Schwere Sicherheitslücken bei Passwort-Managern

Forscher der University of California in Berkeley haben fünf webbasierte Passwortmanager untersucht und in allen schwere Sicherheitslücken entdeckt, wie arstechnica berichtet. Geprüft wurden PasswordBox, RoboForm, My1login, NeedMyPassword und LastPass, eine der beliebtesten Lösungen überhaupt. LastPass und drei der vier anderen Anbieter haben die aufgedeckten Schwachstellen zwar mittlerweile repariert (die Ausnahme ist NeedMyPassword), die Arbeit der Sicherheitsexperten nährt aber grundlegende Zweifel an der Sinnhaftigkeit von Passwortmanagern.

Alle getesteten Programme funktionieren nach demselben Prinzip. Es wird im Netz ein verschlüsseltes Textdokument mit den Log-ins und Passwörtern eines Nutzers angelegt, auf das mit einem Master-Passwort zugegriffen werden kann. Über Browser-Plug-ins können die Passwörter im Netz dann automatisch eingegeben werden. Der Nutzer muss sich so lediglich ein einziges Passwort merken.

Die Kehrseite der Medaille ist, dass Hacker durch das Knacken eines einzigen Passworts Zugang zu allen Accounts eines Nutzers erlangen können. Die Sicherheitsforscher haben es bei allen getesteten Programmen geschafft, Zugriff auf gesicherte Accounts zu erlangen Zum Teil konnte auch die verschlüsselte Passwortdatenbank heruntergeladen werden, um sie dann offline zu knacken. Die Forscher sind trotzdem der Meinung, dass Passwortmanager besser sind, als die Verwendung desselben Passworts auf verschiedenen Seiten.