Millionen von Menschen vertrauen beim Schutz sensibler Daten auf den Dienst eines Passwortmanagers. Hersteller versprechen, dass die abgelegten Passwörter sicher verschlüsselt sind.
Dass dies nicht stimmt, konnte ein Forschungsteam der ETH Zürich nun zeigen. Das Forschungsteam konnte Angriffe auf die Passwortmanager dreier populärer Anbieter - Bitwarden, Lastpass und Dashlane - demonstrieren, deren Dienste weltweit rund sechzig Millionen Menschen nutzen würden.
- Social Media: Facebook plant neue Gesichtserkennung
- Spionage-Schock: TikTok sammelt Daten auch ohne App
- Nächstes EU-Land plant Social-Media-Verbot für Kinder
Wer regelmäßig Onlinedienste nutzt, verfüge schnell über hunderte Passwörter, schrieb Samuel Schlaefli am Montag für die ETH-News. Sich diese alle zu merken, ist schwer möglich. Millionen Menschen zählen deshalb auf die Hilfe eines Passwortmanagers. Hinter einem Masterpasswort werden alle anderen Passwörter im sogenannten Tresor abgelegt. Das vereinfacht den Zugang zu sensiblen Daten, etwa zu Bankkonten oder zu Online-Zahlungsmitteln wie Kreditkarten.
Passwortmanager als Ziel von Hackerangriffen
Das mache Passwortmanager zu einem wahrscheinlichen Ziel von Hackerangriffen, sagte Kenneth Paterson, Informatik-Professor an der ETH Zürich. Anbieter von Passwortmanagern versprechen hingegen absolute Sicherheit: Die Daten seien so gut verschlüsselt, dass selbst sie keinen Zugriff darauf hätten. Nun konnten Forschende der ETH Zürich zeigen, dass die verschlüsselten Daten nicht unlesbar sind.
"Das Versprechen lautet, dass selbst wenn jemand auf den Server zugreifen kann, dies kein Sicherheitsrisiko für die Kunden darstellt", sagte Matilda Backendal von der Università della Svizzera italiana in Lugano. "Wir konnten nun zeigen, dass dies nicht stimmt." Backendal führte die Studie gemeinsam mit Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi von der Forschungsgruppe für Angewandte Kryptografie am Institut für Informationssicherheit der ETH Zürich durch.
Passwortmanager dreier populärer Anbieter
Das Forschungsteam konnte Angriffe auf die Passwortmanager dreier populärer Anbieter demonstrieren. "Wir waren überrascht, wie groß die Sicherheitslücken sind", sagte Paterson. Das Forschungsteam gab den Anbietern der gehackten Systeme 90 Tage Zeit, die Sicherheitslücken zu schließen. Dabei hätten sich die Hersteller kooperativ gezeigt, wobei beim Beheben der Sicherheitslücken nicht alle gleich schnell gewesen seien.
