Abo
  • Services:

Lastpass rockt - oder doch nicht?

Lastpass legt das Masterpasswort nur codiert und kurzfristig im Arbeitsspeicher ab. Wurde die Passwortdatenbank erfolgreich geöffnet, wird das codierte Masterpasswort im Arbeitsspeicher mit "lastpass rocks" überschrieben. Allerdings wird das Masterpasswort während der Schlüsselableitung auch in einem String-Buffer im Arbeitsspeicher abgelegt und wird, selbst wenn Lastpass gesperrt wird, nicht gelöscht. Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten - und verbleibt dort, auch wenn Lastpass gesperrt wurde.

Stellenmarkt
  1. ENERCON GmbH, Aurich
  2. GEBR. BRASSELER GmbH & Co. KG, Lemgo

Die Software Dashlane legt nur das aktuell verwendete Passwort im Arbeitsspeicher ab, wird allerdings eine Änderung in der Passwortdatenbank vorgenommen, beispielsweise ein Passwort geändert, lädt die Software alle Passwörter in den Arbeitsspeicher. Diese verbleiben auch dann im Arbeitsspeicher, wenn der Passwortmanager gesperrt wird.

Open Source mit Löschfehlern

Im Unterschied zu den anderen getesteten Passwortmanagern ist Keepass Open-Source-Software. Die Software hält jedes in der Sitzung verwendete Passwort im Arbeitsspeicher vor. Das Masterpasswort wird jedoch aus dem Arbeitsspeicher entfernt. Die Sicherheitsforscher konnten auch im gesperrten Zustand auf im Arbeitsspeicher hinterlegte Passwörter zugreifen. Die Daten sollten zwar gelöscht werden, allerdings befinden sich Fehler in der Implementierung des Löschvorgangs in Keepass.

Auch bei Passwortmanagern können die verwendeten Passwörter mit Keyloggern auf dem Rechner oder dem Auslesen der Zwischenablage abgefangen werden. Dabei handelt es sich aber um ein grundsätzliches Problem von Passwörtern, das auch Passwortmanager nicht lösen können.

Alle Passwortmanager schützen die Datenbanken, in denen die Passwörter vorgehalten werden, sehr gut, solange die Passwortmanager nicht gestartet wurden. Dass ein Teil der Daten im Arbeitsspeicher vorgehalten werden muss, liegt in der Natur der Sache. Dass die Daten jedoch nicht aus diesem gelöscht werden, wenn die Passwortdatenbank gesperrt wird, ist unbegreiflich. Viele Passwortmanager sperren die Datenbanken nach einer gewissen Zeit automatisch - aus einer Sicherheitsperspektive bringt diese Funktion nicht viel, wenn sich Passwörter weiterhin im Arbeitsspeicher befinden. Soll eine Passwortdatenbank wirklich gesperrt werden, muss die Software beendet werden. Wird mit mehreren Passwortdatenbanken in einer Software gearbeitet, ist dies jedoch wenig praktikabel. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."

 Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. SEAGATE Expansion+ Portable, 2 TB HDD externe Festplatte 59,00€)
  2. ab 529,00€ (bei o2online.de)
  3. 1745,00€
  4. 64,89€

biohharz3 28. Feb 2019 / Themenstart

https://myki.com wäre in diesem Konten interessant zu durchleuchten. Passwörter werden am...

dummzeuch 25. Feb 2019 / Themenstart

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer...

IchBIN 22. Feb 2019 / Themenstart

Naja, wenn dann benutze ich Chromium oder Iridium, nicht Chrome - schon klar. Aber...

IchBIN 22. Feb 2019 / Themenstart

Super, vielen Dank für den Link!

danielmain 22. Feb 2019 / Themenstart

Bitwarden ist Open Source und Cross-Platform und funktioniert mit YubiKey. Alles andere...

Kommentieren


Folgen Sie uns
       


LG V50 mit Dualscreen - Hands on (MWC 2019)

LG hat auf dem Mobile World Congress 2019 in Barcelona das 5G-fähige Smartphone V50 Thinq gezeigt. Passend dazu gibt es eine spezielle Hülle, die sich Dual Screen nennt. Darun befindet sich ein zweites Display, das sich parallel zum normalen Smartphone-Display nutzen lässt.

LG V50 mit Dualscreen - Hands on (MWC 2019) Video aufrufen
Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
  2. Geforce GTX 1660 Ti im Test Nvidia kann Turing auch günstig(er)
  3. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März

Display-Technik: So funktionieren Micro-LEDs
Display-Technik
So funktionieren Micro-LEDs

Nach Flüssigkristallanzeigen (LCD) mit Hintergrundbeleuchtung und OLED-Bildschirmen sind Micro-LEDs der nächste Schritt: Apple arbeitet daran für Smartwatches und Samsung hat bereits einen Fernseher vorgestellt. Die Technik hat viele Vorteile, ist aber aufwendig in der Fertigung.
Von Mike Wobker

  1. AU Optronics Apple soll Wechsel von OLEDs zu Micro-LEDs vorbereiten

    •  /