DAPI-Encription: Outlook-Passwörter sind unsicher

Die von Outlook in der Windows-Registry abgelegten Passwörter für IMAP-Konten sind nicht wirklich sicher, wie aus einem Beitrag auf "Borncity" hervorgeht, der sich auf einen Tweet von Mariusz Banach, Red Team Operator bei ING Tech Poland, bezieht. Das Problem: Die Kennwörter in der Registry sind zwar DAPI-verschlüsselt (Data-Protection-API), können mit einem API-Aufruf jedoch entschlüsselt und im Klartext ausgelesen werden. In der Folge könnten etwa schadhafte Applikationen das E-Mail-Passwort auslesen und an Cyberkriminelle weitergeben. Die passende Lösung scheint im Moment zu sein, als Nutzer seine Passwörter selbst – etwa in einem sicheren Passwort-Manager – zu verwalten (via "Winfuture").


Bereits Anfang Oktober wurde ein weiteres Verschlüsselungsproblem innerhalb von Office 356 bekannt: Die Die Verschlüsselung von Office (Office 365 Message Encryption, OME) ist offenbar ebenfalls nicht sicher genug. Mit dem genutzten ECB-Modus (Electronic Code Book Mode) können zumindest Teile von verschlüsselten Objekten recht einfach wiederhergestellt werden ("Swiss IT Magazine" berichtete). (win)