• IT-Karriere:
  • Services:

Lastpass rockt - oder doch nicht?

Lastpass legt das Masterpasswort nur codiert und kurzfristig im Arbeitsspeicher ab. Wurde die Passwortdatenbank erfolgreich geöffnet, wird das codierte Masterpasswort im Arbeitsspeicher mit "lastpass rocks" überschrieben. Allerdings wird das Masterpasswort während der Schlüsselableitung auch in einem String-Buffer im Arbeitsspeicher abgelegt und wird, selbst wenn Lastpass gesperrt wird, nicht gelöscht. Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten - und verbleibt dort, auch wenn Lastpass gesperrt wurde.

Stellenmarkt
  1. Phoenix Contact GmbH & Co. KG, Blomberg
  2. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe, Ettlingen

Die Software Dashlane legt nur das aktuell verwendete Passwort im Arbeitsspeicher ab, wird allerdings eine Änderung in der Passwortdatenbank vorgenommen, beispielsweise ein Passwort geändert, lädt die Software alle Passwörter in den Arbeitsspeicher. Diese verbleiben auch dann im Arbeitsspeicher, wenn der Passwortmanager gesperrt wird.

Open Source mit Löschfehlern

Im Unterschied zu den anderen getesteten Passwortmanagern ist Keepass Open-Source-Software. Die Software hält jedes in der Sitzung verwendete Passwort im Arbeitsspeicher vor. Das Masterpasswort wird jedoch aus dem Arbeitsspeicher entfernt. Die Sicherheitsforscher konnten auch im gesperrten Zustand auf im Arbeitsspeicher hinterlegte Passwörter zugreifen. Die Daten sollten zwar gelöscht werden, allerdings befinden sich Fehler in der Implementierung des Löschvorgangs in Keepass.

Auch bei Passwortmanagern können die verwendeten Passwörter mit Keyloggern auf dem Rechner oder dem Auslesen der Zwischenablage abgefangen werden. Dabei handelt es sich aber um ein grundsätzliches Problem von Passwörtern, das auch Passwortmanager nicht lösen können.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Alle Passwortmanager schützen die Datenbanken, in denen die Passwörter vorgehalten werden, sehr gut, solange die Passwortmanager nicht gestartet wurden. Dass ein Teil der Daten im Arbeitsspeicher vorgehalten werden muss, liegt in der Natur der Sache. Dass die Daten jedoch nicht aus diesem gelöscht werden, wenn die Passwortdatenbank gesperrt wird, ist unbegreiflich. Viele Passwortmanager sperren die Datenbanken nach einer gewissen Zeit automatisch - aus einer Sicherheitsperspektive bringt diese Funktion nicht viel, wenn sich Passwörter weiterhin im Arbeitsspeicher befinden. Soll eine Passwortdatenbank wirklich gesperrt werden, muss die Software beendet werden. Wird mit mehreren Passwortdatenbanken in einer Software gearbeitet, ist dies jedoch wenig praktikabel. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. für PC, PS4/PS5, Xbox und Switch
  2. (aktuell u. a. be quiet! Pure Loop 120mm Wasserkühlung für 59,90€, be quiet! Silent Base 802...
  3. 819€ (Bestpreis)
  4. 199,90€ (Bestpreis)

biohharz3 28. Feb 2019

https://myki.com wäre in diesem Konten interessant zu durchleuchten. Passwörter werden am...

dummzeuch 25. Feb 2019

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer...

IchBIN 22. Feb 2019

Naja, wenn dann benutze ich Chromium oder Iridium, nicht Chrome - schon klar. Aber...

IchBIN 22. Feb 2019

Super, vielen Dank für den Link!

danielmain 22. Feb 2019

Bitwarden ist Open Source und Cross-Platform und funktioniert mit YubiKey. Alles andere...


Folgen Sie uns
       


Samsung Galaxy S21 Ultra vorgestellt

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Samsung Galaxy S21 Ultra vorgestellt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /