![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Forscher der ETH Z\u00fcrich wollten wissen, wie sicher Passwortmanager sind und haben Bitwarden, Lastpass und Dashlane getestet. Die Erkenntnis: So sicher sind die Programme nicht, sie konnten sogar teilweise auf Passw\u00f6rter zugreifen. Die Forschenden demonstrierten 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane.<\/p>\n
<\/p>\n
Millionen von Menschen nutzen Passwortmanager. Sie vereinfachen den Zugang zu Onlinediensten, Bankkonten und die Bezahlung mit Kreditkarten. Grunds\u00e4tzlich ist der Einsatz von Passwortmanagern keine schlechte Sache. Bei cloudbasierten L\u00f6sungen kann man mit\u00a0einem einzigen Masterpasswort Zugriff auf alle anderen Passw\u00f6rter gew\u00e4hren, und das von verschiedenen Ger\u00e4ten aus.<\/p>\n
Allerdings sollten diese Tools sicher sein und keine Schwachstellen aufweisen. Hersteller bewerben ihre Produkte mit dem \"Zero Knowledge Encryption\" und versprechen Sicherheit. Wie sieht es bei den Passwortmanagern Bitwarden, Lastpass und Dashlane\u00a0 diesbez\u00fcglich aus? Diese haben weltweit rund 60 Millionen Nutzende und einen Marktanteil von 23 Prozent.<\/p>\n
Matilda Backendal, Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi von der Forschungsgruppe f\u00fcr Angewandte Kryptografie am Institut f\u00fcr Informationssicherheit der ETH Z\u00fcrich haben in einer Studie<\/a> die Sicherheit der drei cloudbasierten Passwortmanager untersucht. Backendal und Torrisi sind aktuell an der Universit\u00e0 della Svizzera italiana in Lugano t\u00e4tig.<\/p>\n Ich bin gestern auf obigen Tweet der Kollegen von inside-it.ch<\/a> und damit das Thema gesto\u00dfen. Der Artikel Passwortmanager bieten weniger Schutz als versprochen<\/a> der ETH-Z\u00fcrich bringt es bereits im Titel auf den Punkt. Die Sicherheitsforscher von der ETH Z\u00fcrich haben bei drei popul\u00e4ren, cloudbasierten Passwortmanagern gravierende Sicherheitsl\u00fccken entdeckt. In Tests konnten sie gespeicherte Passw\u00f6rter einsehen und sogar ver\u00e4ndern.<\/p>\n Die Forschenden setzten f\u00fcr die Tests eigene Server auf, die sich so verhalten wie ein gehackter Server eines Passwortmanagers.\u00a0Sie gingen davon aus, dass sich die Server nach einem Angriff b\u00f6sartig verhalten (malicious server threat model) und bei der Interaktion mit Clients, also zum Beispiel einem Webbrowser, willk\u00fcrlich vom erwarteten Verhalten abweichen.<\/p>\n Dann versuchten sie diverse Angriffstechniken, wobei diese von Integrit\u00e4tsverletzungen\u00a0 \u00fcber gezielter Benutzertresore bis hin zu einer vollst\u00e4ndigen Kompromittierung aller Tresore einer Organisation, die den Dienst nutzt, reichten. In den meisten F\u00e4llen konnten sich die Forschenden Zugang zu den Passw\u00f6rtern verschaffen \u2013 und diese sogar manipulieren.\u00a0 Das bittere Ergebnis: Im Rahmen der Untersuchung konnten die Forschenden 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane demonstrierten.<\/p>\n Dazu brauchten sie nicht mehr als einfache Interaktionen, die Nutzerinnen und Nutzer oder ihre Browser routinem\u00e4\u00dfig beim Verwenden des Passwortmanagers durchf\u00fchren, zum Beispiel beim Konto anmelden, den Tresor \u00f6ffnen, Passw\u00f6rter anzeigen oder Daten synchronisieren, schreiben sie in einer Mitteilung.<\/p>\n \"Wir waren \u00fcberrascht, wie gross die Sicherheitsl\u00fccken sind\", sagt Kenneth Paterson. Sein Team hatte \u00e4hnliche L\u00fccken bereits bei anderen cloudbasierten Diensten entdeckt, ging aber davon aus, dass der Sicherheitsstandard aufgrund der kritischen Daten bei Passwortmanagern deutlich h\u00f6her ist. \"Da die End-zu-End-Verschl\u00fcsselung bei kommerziellen Diensten noch relativ neu ist, hatte sich das anscheinend noch nie jemand genauer angeschaut.\"<\/p>\n Matteo Scarlata, Doktorand in der Forschungsgruppe f\u00fcr Angewandte Kryptografie, hat einige der Attacken durchgef\u00fchrt. Als er begonnen hat, den Code der verschiedenen Manager zu analysieren, ist er schnell auf sehr bizarre Code-Architekturen gesto\u00dfen.<\/p>\n Die Unternehmen seien bem\u00fcht, ihren Kunden einen m\u00f6glichst benutzerfreundlichen Service anzubieten, zum Beispiel die M\u00f6glichkeit, Passw\u00f6rter zur\u00fcckzugewinnen oder den eigenen Account mit Familienmitgliedern zu teilen, sagt Scarlata.\u00a0 \"Dadurch werden die Codes komplexer, un\u00fcbersichtlicher, und die m\u00f6glichen Angriffsstellen f\u00fcr Hacker nehmen zu. F\u00fcr solche Attacken braucht es keine besonders leistungsstarken Computer und Server, nur kleine Programme, mit welchen man dem Server eine falsche Identit\u00e4t vort\u00e4uschen kann.\"<\/p>\n Patersons Team hat die Anbieter der betroffenen Systeme kontaktiert, bevor die Erkenntnisse publiziert wurden. Diese hatten 90 Tage Zeit, um die Sicherheitsl\u00fccken zu schlie\u00dfen. \"Die Anbieter waren vorwiegend kooperativ und dankbar, aber nicht alle waren gleich schnell beim Beheben der Sicherheitsl\u00fccken\", sagt Paterson.\u00a0\u00a0Der Austausch mit den Entwicklern der Passwortmanager habe aber auch gezeigt, dass diese sehr zur\u00fcckhaltend mit Systemupdates sind, da sie Angst haben, dass ihre Kunden (Privatpersonen und Firmen) den Zugriff auf ihre Passw\u00f6rter und weitere pers\u00f6nliche Daten verlieren k\u00f6nnten.<\/p>\n Bei Bitwarden gibt es die Diskussion<\/a>, dass Volont\u00e4re die Information bereits \"vor einem Jahr\" auf den Tisch gebracht h\u00e4tten. Der betreffende Bericht<\/a> sei aber erst nach einem Jahr ver\u00f6ffentlicht worden. Erg\u00e4nzung: Im Bitwarden-Blog gibt es inzwischen noch diesen Post<\/a> zu obiger Thematik.<\/p>\n","protected":false},"excerpt":{"rendered":" Forscher der ETH Z\u00fcrich wollten wissen, wie sicher Passwortmanager sind und haben Bitwarden, Lastpass und Dashlane getestet. Die Erkenntnis: So sicher sind die Programme nicht, sie konnten sogar teilweise auf Passw\u00f6rter zugreifen. Die Forschenden demonstrierten 12 Angriffe auf Bitwarden, 7 … Weiterlesen ![\"Passwortmanager](\"https:\/\/www.borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-80.png\")
<\/a><\/p>\n