Lastpass rockt - oder doch nicht?

Lastpass legt das Masterpasswort nur codiert und kurzfristig im Arbeitsspeicher ab. Wurde die Passwortdatenbank erfolgreich geöffnet, wird das codierte Masterpasswort im Arbeitsspeicher mit "lastpass rocks" überschrieben. Allerdings wird das Masterpasswort während der Schlüsselableitung auch in einem String-Buffer im Arbeitsspeicher abgelegt und wird, selbst wenn Lastpass gesperrt wird, nicht gelöscht. Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten - und verbleibt dort, auch wenn Lastpass gesperrt wurde.

Stellenmarkt
  1. Technikkoordinator/in Datenaustausch (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. IT Servicetechniker*in
    SCHOTT AG, Müllheim
Detailsuche

Die Software Dashlane legt nur das aktuell verwendete Passwort im Arbeitsspeicher ab, wird allerdings eine Änderung in der Passwortdatenbank vorgenommen, beispielsweise ein Passwort geändert, lädt die Software alle Passwörter in den Arbeitsspeicher. Diese verbleiben auch dann im Arbeitsspeicher, wenn der Passwortmanager gesperrt wird.

Open Source mit Löschfehlern

Im Unterschied zu den anderen getesteten Passwortmanagern ist Keepass Open-Source-Software. Die Software hält jedes in der Sitzung verwendete Passwort im Arbeitsspeicher vor. Das Masterpasswort wird jedoch aus dem Arbeitsspeicher entfernt. Die Sicherheitsforscher konnten auch im gesperrten Zustand auf im Arbeitsspeicher hinterlegte Passwörter zugreifen. Die Daten sollten zwar gelöscht werden, allerdings befinden sich Fehler in der Implementierung des Löschvorgangs in Keepass.

Auch bei Passwortmanagern können die verwendeten Passwörter mit Keyloggern auf dem Rechner oder dem Auslesen der Zwischenablage abgefangen werden. Dabei handelt es sich aber um ein grundsätzliches Problem von Passwörtern, das auch Passwortmanager nicht lösen können.

Golem Akademie
  1. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Alle Passwortmanager schützen die Datenbanken, in denen die Passwörter vorgehalten werden, sehr gut, solange die Passwortmanager nicht gestartet wurden. Dass ein Teil der Daten im Arbeitsspeicher vorgehalten werden muss, liegt in der Natur der Sache. Dass die Daten jedoch nicht aus diesem gelöscht werden, wenn die Passwortdatenbank gesperrt wird, ist unbegreiflich. Viele Passwortmanager sperren die Datenbanken nach einer gewissen Zeit automatisch - aus einer Sicherheitsperspektive bringt diese Funktion nicht viel, wenn sich Passwörter weiterhin im Arbeitsspeicher befinden. Soll eine Passwortdatenbank wirklich gesperrt werden, muss die Software beendet werden. Wird mit mehreren Passwortdatenbanken in einer Software gearbeitet, ist dies jedoch wenig praktikabel. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher
  1.  
  2. 1
  3. 2


biohharz3 28. Feb 2019

https://myki.com wäre in diesem Konten interessant zu durchleuchten. Passwörter werden am...

dummzeuch 25. Feb 2019

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer...

IchBIN 22. Feb 2019

Naja, wenn dann benutze ich Chromium oder Iridium, nicht Chrome - schon klar. Aber...

IchBIN 22. Feb 2019

Super, vielen Dank für den Link!

danielmain 22. Feb 2019

Bitwarden ist Open Source und Cross-Platform und funktioniert mit YubiKey. Alles andere...



Aktuell auf der Startseite von Golem.de
Kanadische Polizei
Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
Artikel
  1. Blender Foundation: Blender 3.0 ist da
    Blender Foundation
    Blender 3.0 ist da

    Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
    Von Martin Wolf

  2. 4 Motoren und 4-Rad-Lenkung: Tesla aktualisiert Cybertruck
    4 Motoren und 4-Rad-Lenkung
    Tesla aktualisiert Cybertruck

    Tesla-Chef Elon Musk hat einige Änderungen am Cybertruck angekündigt. Der elektrische Pick-up-Truck wird mit vier Motoren ausgerüstet.

  3. DSIRF: Hackerbehörde Zitis prüft österreichischen Staatstrojaner
    DSIRF
    Hackerbehörde Zitis prüft österreichischen Staatstrojaner

    Deutsche Behörden sind mit mehreren Staatstrojaner-Herstellern im Gespräch. Nun ist ein weiterer mit Sitz in Wien bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /