News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

[branhalor]

Wenn ich eine spezielle Software nutze, um meine Paßwörter zu speichern, ist es ja wohl klar, daß das irgendwo ein Risiko darstellt.
Ich hab seit zwei Jahren ein Universal-System für meine Paßwörter, das beliebig erweiterbar ist, und trotzdem ist jedes Paßwort einzigartig und ich hab's seitdem im Kopf. Hier und da vertippe ich mich 1x mit nem Sonderzeichen, weil nicht jede Seite jedes Sonderzeichen akzeptiert, ok, das könnte ich noch harmonisieren. Und für den Notfall der Notfälle hab ich ne Excel-Datei auf nem USB-Stick, den ich nur bei akutem Bedarf einstecke.

Wozu also in aller Welt braucht es spezielle Paßwortmanager...?!?!? Ist ne reine Frage der Zeit, bis so ne Software geknackt wird - wenn nicht heute, dann morgen oder übermorgen.

BTW: Ich halte es übrigens auch genauso für grob fahrlässig, die Paßwörter im Browser etc. zu speichern, vor allem "kritische" für Amazon, ebay, PayPal & Co. Ich tippe meine Paßwörter jedesmal ein.

 

[Piktogramm]

keyfile am besten irgendwo ander unter einem anderen namen speichern, habe ich auch so gemacht

Antipattern in der IT Sicherheit: Security bei Obscurity
Bringt garnichts.

(also mindesten 8 Zeichen + Sonderzeichen)

Ganz miese Passwortrichtlinie. Deutlich besser: Komplett zufällig und so lang wie möglich. Dabei ist der Mensch keine gute Zufallsquelle und Längen eher mit 16Stellen aufwärts.

 

[andy_m4]

Ich hab seit zwei Jahren ein Universal-System für meine Paßwörter, das beliebig erweiterbar ist, und trotzdem ist jedes Paßwort einzigartig und ich hab's seitdem im Kopf.

Wozu also in aller Welt braucht es spezielle Paßwortmanager...?!?!?

Das lässt sich natürlich schlecht vergleichen/bewerten, wenn Du nicht verrätst, wie Dein Universal-System funktioniert.

 

[Quonux]

Ein Dashlane-Sprecher wies in diesem Zusammenhang auch auf die diesem Test zugrunde liegende extreme Annahme hin, dass ein Angreifer bereits Admin-Zugriff auf einen anzugreifenden Rechner hat.

Der alte Witz wird nie alt - OS's sind total zugebuggt, ist für findige Hackerchen sicher kein Thema.
Zur not halt per Treiber welche eh nie getestet werden (schiel auf USB Treiber und die Grafikhurren treiber)

 

[Schmarall]

Meine Passwörter liegen unter brain.exe. Unknackbar.

Ich habe da so meine Zweifel: https://xkcd.com/538/

 

[DocWindows]

Und deshalb auch noch die TXT (bzw den Text in der TXT) mit PGP verschlüsseln

Klar. Wie oft willst du denn verschlüsseln bis der Aluhut nicht mehr zu eng sitzt?
Vielleicht sollte man den PGP Key dann nochmal in einer Datei speichern, diese in einen VeraCrypt Container packen und das Passwort dazu in eine TXT Datei speichern und diese mit PGP verschlüsseln.
Dann muss man den PGP Schlüssel natürlich nochmal in eine Datei speichern und diese mit PGP verschlüsseln und in noch einen VeraCrypt Container packen. usw. usw. usw.

Viel Spaß beim Auspacken wenn du mal ein Passwort brauchst.

Es kann immer nur um eine Ausgewogenheit zwischen Sicherheit und Bequemlichkeit gehen. Risikominimierung, nicht Risikoausschluss.

 

[der Unzensierte]

Mein Passwortmanager brain.safe kennt solche Probleme nicht, hat allerdings nur eingeschränkte Kapazität. Diese lässt sich aber mit Hilfe der braintraining.exe peu a peu erweitern. Mit 15x 15 Zeichen mit Groß- und Kleinschreibung sowie Sonderzeichen kommt man aber ein ganzes Stück weit.

Grundregel: Mensch kann es sich merken ->

mit brute force kriegst du jedes PW geknackt, alles eine Frage der Zeit. Warum ein PW mit 15 Zeichen per se nur deshalb unsicherer sein soll weil es sich ein Mensch merken kann musst du mal näher ausführen .

 

[Piktogramm]

Ich hab seit zwei Jahren ein Universal-System für meine Paßwörter, das beliebig erweiterbar ist, und trotzdem ist jedes Paßwort einzigartig und ich hab's seitdem im Kopf.

Jede Regel die du als Mensch zum merken von Passwörtern anwenden kannst ist maximal anfällig für Versuche des Crackings.

 

[Christock]

Grundregel: Mensch kann es sich merken -> Rechner kann es knacken. Passwörter die sich "normale" Menschen merken können sind für Angriffe unterkomplex.

Unter Annahme dieser Grundregel ist man dann allerdings auch mit einem Passwortmanager unsicher, weil man für dessen Verwendung schließlich auch ein Passwort benötigt, das man sich merken können muss.

 

[Fellor]

Dies ist doch wieder nur die Spitze eines Eisberges. Da verweilen sicher noch ganz andere Sachen im Arbeitspeicher ...

 

[L0g4n]

Obligatorisches XKCD ( www.xkcd.com/538 ) :

Ich seh schon, andere kamen auch schon auf die Idee diesen XKCD Comic zu verlinken 😂

 

[cor1]

Ganz miese Passwortrichtlinie. Deutlich besser: Komplett zufällig und so lang wie möglich. Dabei ist der Mensch keine gute Zufallsquelle und Längen eher mit 16Stellen aufwärts.

Schon klar. Aber 8 Zeichen könnte man sich evtl. noch merken und darum ging's in meinem Kommentar.

 

[branhalor]

Jede Regel die du als Mensch zum merken von Passwörtern anwenden kannst ist maximal anfällig für Versuche des Crackings.

Ist richtig - eben, weil es ein System ist. Aber das System als solches muß erstmal jemand knacken und die Logik dahinter erkennen - was bei der Verwendung von Fantasiebezeichnungen, die man in keinem Buch oder Google der Welt findet, beliebig schwierig ist. Diese Bezeichnung dann noch einmal im Jahr ausgetauscht durch wiederum eine ausschließlich mir bekannte Bezeichnung, dann noch für verschiedene Dienste verschiedene e-Mails-Adressen, damit nicht alles hops geht, falls doch mal eine geklaut wird, und ich wage mal zu behaupten, daß ich relativ sicher bin. Ich als Privatperson bin ja nun nicht irgendeine Behörde oder wertvolle Firma, bei der sich das Cracken lohnen würde, so daß irgendwo in Rußland oder Asien jemand nen Supercomputer rund um die Uhr für laufen lassen würde.

 

[andy_m4]

Antipattern in der IT Sicherheit: Security bei Obscurity
Bringt garnichts.

Das Interessante an der Thematik ist ja, das das Passwortkonzept ansich schon Security bei Obscurity darstellt, weil es auf der Geheimhaltung eines Teils (eben das Passwort) beruht.

Ein Gegenbeispiel wäre jetzt zum Beispiel ein Fingerabdruck oder solche Sachen wie Gesichtserkennung. Die haben keine obscurity, was dann z.B. dazu führt das man sein "Schlüssel" auch in der Öffentlichkeit benutzen kann, weil man nicht befürchten muss, das jemand ausspäht welche Tasten ich auf der Tastatur drücke.

Klar. Die Techniken haben (noch?) andere Tücken. Ein Foto darf z.B. natürlich nicht die Gesichtserkennung austricken können. Aber man kommt halt ohne Geheimhaltung aus. Das macht den grundsätzlichen Unterschied.

Und vielleicht geht ja generell der Trend eher in eine solche Richtung. Weil Passwörter haben wir jetzt schon ewig ohne die Sicherheitsproblematik des Geheimhaltens wirklich in den Griff zu kriegen.
Es ist also vielleicht generell der falsche Weg. spekulier

 

[Kacha]

Es ist klar, das auch Passwortmanager (wie jeder andere Software auch) Sicherheitslücken enthalten kann.
Was wenig hilft ist aber jetzt in Panik zu verfallen oder Passwortmanager zu verdammen.
Schließlich geht es bei dem beschriebenen Angriff um ein Szenario, wo bereits Schadsoftware auf dem Rechner ist und mit Admin-Rechten läuft.

In dem Fall hat man so oder so ein Problem. Da helfen auch keine verschlüsselten Textdateien oder Passwörter auf dem Zettel zu notieren. Weil der Angreifer dann natürlich auf die verschlüsselte Datei zugreifen kann, sobald sie der Benutzer entschlüsselt.
Und auf die Passwörter auf dem Papier, sobald der Nutzer sie bei Onlinebanking etc. eingibt.

Ein wirksamer Schutz ist es also nicht Passwörter zu verdammen, sondern aufpassen das man sich keine Schadsoftware einfängt. Dazu gibt es eine Reihe an Maßnahmen die hier auch schon rauf und runter diskutiert wurden.

Wer mehr Sicherheit erreichen möchte sollte wenn möglich 2-Faktor-Authentifizierung benutzen:
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung

Wenn jemand Admin-Zugriff auf den Rechner hat und die Keepass-Datei mit dem passenden pw entsperrt wurde, würde ich eh nciht mehr von Sicherheitlücken reden.
Hab beim Titel schon befürchtet, dass die Container entschlüsselbar sind oder sowas.

Da hier von einer Prämisse ausgegangen wird, unter der man in jedem Fall Sicherheitsprobleme mit seinen Passwörtern hat, finde ich die Erkenntnis nur wenig erhellend und für den praktischen Alltag fast irrelevant. Passwortmanager sind mit dem richtigen Gebrauch weit sicherer als die Praxis, mit der die allermeisten Anwender mit ihren Passwörtern verfahren, sei es, immer dasselbe Passwort zu verwenden, oder sei es, eine Basisvariante in verschiedenen Modifizierungen zu nutzen.

Wobei durchaus Fälle möglich sind, bei denen der Angreifer erst nach der Nutzung des Passworts auf/an den PC gelangt und somit das Passwort nicht mit ein Keylogger hätte mitschneiden können.
Z.B. bei einer Hausdurchsuchung.

Dazu kommt, das die Passwörter im RAM auch in der Pagefile, Hiberfile oder Memdumps vom Bluescreen landen können und damit möglichweise tagelang offen auf der Platte liegen.

Ich finde es beunruhigend wie sehr das ganze hier einfach abgetan wird. Admin Rechte zu erlangen mag schwieriger sein, ja, aber es ist moeglich und vor allem ist es moeglich, dass das ohne Wissen des Nutzers geschieht. Zum anderen hat man gerade an Passwortmanager hoehere Sicherheitsanforderungen. Wenn dann die im Artikel genannten Probleme wie Passwoerter in Klartext im RAM, obwohl es "gesperrt" wurde, oder allgemein Passwoerter im Klartext im RAM, vorkommen, dann hat man hier einfach ordentlich beim Design daneben gegriffen. Genauso hilft die Aussage am Ende des Artikels nicht gerade wieder Vertrauen zu gewinnen.

@Robert Der Paragraph, dass man doch lieber Passwortmanager nutzen soll, auch mit den Problemen, finde ich verstoerend. Wenn dann sollte es heissen, dass man Passwortmanager, die einen oeffentlichen Audit durchlaufen, nutzen soll.

Das kann ich auf Schlag gar nicht sagen. Was man aber von den modernen Betriebssystemen mehr oder weniger gut unterstützt wird sind geschützte Speicherbereiche.
Ein Speicherbereich von Prozess A darf ohnehin nicht von Prozess B gelesen werden. Aber nicht immer reicht das aus, wie eben beim Swapfile-Beispiel.

Das mit den Secure-Strings klingt interessant. Mich würde nur mal interessieren, wie das genau funktioniert. Denn an irgendeiner Stelle musst Du ja mal das Klartextpasswort haben (und zwar dann, wenn der Nutzer es braucht) und dann wirds halt auch wieder potentiell problematisch.
Im ersten Augenblick würde ich also denken, man verlagert das Problem ohne es wirklich zu beheben.

Ausser wenn man die geschuetzten Speicherbereiche einfach auslesen kann. Ein Jahr und schon vergessen.

Also ich hab eh wenig Vertrauen in Passwörter, egal ob da jetzt nen Passwortmanager dahinter ist oder nicht.
Ist der PC mal infiltriert ists doch eigentlich sowieso Jacke wie Hose - da lebe ich lieber nach diesem Prinzip es "den Zettel zu zerschneiden und überall zu verteilen".

Da ist eine 2FA/3FA eig. auch schon das Richtige, Passwort für Konto, Passwort für Email um den Code zu erhalten und am Ende den Code vom Smartphone...
Wenn da der PC mal verunreinigt sein sollte, gibt es wenigstens noch eine andere Hardwarekomponente als letzte "Schutzinstanz".

Habe relativ früh die 2FA lieben gelernt, bei World of Warcraft damals angefangen und als Unwissender auch weil man sichs nicht merken konnte mehrfach das gleiche Passwort genutzt - das Resultat gab es später dann zu sehen.
Aber immerhin ohne zusätzliche Software war mir auch sofort klar, dass meine brain.exe nicht die hellste Birne war und so habe ich jetzt seit Jahren ruhe - wenn dann mal die Mail auftaucht Nutzer X wollte einloggen o.Ä. ist mir klar das Passwort ist schäbig geworden, aber Zugriff gab es dennoch keinen.

2FA/3FA bringt um einiges mehr als ein Passwortmanager. Passwoerter moeglichst random generieren, schoen und gut, sobald es die andere Seite vergeigt und dein Passwort in irgendeiner Sammlung auftaucht war es das. Im Endeffekt handelt man sich nur einen weiteren Point of Failure mit einem Passwortmanager ein, wie der Artikel zeigt. Das einzige gegen was ein Passwortmanager mit langen zufaelligen Passwoertern sind Brute Force und Dictionary Attacks.

@andy_m4 Gesichtserkennung hat aehnliche Probleme wie Passwoerter. Es ist etwas aufwaendiger, ja, aber es geht das ganze zu ueberlisten. Wobei es selbst mit wenig Aufwand zu ueberlisten ist. Kamera vor das Gesicht halten, fertig. Oder glaubst du ernsthaft, das wuerde niemand machen? Das Geheimnis mit sich oeffentlich herum tragen hat halt eben den Nachteil, das jeder das Geheimnis nutzen kann, wenn er die Moeglichkeit dazu hat.

 

[branhalor]

Schon klar. Aber 8 Zeichen könnte man sich evtl. noch merken und darum ging's in meinem Kommentar.

Mit dem richtigen Ansatz kannst Du Dir auch 20 Zeichen merken.
Meine Paßwörter haben zwischen 14 und 20 Zeichen, vielleicht kommt auch mal eines mit 30, wer weiß das schon, und ich werde es mir trotzdem merken können.
Muß man nur einmal ein bißchen Gehirnschmalz und in der Tat Phantasie reinstecken, danach läuft es von allein.

Aber ich gebe zu: Bis ich auf die Idee gekommen bin, war es in der Tat mühsam, spätestens, als überall auch noch Groß-/Kleinschreibung und Sonderzeichen verpflichtend hinzukamen.

 

[martinallnet]

Ne schöne TXT auf nem mit VeraCrypt verschlüsselten USB Stick/im verschlüsselten Container auf der Cloud etc etc, alles sinnvoller als Passwortmanager.
(Am besten die TXT auch noch mit PGP verschlüsselt )

Dann liegt die Text-Datei u. U. trotzdem nach schließen im RAM. Bei Passwortmanagern räumen zumindest manche auf.

 

[emeraldmine]

Wie war das bei der uralt Software "Gator" ? Irgendwie hab' ich da früher keinem getraut...

 

[TNM]

Eine Drittsoftware von beliebigen Herstellern, die mit einem Masterpasswort ALLE deine Passwörter managen, sind nicht sicher?
Ich bin schockiert. Ich dachte, die coden ihre Software viel besser als alle Anderen Softwareanbieter? Da kann man sich doch blind drauf verlassen, dachte ich?

Wie haben wir immer die Leute ausgelacht früher (bin mitschuldig), die PW's in Heften neben ihren Rechnern hatten. Tja, jetzt stellt sich raus, analog in der Wohnung ist sicherer als digital auf dem kompromitierten Rechner...wo man gleich den Generalschlüssel bekommt, von überall auf der Welt. Früher musste man noch wissen wo einer wohnt, und einbrechen! Was für ein Aufwand.

Einer gewissen Ironie entbehrt das nicht , und nein, ich hab auch keine gute Lösung für die PW-Flut die wir heute haben, durch die Digitalisierung wird auch ein analoger Mensch praktisch zu PW's gezwungen, ich sehs an meinen Eltern. Bankkarten, Kundenportale, Handies usw., da ist das Internet noch gar nicht dabei.

 

[andy_m4]

Ich finde es beunruhigend wie sehr das ganze hier einfach abgetan wird. Admin Rechte zu erlangen mag schwieriger sein, ja, aber es ist moeglich und vor allem ist es moeglich, dass das ohne Wissen des Nutzers geschieht.

Ich tue es nicht ab. Ich setze nur die Möglichkeiten in Relation.

Die andere Seite sind Aufwand und Nutzen. Wenn das Sicherheitskonzept gut ist aber so kompliziert, das es in der Praxis keiner nutzt oder abkürzt (und damit wieder Sicherheit unterminiert) ist auch nichts gewonnen.

Übrigens wäre schon sehr viel gewonnen, wenn man auf das meist angegriffene Betriebssystem verzichten würde. Das hätte mehr Sicherheitsgewinn als alle hier aufgezählten Sicherheitsmaßnahmen zusammen.
Ich befürchte nur, das will auch keiner.

Im Endeffekt handelt man sich nur einen weiteren Point of Failure mit einem Passwortmanager ein, wie der Artikel zeigt.

Was wäre dann die Alternative? Also handgeschriebene Zettel und verschlüsselte Textdateien haben sich ja nicht als besonders sicher herausgestellt.

2FA/3FA bringt um einiges mehr als ein Passwortmanager.

Ohne Frage. Nur welche Faktoren sind das bei Dir? Und wenn ein Faktor davon ein Passwort ist, hast Du halt gleich wieder das Problem Dich ums Passwort kümmern (im Sinne von sicher verwahren) zu müssen, weil sonst der Faktor effektiv wegfällt.