In der Passwort-Verwaltungslösung Passwordstate Enterprise Password Manager gibt es kritische Schwachstellen, die das Abgreifen von Kennwörtern ermöglichen. The Hacker News hat die Details im Beitrag Critical Security Flaw Reported in Passwordstate Enterprise Password Manager aufgegriffen. Ein deutschsprachiger Beitrag findet sich bei alltech.de. (via @WhiteRabbit)
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Kioxia XG10: Neue SSDs verdoppeln Lesegeschwindigkeit mit PCIe 5.0 News 20. Juni 2026
- Cyberbetrug-Welle: OECD warnt vor 380% Anstieg bei Identitätsdiebstahl News 20. Juni 2026
- M4 Max: Apples Chip ist 28% schneller – aber nur für Profis News 20. Juni 2026
- Agentische KI: Zoom, Google und Atlassian revolutionieren Teamwork News 20. Juni 2026
- usbliter8-Exploit: Apple-Chips A12 und A13 nicht reparierbar News 20. Juni 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- yanta zu Recycle-Bug durch Juni 2026-Update in allen Windows-Versionen bestätigt
- Andy zu Windows 11 24H2-25H2: Office-Probleme durch Juni 2026 Update KB5094126 bestätigt
- ChrisG zu Windows April 2026-Update macht Probleme mit Macrium-Reflect und Backup-Lösungen
- Sansor zu Recycle-Bug durch Juni 2026-Update in allen Windows-Versionen bestätigt
- Varus zu FortiBleed: Administrator-Passwörter bei 75.000 Fortinet-Firewalls geknackt
- Soeren zu Geist in der Cloud: Chinesische Hacker waren 18 Monate in M365 unterwegs
- MaxM zu Geist in der Cloud: Chinesische Hacker waren 18 Monate in M365 unterwegs
- Visitator zu Recycle-Bug durch Juni 2026-Update in allen Windows-Versionen bestätigt
- Visitator zu Recycle-Bug durch Juni 2026-Update in allen Windows-Versionen bestätigt
- Günter Born zu Geist in der Cloud: Chinesische Hacker waren 18 Monate in M365 unterwegs
- MaxM-1 zu Geist in der Cloud: Chinesische Hacker waren 18 Monate in M365 unterwegs
- M.M. zu Teamviewer seit 2020 für private Nutzung nicht mehr kostenlos
- User007 zu Recycle-Bug durch Juni 2026-Update in allen Windows-Versionen bestätigt
- Marius K. zu Recycle-Bug durch Juni 2026-Update in allen Windows-Versionen bestätigt
- Luzifer zu Windows 10/11: Rechteausweitung in AMD-RAID-Treiber
Sry. aber: lol, das 2. "Enterprise" Tool für Passwortmanagement in so kurzer Zeit, auch wenn es jetzt kein Hack ist :(
Mittlerweile ist die Methode meiner Mutter wohl das sicherste: selbst komplexere Passwörter in Ihrem Notizbuch "abgelegt", ist war z.T. Umständlich mit der Eingabe, aber sicher vor jedem Hacker :).
Was mich jetzt interessiert: gibt es dort jetzt eine Produkthaftung wenn dadurch Passwörter abfließen und dem Kunden ein finanziller oder rechtlicher Schaden betrifft?
Oder gilt wie fast immer "Bedauerlicher Softwarefehler, da kann man nichts machen ¯\_(ツ)_/¯!"?
Wieviel Passwörter hat deine Mami?
Bei mir sind es gut 100, teilweise sehr komplexe……
Ich hatte Zeit weise ca. 40.
Auf einem Zettel mit einem 3p Font.
Alles nur Passwörter, keine Rechnername..
Waren aber nur unter 12 Zeichen lang.
Heute der Zettel existiert immer noch hat aber nur noch 1/2 des Passwort Wortes. Die andere Hälfte kommt aus Auskeypass.
Wird der Keypaas kontinener geklaut, so sind die Passwörter darin wertlos, auch wenn es die Hälfte eines echten ist.
Der Dieb müsste auch noch dringlich meinen Zettel klauen, was eine andere Aufgabe ist, als eine Datei zu kopieren.
Findet wer den Zettel (so klein geschrieben, daß er nur mit Lupe lesbar ist.) so hilft ihm der auch nicht, da ihm die andere Hälfte fehlt.
Klingt doch erstmal sehr sicher und sehr billig, auch bei größeren Passwort Mengen.
Wo ist der Fehler, dass ich das so bisher nirgends vorgeschlagen sah?
Password splitting?
Wenn man sich die Analyse von der modzero AG durchliest, kann man nur mit dem Kopf schüttelt.
https://www.modzero.com/modlog/archives/2022/12/19/better_make_sure_your_password_manager_is_secure/index.html
"Even more surprising was the code, which validated the token: The only field from the string used for authentication and authorization was the username."
In solchen Passwort-Managern sind ja keine sensiblen Daten drin…
Lösung:
Einfach so etwas wie Passwortmanager gar nicht nutzen!
Da opfert man doch nur Sicherheit zugunsten von Bequemlichkeit.
Ist das Kennwort des Passwortmanagers gehackt, sind alle darin gespeicherten Kennwörter bekannt.
Nutzt man so etwas nicht und wird ein Kenwort geknackt, ist nur genau dieses eine Kennwort betroffen und keines der anderen Kennwörter, die man benutzt.
Deine "Logik" entzieht sich der Vernunft. Wenn jemand auf deinem PC einfach etwas absaugen kann, kann man dich auch direkt Keyloggen. Es gibt sehr wohl Passwortmanager die offline funktionieren. Es gibt auch Passwortmanager die man auf eigenen Servern betreiben kann.
Wenn du deine eigenen Maschinen nicht sicher halten kannst nützt auch manuelles eintippen aus dem Gehirn wenig.
Vielleicht etwas extrem, gleich gar keinen Passwortmanager zu nutzen.
Ich meine, kein echtes Problem. Ich habe ein Notizbuch, da passen meine ca. 500 Passworte rein, die ich für die Arbeit brauche.
Jeden Tag Kopien für die Kollegen machen oder Änderungsblätter halt. Und denen geben und oder per Post, besser per Boten schicken.
Das Abschreiben der kryptischen und langen Passworte ist dann sicher nur Übungssache…
Werde ich mal auf Arbeit vorschlagen. Oder auch nicht.
Es war nicht KeePass, sondern der hier… grins