Studie zeigt Sicherheitslücken bei Passwortmanagern

Passwortmanager sollen den Umgang mit zahlreichen Zugangsdaten erleichtern. Viele Nutzerinnen und Nutzer verwalten damit nach Angaben von Fachleuten zwischen 100 und 200 Passwörter. Der Zugriff erfolgt in der Regel über ein zentrales Masterpasswort. Die meisten Anbieter setzen dabei auf cloudbasierte Systeme, um Daten geräteübergreifend verfügbar zu machen.

Ein zentrales Verkaufsargument ist die sogenannte „Zero Knowledge Encryption“. Laut Herstellerangaben sollen die gespeicherten Daten so verschlüsselt sein, dass selbst die Anbieter keinen Zugriff auf die Inhalte der digitalen Tresore haben. Selbst bei einem kompromittierten Server sollen die Informationen demnach unlesbar bleiben.

Angriffe unter realistischen Bedingungen

Ein Forschungsteam der ETH Zürich hat die Sicherheitsarchitektur von Bitwarden, LastPass und Dashlane untersucht. Die drei Dienste kommen zusammen nach Angaben der Forschenden auf rund 60 Millionen Nutzende und einen Marktanteil von etwa 23 Prozent.

Die Wissenschaftler gingen in ihrem Szenario davon aus, dass ein Server nach einem erfolgreichen Angriff manipuliert wurde und sich gegenüber den Clients – etwa Webbrowsern – nicht mehr regelkonform verhält. In dieser Konstellation simulierten sie verschiedene Attacken.

Nach Angaben des Teams konnten sie insgesamt 25 Angriffsszenarien demonstrieren: zwölf bei Bitwarden, sieben bei LastPass und sechs bei Dashlane. In mehreren Fällen sei es gelungen, auf gespeicherte Zugangsdaten zuzugreifen und diese sogar zu verändern. Teilweise habe bereits normales Nutzerverhalten wie das Öffnen des Tresors oder das Synchronisieren der Daten ausgereicht, um Angriffe auszulösen.

Komplexe Funktionen als Risiko

Die Forschenden führen die Schwachstellen unter anderem auf die zunehmende Funktionsvielfalt zurück. Passwortmanager böten inzwischen Optionen wie Account-Wiederherstellung oder das Teilen von Zugangsdaten mit Familienmitgliedern. Solche Funktionen sollen den Komfort erhöhen, machten die Systeme jedoch komplexer.

Laut den Wissenschaftlern können dadurch zusätzliche Angriffspunkte entstehen. Für einige der demonstrierten Attacken seien keine besonders leistungsfähigen Systeme notwendig gewesen. Kleine Programme hätten ausgereicht, um sich gegenüber dem Server als legitimer Dienst auszugeben.

Verzögerte Updates und alte Kryptografie

Wie in der IT-Sicherheitsforschung üblich, informierte das Team die betroffenen Anbieter vor der Veröffentlichung der Ergebnisse. Diese hätten 90 Tage Zeit erhalten, um die identifizierten Lücken zu schließen. Nach Angaben der Forschenden reagierten die Unternehmen überwiegend kooperativ, jedoch unterschiedlich schnell.

Ein Problem sehen die Wissenschaftler in der Zurückhaltung bei grundlegenden Systemänderungen. Anbieter befürchteten demnach, dass fehlerhafte Updates dazu führen könnten, dass Kundinnen und Kunden den Zugriff auf ihre Daten verlieren. Deshalb kämen teilweise noch kryptografische Verfahren zum Einsatz, die bereits seit den 1990er-Jahren bekannt sind.

Empfehlungen für Anbieter und Nutzer

Das Forschungsteam schlägt vor, neue Kundinnen und Kunden auf modernisierte kryptografische Systeme zu setzen. Bestehenden Nutzern könne eine Migration auf freiwilliger Basis angeboten werden. So ließen sich Sicherheitsverbesserungen einführen, ohne bestehende Datenbestände zu gefährden.

Nutzerinnen und Nutzer sollten laut den Forschenden darauf achten, dass ein Anbieter transparent über Sicherheitsprobleme informiert, externe Prüfungen zulässt und eine standardmäßig aktivierte Ende-zu-Ende-Verschlüsselung bietet.