Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

Die Passwortdatenbanken an sich sind sicher, doch werden die Passwortmanager gestartet, hinterlassen sie Daten im Arbeitsspeicher - selbst wenn sie gesperrt wurden.

Artikel von veröffentlicht am
Passwörter verwalten geht auch offline - oder in einem Brettspiel. Trotz Problemen ist ein Passwortmanager die bessere Wahl.
Passwörter verwalten geht auch offline - oder in einem Brettspiel. Trotz Problemen ist ein Passwortmanager die bessere Wahl. (Bild: Wokandapix/Pixabay)

Den Arbeitsplatz übergeben, den Passwortmanager gesperrt - alles richtig gemacht. Doch leider hinterlassen viele Passwortmanager einige Daten im Arbeitsspeicher, auch wenn sie gesperrt wurden. Die Sicherheitsfirma Independent Security Evaluators (ISE) untersuchte die beliebten Passwortmanager 1Password, Dashlane, Keepass und Lastpass unter Windows 10 - empfiehlt jedoch weiterhin die Verwendung von Passwortmanagern.

Inhalt:
  1. Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher
  2. Lastpass rockt - oder doch nicht?

Mit Passwortmanagern lassen sich Passwörter verwalten und sortieren. Die Zugangsdaten werden üblicherweise in einer verschlüsselten Datenbank abgelegt, die mit einem Masterpasswort gesichert ist - das einzige Passwort, das sich der Nutzer neben den Passwörtern zum Starten seiner Geräte noch merken muss. Mit der Software lassen sich zudem individuelle Passwörter generieren. Anschließend können diese aus der Software heraus kopiert und in das entsprechende Login-Feld eingefügt werden. Komfortabler wird es, wenn man den Passwortmanager das Passwort für sich eintippen lässt (Auto-Type) oder ein Browser-Plugin installiert hat, welches die Daten des Passwortmanagers in Empfang nimmt.

Die Sicherheitsforscher untersuchten die Sicherheit der Passwortmanager in drei Zuständen: Der Passwortmanager wurde nach dem Booten des Rechners noch nicht gestartet, aber zuvor eingerichtet, der Passwortmanager wurde verwendet und war ungesperrt, der Passwortmanager wurde, nachdem er verwendet wurde, vom Nutzer oder automatisch gesperrt.

Datenbanken sind sicher - das Sperren nicht

In einem ersten Schritt betrachteten die Sicherheitsforscher die verschlüsselten Datenbanken. Die verwendeten Algorithmen, um das Masterpasswort der Passwortdatenbank zu schützen, hielten sie für vertretbar.

Stellenmarkt
  1. Kundenbeziehungsmanager Service (m/w/d)
    Gladbacher Bank AG, Korschenbroich
  2. Softwareentwickler*in im iOS Bereich (m/w/d)
    oculavis GmbH, Aachen
Detailsuche

Wurden die Passwortmanager jedoch gestartet und verwendet (ungesperrt) oder waren gesperrt, konnten die Sicherheitsforscher bei allen Passwortmanagern Passwörter im Arbeitsspeicher entdecken. Bei 1Password wurden in der aktuellen Version 7 alle hinterlegten Passwörter sowie das Masterpasswort und der Secret-Key in den Arbeitsspeicher geladen. Sie verblieben auch nach dem Sperren des Passwortmanagers im Arbeitsspeicher. Aus einer Sicherheitsperspektive habe ein Klick auf den Sperren-Knopf keine Auswirkungen, schreiben die Sicherheitsforscher. Um die Passwörter aus dem Arbeitsspeicher zu bekommen, muss die Software komplett beendet werden.

Auch bei Dashlane, Keepass und Lastpass fanden die Sicherheitsforscher verschiedene Probleme.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Lastpass rockt - oder doch nicht? 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Mehrere Zehntausend Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Grafiktreiber Adrenalin 21.6.1: AMD erklärt viele ältere Grafikkarten für obsolet
    Grafiktreiber Adrenalin 21.6.1
    AMD erklärt viele ältere Grafikkarten für obsolet

    Von FM2+-APUs bis hin zur Radeon HD 7900: AMD wird viele ältere Grafikkarten und APUs nicht mehr mit aktuellen Treibern unterstützen.

  2. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

  3. Kim Schmitz' Lebensgeschichte: Die Dotcom-Blase
    Kim Schmitz' Lebensgeschichte
    Die Dotcom-Blase

    Glaubt man seiner Autobiografie, wollte Kim Schmitz als Jugendlicher einfach nur raus aus seinem Leben. Also schuf er sich ein neues: als Kim Dotcom.
    Von Stephan Skrobisch

biohharz3 28. Feb 2019

https://myki.com wäre in diesem Konten interessant zu durchleuchten. Passwörter werden am...

dummzeuch 25. Feb 2019

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer...

IchBIN 22. Feb 2019

Naja, wenn dann benutze ich Chromium oder Iridium, nicht Chrome - schon klar. Aber...

IchBIN 22. Feb 2019

Super, vielen Dank für den Link!

danielmain 22. Feb 2019

Bitwarden ist Open Source und Cross-Platform und funktioniert mit YubiKey. Alles andere...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit 4000MHz 269,79€ • 30% auf Warehouse • Surface Pro 7 664,05€ • Monitore (u. a. Acer 27" WQHD 144Hz 259€) • Gaming-Chairs • Gönn dir Dienstag [Werbung]
    •  /