Hintertüren in Passwort-Managern aufgedeckt: Vault-Sicherheitsversprechen im Prüfstand

Sicherheitsversprechen von Passwort-Managern durch neue Forschung infrage gestellt

Sicherheitsforscher haben kritische Schwachstellen in beliebten Passwort-Managern aufgedeckt und zeigen, dass Versprechen wie „Zero-Knowledge“-Verschlüsselung und „Server-kann-Ihren-Vault-nicht-sehen“-Garantien nicht universell gelten. Die Ergebnisse, veröffentlicht in einer aktuellen Ars Technica-Untersuchung, demonstrieren, wie administrative Zugriffe oder Serverkompromittierungen sensible Anmeldedaten in bestimmten Konfigurationen offenlegen könnten.

Identifizierte technische Schwachstellen

Das Forschungsteam führte Reverse-Engineering und eine tiefgehende Analyse von Bitwarden, Dashlane und LastPass durch und konzentrierte sich dabei auf drei zentrale Angriffsvektoren:

1. Kontowiederherstellungsmechanismen

   • Passwort-Manager, die Kontowiederherstellungsfunktionen anbieten, könnten Verschlüsselungsschlüssel oder Wiederherstellungstokens serverseitig speichern
   • Angreifer mit Serverzugriff könnten diese nutzen, um Vault-Inhalte zu entschlüsseln

2. Vault-Freigabe und Gruppenorganisation

   • Funktionen, die die Freigabe zwischen Nutzern oder Gruppen ermöglichen, könnten auf serververmittelte Schlüsselaustauschmechanismen angewiesen sein
   • Kompromittierte Server könnten diese Schlüssel während der Übertragung abfangen oder manipulieren

3. Angriffe zur Schwächung der Kryptografie

   • Forscher demonstrierten Techniken, um die Verschlüsselungsstärke herabzusetzen
   • In einigen Fällen konnte Chiffretext durch serverseitige Manipulation in Klartext umgewandelt werden

"Das grundlegende Problem besteht darin, dass diese Passwort-Manager architektonische Entscheidungen treffen, die dem Server mehr Vertrauen schenken, als ihre Marketingversprechen vermuten lassen", bemerkte der Kryptografie-Experte Bruce Schneier in seiner Analyse der Ergebnisse.

Auswirkungen der Schwachstellen

Die identifizierten Schwachstellen bergen erhebliche Risiken für private und gewerbliche Nutzer:

• Unternehmensrisiko: Organisationen, die betroffene Passwort-Manager für die gemeinsame Nutzung von Team-Anmeldedaten einsetzen, könnten ganze Abteilungen durch Credential-Harvesting-Angriffe gefährden
• Lieferkettenbedrohung: Kompromittierte Passwort-Manager-Server könnten zu Vektoren für weitreichenden Diebstahl von Anmeldedaten werden
• Compliance-Verstöße: Gespeicherte Anmeldedaten könnten unter Verstoß gegen Datenschutzbestimmungen wie die DSGVO und HIPAA zugänglich werden

Empfehlungen zur Risikominderung

Sicherheitsexperten sollten folgende Schritte in Betracht ziehen:

1. Passwort-Manager-Architektur überprüfen

   • Prüfen, ob die gewählte Lösung echte Ende-zu-Ende-Verschlüsselung verwendet
   • Verifizieren, dass alle Verschlüsselungs- und Entschlüsselungsprozesse clientseitig erfolgen

2. Problematische Funktionen deaktivieren

   • Kontowiederherstellungsoptionen nach Möglichkeit deaktivieren
   • Nutzung von Vault-Freigabe- und Gruppenorganisationsfunktionen einschränken

3. Alternative Lösungen evaluieren

   • Offline-Passwort-Manager wie Password Safe für hochsensible Anmeldedaten in Betracht ziehen
   • Hardware-Sicherheitsschlüssel für kritische Konten implementieren

4. Updates überwachen

   • Auf Patches der betroffenen Anbieter achten, die diese architektonischen Schwachstellen beheben
   • Sicherheits-Whitepaper der Anbieter auf Transparenz hinsichtlich serverseitigem Vertrauen überprüfen

Die Forschung unterstreicht die Bedeutung einer kritischen Prüfung der Sicherheitsversprechen von Passwort-Manager-Anbietern, insbesondere in Bezug auf serverseitigen Zugriff auf verschlüsselte Daten. Während cloudbasierte Passwort-Manager Komfort bieten, zeigt diese Studie, dass dieser Komfort möglicherweise auf Kosten reduzierter Sicherheitsgarantien geht.