Sicherheitsexperten der Berkeley-Universität in Kalifornien haben eine schwerwiegende Sicherheitslücke in der Browser-Version vieler Passwort-Manager offengelegt. Die beschriebene Schwachstelle lässt sich ausnutzen, um an die gespeicherten Zugangsdaten zu gelangen. Zu den betroffenen Anwendungen zählen LastPass, PasswordBox und my1login. Fast alle Hersteller haben inzwischen Sicherheitsupdates veröffentlicht.
Mehr Sicherheit durch Passwort-Manager
Passwort-Manager bieten erhöhte Sicherheit, da Anwender für unterschiedliche Dienste und Internetseiten jeweils ein eigenes, komplexes Passwort vergeben können, das sie sich selbst nicht merken müssen. Allerdings birgt die hilfreiche Software auch ein Risiko: Wer den Passwort-Manager knackt, hat Zugriff auf alle Konten.
Schwachstelle Bookmarklet-Funktion
Eine Angriffsfläche stellt die sogenannte Bookmarklet-Funktion dar, die im Browser automatisch Felder mit Nutzernamen und Passwort ausfüllt. Genau hier haben die Sicherheitsexperten angesetzt und die Anwendung LastPass überlistet. Mit einer präparierten Internetseite ist es ihnen gelungen, abgespeicherte Passwörter auszulesen. Dabei blieb der Datenklau für den Anwender unsichtbar.
Betroffene Passwort-Manager
Die Browser-Schwachstelle betrifft noch weitere Anwendungen: Mit der gleichen Methode ließen sich folgende Passwort-Manager aus tricksen:
Bis auf NeedMyPassword haben aber alle Hersteller ihre Software aktualisiert und die Bookmarklet-Funktion abgesichert.
So können Anwender sich schützen
Wer eine der betroffenen Anwendungen verwendet, sollte dringend auf die jeweils neuste Version aktualisieren oder gegebenenfalls auf die Bookmarklet-Funktion zum automatischen Ausfüllen von Anmeldefeldern im Browser verzichten.
Passwort-Manager ohne diese Funktion sind nicht wie beschrieben angreifbar. Der Hersteller AgileBits von 1Password hat die Bookmarklets-Funktion bereits 2011 als unsicher eingestuft.
Trotz der aufgedeckten Sicherheitslücke sollten Anwender nicht auf ihre bereits eingesetzten Passwort-Managern verzichten. Es lohnt sich aber, die Reaktionen der Hersteller zu beobachten: Wie bereits erwähnt haben vier von fünf ihre Anwendungen aktualisiert. LastPass empfiehlt Nutzern der Bookmarklet-Funktion, ihre Master-Passwörter zu ändern, falls die Software bereits vor September 2013 im Einsatz war.
Am Beispiel des Heartbleed-Fehlers geben wir eine Einschätzung ab, warum ein Passwort-Manager die richtige Lösung ist. Unser Vergleich stellt außerdem drei beliebte Anwendungen gegenüber.
Dem Autor Jakob Straub auf Twitter und Google+ folgen.
Downloads
- LastPass für Windows herunterladen
- LastPass für Mac herunterladen
- 1Password für Windows herunterladen
- 1Password für Mac herunterladen
- Dashlane für Windows herunterladen
- Dashlane für Mac herunterladen
Passende Artikel
- Passwort schützen: Passwort-Manager im Vergleich
- Heartbleed: Warum ein Passwort-Manager die richtige Lösung ist
- Sichere Passwörter erstellen
- Passwort-Diebstahl: Tipps und Tricks für maximalen Datenschutz
Quelle: devd.me [PDF] | LastPass