Wer regelmässig Onlinedienste nutzt, verfüge schnell über hunderte Passwörter, schrieb Samuel Schlaefli am Montag für die ETH-News. Sich diese alle zu merken, ist schwer möglich. Millionen Menschen zählen deshalb auf die Hilfe eines Passwortmanagers.
Komfort, statt Sicherheit
Hinter einem Masterpasswort werden alle anderen Passwörter im sogenannten Tresor abgelegt. Das vereinfacht den Zugang zu sensiblen Daten, etwa zu Bankkonten oder zu Online-Zahlungsmitteln wie Kreditkarten. Das mache Passwortmanager zu einem wahrscheinlichen Ziel von Hackerangriffen, sagte Kenneth Paterson, Informatik-Professor an der ETH Zürich.
Anbieter von Passwortmanagern versprechen absolute Sicherheit: Die Daten seien so gut verschlüsselt, dass selbst sie keinen Zugriff darauf hätten. Nun konnten Forschende der ETH Zürich zeigen, dass die verschlüsselten Daten nicht unlesbar sind.
«Das Versprechen lautet, dass selbst wenn jemand auf den Server zugreifen kann, dies kein Sicherheitsrisiko für die Kunden darstellt», sagte Matilda Backendal von der Università della Svizzera italiana in Lugano. «Wir konnten nun zeigen, dass dies nicht stimmt.»
Backendal führte die Studie gemeinsam mit Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi von der Forschungsgruppe für Angewandte Kryptografie am Institut für Informationssicherheit der ETH Zürich durch.
Ein Ultimatum von neunzig Tagen
Das Forschungsteam konnte Angriffe auf die Passwortmanager dreier populärer Anbieter - Bitwarden, Lastpass und Dashlane - demonstrieren, deren Dienste weltweit rund sechzig Menschen nutzen würden. «Wir waren überrascht, wie gross die Sicherheitslücken sind», sagte Paterson.
Das Forschungsteam gab den Anbietern der gehackten Systeme 90 Tage Zeit, die Sicherheitslücken zu schliessen. Dabei hätten sich die Hersteller kooperativ gezeigt, wobei beim Beheben der Sicherheitslücken nicht alle gleich schnell gewesen seien.
Die Forschenden legten am Montag konkrete Vorschläge für einen besseren Schutz der Systeme vor.