Passwort-Manager: Sicherheitslücke in der Browser-Version vieler Anwendungen

Passwort-Manager: Sicherheitslücke in der Browser-Version vieler Anwendungen

Sicherheitsexperten der Berkeley-Universität in Kalifornien haben eine schwerwiegende Sicherheitslücke in der Browser-Version vieler Passwort-Manager offengelegt. Die beschriebene Schwachstelle lässt sich ausnutzen, um an die gespeicherten Zugangsdaten zu gelangen. Zu den betroffenen Anwendungen zählen LastPassPasswordBox und my1login. Fast alle Hersteller haben inzwischen Sicherheitsupdates veröffentlicht.

Mehr Sicherheit durch Passwort-Manager

Passwort-Manager bieten erhöhte Sicherheit, da Anwender für unterschiedliche Dienste und Internetseiten jeweils ein eigenes, komplexes Passwort vergeben können, das sie sich selbst nicht merken müssen. Allerdings birgt die hilfreiche Software auch ein Risiko: Wer den Passwort-Manager knackt, hat Zugriff auf alle Konten.

Schwachstelle Bookmarklet-Funktion

Eine Angriffsfläche stellt die sogenannte Bookmarklet-Funktion dar, die im Browser automatisch Felder mit Nutzernamen und Passwort ausfüllt. Genau hier haben die Sicherheitsexperten angesetzt und die Anwendung LastPass überlistet. Mit einer präparierten Internetseite ist es ihnen gelungen, abgespeicherte Passwörter auszulesen. Dabei blieb der Datenklau für den Anwender unsichtbar.

Betroffene Passwort-Manager

Die Browser-Schwachstelle betrifft noch weitere Anwendungen: Mit der gleichen Methode ließen sich folgende Passwort-Manager aus tricksen:

Bis auf NeedMyPassword haben aber alle Hersteller ihre Software aktualisiert und die Bookmarklet-Funktion abgesichert.

So können Anwender sich schützen

Wer eine der betroffenen Anwendungen verwendet, sollte dringend auf die jeweils neuste Version aktualisieren oder gegebenenfalls auf die Bookmarklet-Funktion zum automatischen Ausfüllen von Anmeldefeldern im Browser verzichten.

Passwort-Manager ohne diese Funktion sind nicht wie beschrieben angreifbar. Der Hersteller AgileBits von 1Password hat die Bookmarklets-Funktion bereits 2011 als unsicher eingestuft.

Trotz der aufgedeckten Sicherheitslücke sollten Anwender nicht auf ihre bereits eingesetzten Passwort-Managern verzichten. Es lohnt sich aber, die Reaktionen der Hersteller zu beobachten: Wie bereits erwähnt haben vier von fünf ihre Anwendungen aktualisiert. LastPass empfiehlt Nutzern der Bookmarklet-Funktion, ihre Master-Passwörter zu ändern, falls die Software bereits vor September 2013 im Einsatz war.

Am Beispiel des Heartbleed-Fehlers geben wir eine Einschätzung ab, warum ein Passwort-Manager die richtige Lösung ist. Unser Vergleich stellt außerdem drei beliebte Anwendungen gegenüber.

Dem Autor Jakob Straub auf Twitter und folgen.

Downloads

Passende Artikel

Quelle: devd.me [PDF] | LastPass

  • Link Kopiert!
Kommentare laden