Die Anbieter von cloudbasierten Passwortmanagern argumentieren damit, dass ihre Produkte die Passwörter durchgängig verschlüsseln und nicht einmal sie selbst Zugang zu den gespeicherten Passwörtern haben – sie sprechen dabei von Zero Knowledge Encryption. Selbst wenn der Server gehackt werden sollte, soll dies kein Sicherheitsrisiko für die Kunden darstellen.
Eine Forschungsgruppe für angewandte Kryptografie der
ETH Zürich hat drei populäre Passwortmanager untersucht: Bitwarden, Lastpass und Dashlane werden weltweit von rund 60 Millionen Nutzern eingesetzt und verfügen zusammen über einen Marktanteil von 23 Prozent. Für den Test haben die Forschenden eigene Server aufgesetzt, die sich so verhalten wie ein gehackter Server eines Passwortmanagers. Diese Server wurden von der Forschungsgruppe mit unterschiedlichen Angriffen traktiert, darunter Integritätsverletzungen gezielter Tresore von Benutzern und eine vollständige Kompromittierung aller Tresore einer Organisation.
In den meisten Fällen war es den Forschenden möglich, auf die Passwörter zuzugreifen und diese sogar zu manipulieren. Dazu genügten einfache Interaktionen, wie sie Nutzer der Passwortmanager üblicherweise durchführen, etwa die Anmeldung am Konto, das Öffnen des Tresors, die Anzeige von Passwörtern oder die Synchronisierung von Daten. Kenneth Paterson, Informatik-Professor an der ETH Zürich: "Passwortmanager sind aufgrund der grossen Menge an sensiblen Daten wahrscheinliche Ziele für geübte Angreifer, die in der Lage sind, in die Server einzudringen und von dort aus Angriffe zu starten. Wir waren überrascht, wie gross die Sicherheitslücken sind."
Doktorand Matteo Scarlata hat einige der Angriffe durchgeführt und den Code der Passwortmanager analysiert. Dabei sei er auf "sehr bizarre Code-Architekturen" gestossen. Schuld daran sei das Bestreben der Anbieter, einen möglichst benutzerfreundlichen Service zu offerieren. Dadurch werde der Code komplexer und unübersichtlicher – die Angriffsstellen für Hacker nehmen zu. Es brauche für solche Attacken keine besonders leistungsstarken Computer und Server, sondern nur kleine Programme zur Vortäuschung einer falschen Identität.
Um die Sicherheit von cloudbasierten Passwortmanagern zu verbessern, schlägt die Forschungsgruppe vor, die Systeme für Neukunden kryptografisch auf den neuesten Stand zu bringen. Bestehende Kunden könnten dann entscheiden, ob auch sie auf das neue System umsteigen wollen. Kunden empfiehlt Paterson, einen Passwortmanager zu wählen, der offen über mögliche Sicherheitslücken informiert und extern geprüft wird. Und zumindest sollte die End-to-End-Verschlüsselung standardmässig aktiviert sein.
(ubi)
