• IT-Karriere:
  • Services:

Lastpass rockt - oder doch nicht?

Lastpass legt das Masterpasswort nur codiert und kurzfristig im Arbeitsspeicher ab. Wurde die Passwortdatenbank erfolgreich geöffnet, wird das codierte Masterpasswort im Arbeitsspeicher mit "lastpass rocks" überschrieben. Allerdings wird das Masterpasswort während der Schlüsselableitung auch in einem String-Buffer im Arbeitsspeicher abgelegt und wird, selbst wenn Lastpass gesperrt wird, nicht gelöscht. Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten - und verbleibt dort, auch wenn Lastpass gesperrt wurde.

Stellenmarkt
  1. Rail Power Systems GmbH, München
  2. operational services GmbH & Co. KG, Berlin, Dresden, Senftenberg

Die Software Dashlane legt nur das aktuell verwendete Passwort im Arbeitsspeicher ab, wird allerdings eine Änderung in der Passwortdatenbank vorgenommen, beispielsweise ein Passwort geändert, lädt die Software alle Passwörter in den Arbeitsspeicher. Diese verbleiben auch dann im Arbeitsspeicher, wenn der Passwortmanager gesperrt wird.

Open Source mit Löschfehlern

Im Unterschied zu den anderen getesteten Passwortmanagern ist Keepass Open-Source-Software. Die Software hält jedes in der Sitzung verwendete Passwort im Arbeitsspeicher vor. Das Masterpasswort wird jedoch aus dem Arbeitsspeicher entfernt. Die Sicherheitsforscher konnten auch im gesperrten Zustand auf im Arbeitsspeicher hinterlegte Passwörter zugreifen. Die Daten sollten zwar gelöscht werden, allerdings befinden sich Fehler in der Implementierung des Löschvorgangs in Keepass.

Auch bei Passwortmanagern können die verwendeten Passwörter mit Keyloggern auf dem Rechner oder dem Auslesen der Zwischenablage abgefangen werden. Dabei handelt es sich aber um ein grundsätzliches Problem von Passwörtern, das auch Passwortmanager nicht lösen können.

Alle Passwortmanager schützen die Datenbanken, in denen die Passwörter vorgehalten werden, sehr gut, solange die Passwortmanager nicht gestartet wurden. Dass ein Teil der Daten im Arbeitsspeicher vorgehalten werden muss, liegt in der Natur der Sache. Dass die Daten jedoch nicht aus diesem gelöscht werden, wenn die Passwortdatenbank gesperrt wird, ist unbegreiflich. Viele Passwortmanager sperren die Datenbanken nach einer gewissen Zeit automatisch - aus einer Sicherheitsperspektive bringt diese Funktion nicht viel, wenn sich Passwörter weiterhin im Arbeitsspeicher befinden. Soll eine Passwortdatenbank wirklich gesperrt werden, muss die Software beendet werden. Wird mit mehreren Passwortdatenbanken in einer Software gearbeitet, ist dies jedoch wenig praktikabel. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

biohharz3 28. Feb 2019

https://myki.com wäre in diesem Konten interessant zu durchleuchten. Passwörter werden am...

dummzeuch 25. Feb 2019

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer...

IchBIN 22. Feb 2019

Naja, wenn dann benutze ich Chromium oder Iridium, nicht Chrome - schon klar. Aber...

IchBIN 22. Feb 2019

Super, vielen Dank für den Link!

danielmain 22. Feb 2019

Bitwarden ist Open Source und Cross-Platform und funktioniert mit YubiKey. Alles andere...


Folgen Sie uns
       


Cyberpunk 2077 - Trailer Juni 2020

Ds Spiel soll für alle aktuellen Plattformen im November 2020 erscheinen.

Cyberpunk 2077 - Trailer Juni 2020 Video aufrufen
5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
5G
Nokias und Ericssons enge Bindungen zu Chinas Führung

Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
Eine Recherche von Achim Sawall

  1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
  2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
  3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster

Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

    •  /