Abo
  • IT-Karriere:

Lastpass rockt - oder doch nicht?

Lastpass legt das Masterpasswort nur codiert und kurzfristig im Arbeitsspeicher ab. Wurde die Passwortdatenbank erfolgreich geöffnet, wird das codierte Masterpasswort im Arbeitsspeicher mit "lastpass rocks" überschrieben. Allerdings wird das Masterpasswort während der Schlüsselableitung auch in einem String-Buffer im Arbeitsspeicher abgelegt und wird, selbst wenn Lastpass gesperrt wird, nicht gelöscht. Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten - und verbleibt dort, auch wenn Lastpass gesperrt wurde.

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Bornheim (Pfalz)
  2. TenneT TSO GmbH, Bayreuth, Arnheim (Niederlande)

Die Software Dashlane legt nur das aktuell verwendete Passwort im Arbeitsspeicher ab, wird allerdings eine Änderung in der Passwortdatenbank vorgenommen, beispielsweise ein Passwort geändert, lädt die Software alle Passwörter in den Arbeitsspeicher. Diese verbleiben auch dann im Arbeitsspeicher, wenn der Passwortmanager gesperrt wird.

Open Source mit Löschfehlern

Im Unterschied zu den anderen getesteten Passwortmanagern ist Keepass Open-Source-Software. Die Software hält jedes in der Sitzung verwendete Passwort im Arbeitsspeicher vor. Das Masterpasswort wird jedoch aus dem Arbeitsspeicher entfernt. Die Sicherheitsforscher konnten auch im gesperrten Zustand auf im Arbeitsspeicher hinterlegte Passwörter zugreifen. Die Daten sollten zwar gelöscht werden, allerdings befinden sich Fehler in der Implementierung des Löschvorgangs in Keepass.

Auch bei Passwortmanagern können die verwendeten Passwörter mit Keyloggern auf dem Rechner oder dem Auslesen der Zwischenablage abgefangen werden. Dabei handelt es sich aber um ein grundsätzliches Problem von Passwörtern, das auch Passwortmanager nicht lösen können.

Alle Passwortmanager schützen die Datenbanken, in denen die Passwörter vorgehalten werden, sehr gut, solange die Passwortmanager nicht gestartet wurden. Dass ein Teil der Daten im Arbeitsspeicher vorgehalten werden muss, liegt in der Natur der Sache. Dass die Daten jedoch nicht aus diesem gelöscht werden, wenn die Passwortdatenbank gesperrt wird, ist unbegreiflich. Viele Passwortmanager sperren die Datenbanken nach einer gewissen Zeit automatisch - aus einer Sicherheitsperspektive bringt diese Funktion nicht viel, wenn sich Passwörter weiterhin im Arbeitsspeicher befinden. Soll eine Passwortdatenbank wirklich gesperrt werden, muss die Software beendet werden. Wird mit mehreren Passwortdatenbanken in einer Software gearbeitet, ist dies jedoch wenig praktikabel. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."

 Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  2. mit Gutschein: NBBX570

biohharz3 28. Feb 2019

https://myki.com wäre in diesem Konten interessant zu durchleuchten. Passwörter werden am...

dummzeuch 25. Feb 2019

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer...

IchBIN 22. Feb 2019

Naja, wenn dann benutze ich Chromium oder Iridium, nicht Chrome - schon klar. Aber...

IchBIN 22. Feb 2019

Super, vielen Dank für den Link!

danielmain 22. Feb 2019

Bitwarden ist Open Source und Cross-Platform und funktioniert mit YubiKey. Alles andere...


Folgen Sie uns
       


Oneplus 7T - Fazit

Das Oneplus 7T ist der Nachfolger des Oneplus 7 - und hat einige interessante Hardware-Upgrades bekommen. Im Test von Golem.de schneidet das Smartphone entsprechend gut ab.

Oneplus 7T - Fazit Video aufrufen
Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

16K-Videos: 400 MByte für einen Screenshot
16K-Videos
400 MByte für einen Screenshot

Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
Eine Anleitung von Joachim Otahal

  1. UL 3DMark Feature Test prüft variable Shading-Rate
  2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

    •  /