Technik
Wer einen Passwort-Manager nutzt, sollte schnell prüfen, ob er aktuell ist.
Wer einen Passwort-Manager nutzt, sollte schnell prüfen, ob er aktuell ist.(Foto: Fraunhofer SIT)

Nutzer müssen schnell reagieren: Gefährliche Lücken in Passwort-Managern

Das Fraunhofer SIT findet in mehreren beliebten Passwort-Managern gravierende Sicherheitslücken, über die Angreifer die gespeicherten Zugangsdaten abgreifen können. Nutzer können sich schützen, müssen aber schnell handeln.

Wer im Internet sicher unterwegs sein möchte, sollte für jedes seiner Konten, für alle Logins und für jeden genutzten Dienst ein eigenes und möglichst kompliziertes Passwort verwenden. Nur mit dem Gedächtnis ist das bei einer entsprechenden Anzahl von Zugängen kaum zu stemmen, weshalb viele Nutzer ihre Informationen einem Passwort-Manager anvertrauen. Dann müssen sie sich nur ein einziges Master-Passwort merken.

Eigentlich ist das eine gute Vorgehensweise, denn die vertraulichen Daten werden von den Apps normalerweise sicher verschlüsselt aufbewahrt. Sicherheitsforscher vom Fraunhofer SIT haben jetzt aber die beliebtesten Passwort-Manager für Android-Smartphones getestet und gravierende Mängel gefunden, die Angreifern den Zugriff auf die sensiblen Informationen ermöglichen können.

1Password und LastPass betroffen

In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. "Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone", erklärt Android-Fachmann Siegfried. So kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.

Ein weiteres Problem ist das sogenannte "Sniffling". Für den Komfort der Nutzer ermöglichen es die Apps, Passwörter über die Zwischenablage zu kopieren und einzufügen. Wird der Speicher danach nicht sofort wieder bereinigt, können die Informationen im Prinzip von jeder App abgerufen werden, die auf die Zwischenablage zugreift. In anderen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, schreibt das Fraunhofer SIT. Aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.

Hersteller reagieren schnell

Die gute Nachricht für Nutzer dieser Apps: "Wir haben die Hersteller der betroffenen Passwort-Manager über die Sicherheitslücken informiert. Alle haben reagiert und die Verwundbarkeiten geschlossen", so Rasthofer. Auf Geräten, auf denen sich die Apps Sicherheitsupdates aus dem App-Store herunterladen, sind die Probleme also bereits behoben. Sind automatische Updates nicht aktiv, sollten Nutzer ihren Passwort-Manager umgehend aktualisieren. Welche Anwendungen betroffen waren und welche Fehler sie aufwiesen, hat das Fraunhofer SIT in einer Zusammenfassung der Testergebnisse dokumentiert.

Infografik: Jeder Vierte ändert seine Passwörter nie | Statista Mehr Statistiken finden Sie bei Statista

Quelle: n-tv.de

Empfehlungen