DAPI-Encription: Outlook-Passwörter sind unsicher

DAPI-Encription: Outlook-Passwörter sind unsicher

DAPI-Encription: Outlook-Passwörter sind unsicher

(Quelle: Depositphotos)
24. Oktober 2022 - Die Verschlüsselung von Outlook-Passwörtern ist lückenhaft. Mit einer einfachen API-Abfrage lassen sich die Kennwörter im Klartext auslesen.
Die von Outlook in der Windows-Registry abgelegten Passwörter für IMAP-Konten sind nicht wirklich sicher, wie aus einem Beitrag auf "Borncity" hervorgeht, der sich auf einen Tweet von Mariusz Banach, Red Team Operator bei ING Tech Poland, bezieht. Das Problem: Die Kennwörter in der Registry sind zwar DAPI-verschlüsselt (Data-Protection-API), können mit einem API-Aufruf jedoch entschlüsselt und im Klartext ausgelesen werden. In der Folge könnten etwa schadhafte Applikationen das E-Mail-Passwort auslesen und an Cyberkriminelle weitergeben. Die passende Lösung scheint im Moment zu sein, als Nutzer seine Passwörter selbst – etwa in einem sicheren Passwort-Manager – zu verwalten (via "Winfuture").

Bereits Anfang Oktober wurde ein weiteres Verschlüsselungsproblem innerhalb von Office 356 bekannt: Die Die Verschlüsselung von Office (Office 365 Message Encryption, OME) ist offenbar ebenfalls nicht sicher genug. Mit dem genutzten ECB-Modus (Electronic Code Book Mode) können zumindest Teile von verschlüsselten Objekten recht einfach wiederhergestellt werden ("Swiss IT Magazine" berichtete). (win)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER