Abo
  • IT-Karriere:

Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

Die Passwortdatenbanken an sich sind sicher, doch werden die Passwort-Manager gestartet, hinterlassen sie Daten im Arbeitsspeicher - selbst wenn sie gesperrt wurden.

Artikel von veröffentlicht am
Passwörter verwalten geht auch offline - oder in einem Brettspiel. Trotz Problemen ist ein Passwortmanager die bessere Wahl.
Passwörter verwalten geht auch offline - oder in einem Brettspiel. Trotz Problemen ist ein Passwortmanager die bessere Wahl. (Bild: Wokandapix/Pixabay)

Den Arbeitsplatz übergeben, den Passwortmanager gesperrt - alles richtig gemacht. Doch leider hinterlassen viele Passwortmanager einige Daten im Arbeitsspeicher, auch wenn sie gesperrt wurden. Die Sicherheitsfirma Independent Security Evaluators (ISE) untersuchte die beliebten Passwortmanager 1Password, Dashlane, Keepass und Lastpass unter Windows 10 - empfiehlt jedoch weiterhin die Verwendung von Passwortmanagern.

Inhalt:
  1. Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher
  2. Lastpass rockt - oder doch nicht?

Mit Passwortmanagern lassen sich Passwörter verwalten und sortieren. Die Zugangsdaten werden üblicherweise in einer verschlüsselten Datenbank abgelegt, die mit einem Masterpasswort gesichert ist - das einzige Passwort, das sich der Nutzer neben den Passwörtern zum Starten seiner Geräte noch merken muss. Mit der Software lassen sich zudem individuelle Passwörter generieren. Anschließend können diese aus der Software heraus kopiert und in das entsprechende Login-Feld eingefügt werden. Komfortabler wird es, wenn man den Passwortmanager das Passwort für sich eintippen lässt (Auto-Type) oder ein Browser-Plugin installiert hat, welches die Daten des Passwortmanagers in Empfang nimmt.

Die Sicherheitsforscher untersuchten die Sicherheit der Passwortmanager in drei Zuständen: Der Passwortmanager wurde nach dem Booten des Rechners noch nicht gestartet, aber zuvor eingerichtet, der Passwortmanager wurde verwendet und war ungesperrt, der Passwortmanager wurde, nachdem er verwendet wurde, vom Nutzer oder automatisch gesperrt.

Datenbanken sind sicher - das Sperren nicht

In einem ersten Schritt betrachteten die Sicherheitsforscher die verschlüsselten Datenbanken. Die verwendeten Algorithmen, um das Masterpasswort der Passwortdatenbank zu schützen, hielten sie für vertretbar.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Alfred Kärcher SE & Co. KG, Winnenden

Wurden die Passwortmanager jedoch gestartet und verwendet (ungesperrt) oder waren gesperrt, konnten die Sicherheitsforscher bei allen Passwortmanagern Passwörter im Arbeitsspeicher entdecken. Bei 1Password wurden in der aktuellen Version 7 alle hinterlegten Passwörter sowie das Masterpasswort und der Secret-Key in den Arbeitsspeicher geladen. Sie verblieben auch nach dem Sperren des Passwortmanagers im Arbeitsspeicher. Aus einer Sicherheitsperspektive habe ein Klick auf den Sperren-Knopf keine Auswirkungen, schreiben die Sicherheitsforscher. Um die Passwörter aus dem Arbeitsspeicher zu bekommen, muss die Software komplett beendet werden.

Auch bei Dashlane, Keepass und Lastpass fanden die Sicherheitsforscher verschiedene Probleme.

Lastpass rockt - oder doch nicht? 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 299,00€
  2. 249,00€ + Versand
  3. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)

biohharz3 28. Feb 2019

https://myki.com wäre in diesem Konten interessant zu durchleuchten. Passwörter werden am...

dummzeuch 25. Feb 2019

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer...

IchBIN 22. Feb 2019

Naja, wenn dann benutze ich Chromium oder Iridium, nicht Chrome - schon klar. Aber...

IchBIN 22. Feb 2019

Super, vielen Dank für den Link!

danielmain 22. Feb 2019

Bitwarden ist Open Source und Cross-Platform und funktioniert mit YubiKey. Alles andere...


Folgen Sie uns
       


Google Nest Hub im Hands on

Ende Mai 2019 bringt Google den Nest Hub auf den deutschen Markt. Es ist das erste smarte Display direkt von Google. Es kann dank Google Assistant mit der Stimme bedient werden und hat zusätzlich einen 7 Zoll großen Touchscreen. Darauf laufen Youtube-Videos auf Zuruf. Der Nest Hub erscheint für 130 Euro.

Google Nest Hub im Hands on Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

    •  /