwortmanager sind und haben Bitwarden, Lastpass und Dashlane getestet. Die Erkenntnis: So sicher sind die Programme nicht, sie konnten sogar teilweise auf Passwörter zugreifen. Die Forschenden demonstrierten 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane.
Millionen von Menschen nutzen Passwortmanager. Sie vereinfachen den Zugang zu Onlinediensten, Bankkonten und die Bezahlung mit Kreditkarten. Grundsätzlich ist der Einsatz von Passwortmanagern keine schlechte Sache. Bei cloudbasierten Lösungen kann man mit einem einzigen Masterpasswort Zugriff auf alle anderen Passwörter gewähren, und das von verschiedenen Geräten aus.
Allerdings sollten diese Tools sicher sein und keine Schwachstellen aufweisen. Hersteller bewerben ihre Produkte mit dem "Zero Knowledge Encryption" und versprechen Sicherheit. Wie sieht es bei den Passwortmanagern Bitwarden, Lastpass und Dashlane diesbezüglich aus? Diese haben weltweit rund 60 Millionen Nutzende und einen Marktanteil von 23 Prozent.
Zahlreiche Schwachstellen gefunden
Matilda Backendal, Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi von der Forschungsgruppe für Angewandte Kryptografie am Institut für Informationssicherheit der ETH Zürich haben in einer Studie die Sicherheit der drei cloudbasierten Passwortmanager untersucht. Backendal und Torrisi sind aktuell an der Università della Svizzera italiana in Lugano tätig.
Ich bin gestern auf obigen Tweet der Kollegen von inside-it.ch und damit das Thema gestoßen. Der Artikel Passwortmanager bieten weniger Schutz als versprochen der ETH-Zürich bringt es bereits im Titel auf den Punkt. Die Sicherheitsforscher von der ETH Zürich haben bei drei populären, cloudbasierten Passwortmanagern gravierende Sicherheitslücken entdeckt. In Tests konnten sie gespeicherte Passwörter einsehen und sogar verändern.
Die Forschenden setzten für die Tests eigene Server auf, die sich so verhalten wie ein gehackter Server eines Passwortmanagers. Sie gingen davon aus, dass sich die Server nach einem Angriff bösartig verhalten (malicious server threat model) und bei der Interaktion mit Clients, also zum Beispiel einem Webbrowser, willkürlich vom erwarteten Verhalten abweichen.
Dann versuchten sie diverse Angriffstechniken, wobei diese von Integritätsverletzungen über gezielter Benutzertresore bis hin zu einer vollständigen Kompromittierung aller Tresore einer Organisation, die den Dienst nutzt, reichten. In den meisten Fällen konnten sich die Forschenden Zugang zu den Passwörtern verschaffen – und diese sogar manipulieren. Das bittere Ergebnis: Im Rahmen der Untersuchung konnten die Forscher und Forscherinnen 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane demonstrierten.
Dazu brauchten sie nicht mehr als einfache Interaktionen, die Nutzerinnen und Nutzer oder ihre Browser routinemässig beim Verwenden des Passwortmanagers durchführen, zum Beispiel beim Konto anmelden, den Tresor öffnen, Passwörter anzeigen oder Daten synchronisieren, schreiben sie in einer Mitteilung.
"Wir waren überrascht, wie gross die Sicherheitslücken sind", sagt Kenneth Paterson. Sein Team hatte ähnliche Lücken bereits bei anderen cloudbasierten Diensten entdeckt, ging aber davon aus, dass der Sicherheitsstandard aufgrund der kritischen Daten bei Passwortmanagern deutlich höher ist. "Da die End-zu-End-Verschlüsselung bei kommerziellen Diensten noch relativ neu ist, hatte sich das anscheinend noch nie jemand genauer angeschaut."
Matteo Scarlata, Doktorand in der Forschungsgruppe für Angewandte Kryptografie, hat einige der Attacken durchgeführt. Als er begonnen hat, den Code der verschiedenen Manager zu analysieren, ist er schnell auf sehr bizarre Code-Architekturen gestoßen.
Die Unternehmen seien bemüht, ihren Kunden einen möglichst benutzerfreundlichen Service anzubieten, zum Beispiel die Möglichkeit, Passwörter zurückzugewinnen oder den eigenen Account mit Familienmitgliedern zu teilen, sagt Scarlata. "Dadurch werden die Codes komplexer, unübersichtlicher, und die möglichen Angriffsstellen für Hacker nehmen zu. Für solche Attacken braucht es keine besonders leistungsstarken Computer und Server, nur kleine Programme, mit welchen man dem Server eine falsche Identität vortäuschen kann."
Patersons Team hat die Anbieter der betroffenen Systeme kontaktiert, bevor die Erkenntnisse publiziert wurden. Diese hatten 90 Tage Zeit, um die Sicherheitslücken zu schließen. "Die Anbieter waren vorwiegend kooperativ und dankbar, aber nicht alle waren gleich schnell beim Beheben der Sicherheitslücken", sagt Paterson. Der Austausch mit den Entwicklern der Passwortmanager habe aber auch gezeigt, dass diese sehr zurückhaltend mit Systemupdates sind, da sie Angst haben, dass ihre Kunden (Privatpersonen und Firmen) den Zugriff auf ihre Passwörter und weitere persönliche Daten verlieren könnten.
Bei Bitwarden gibt es die Diskussion, dass Volontäre die Information bereits "vor einem Jahr" auf den Tisch gebracht hätten. Der betreffende Bericht sei aber erst nach einem Jahr veröffentlicht worden.
MVP: 2013 – 2016
"So sicher sind die Programme nicht, …"
Das war doch jedem interessierten und verständigen Anwender klar.
Fremde Software an Passwörter lassen und dann noch online: Geht's noch? (m.M.); habe ich von je her abgelehnt.
Wie man es anders macht wurde hier im Blog ja schon öfters u. breit diskutiert.
Darum nutze ich seit je her Keepass lokal und mache mir sogar die Mühe, meine Passwörter aus Keepass heraus in die Zwischenablage zu kopieren, wenn ich sie irgendwo benötige. ich traue diesen ganzen Erweiterungen für den Browser auch nicht so wirklich… Ist hald etwas umständlicher, aber Sicherheit war eben noch nie einfach. Zudem hab ich Keepass bei mir auch so eingestellt, dass die Passwörter nicht länger als 30 Sekunden in der Zwischenablage verbleiben… Wenn ich den Artikel so lese, dann denk ich mir, es ist schon gut so wie ich es mache. Auch wenn es nicht der bequemste Weg ist.
Der Letzte Satz und die darin verlinkten Infos – zumindest was Bitwarden betrifft – ist der wichtigste. Lastpass sollte man schon länger nicht nutzen … so oft wie die Schlagzeilen hatten.