ETH Zürich testet Bitwarden, Lastpass und Dashlane – schwerwiegende Schwachstellen | Borns IT und Windows BlogBorns IT

Forscher der ETH Zürich wollten wissen, wie sicher Passwortmanager sind und testeten Bitwarden, Lastpass und Dashlane. Feststellung: Die Programme sind nicht so sicher; Sie konnten teilweise auf die Passwörter zugreifen. Die Forscher demonstrierten 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlan.

Millionen von Menschen nutzen Passwort-Manager. Sie erleichtern den Zugang zu Online-Diensten, Bankkonten und Kreditkartenzahlungen. Grundsätzlich ist die Verwendung von Passwort-Managern nicht schlecht. Mit cloudbasierten Lösungen können Sie mit einem Master-Passwort den Zugriff auf alle anderen Passwörter auf verschiedenen Geräten ermöglichen.

Allerdings müssen diese Tools sicher und frei von Schwachstellen sein. Hersteller bewerben ihre Produkte mit „Zero Knowledge Encryption“ und versprechen Sicherheit. Was ist in dieser Hinsicht mit den Passwortmanagern Bitwarden, Lastpass und Dashlane? Sie haben weltweit rund 60 Millionen Nutzer und einen Marktanteil von 23 Prozent.

Zahlreiche Schwachstellen wurden entdeckt

Matilda Backendal, Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi von der Forschungsgruppe Angewandte Kryptographie am Institut für Informationssicherheit der ETH Zürich analysierten die Sicherheit von drei cloudbasierten Passwortmanagern. Backendal und Torrisi arbeiten an der Università della Svizzera Italiana in Lugano.

Gestern bin ich auf den obigen Tweet meiner Kollegen von inside-it.ch und damit auf das Thema gestoßen. Passwortmanager bieten im Titel weniger Schutz als von der ETH Zürich vorgeschrieben. Sicherheitsforscher der ETH Zürich haben schwerwiegende Sicherheitslücken in drei beliebten cloudbasierten Passwort-Managern entdeckt. In Tests konnten sie gespeicherte Passwörter einsehen und ändern.

Für die Tests richteten die Forscher eigene Server ein, die sich wie ein gehackter Passwort-Manager-Server verhalten. Sie gingen davon aus, dass sich Server nach einem Angriff böswillig verhalten (das bösartige Server-Bedrohungsmodell) und bei der Interaktion mit Clients, beispielsweise einem Webbrowser, zufällig vom erwarteten Verhalten abweichen.

Anschließend wurden verschiedene Angriffstechniken versucht, von Integritätsverletzungen über gezielte Angriffe auf Benutzertresore bis hin zur vollständigen Kompromittierung aller Tresore einer Organisation, die den Dienst nutzt. In den meisten Fällen konnten die Forscher auf die Passwörter zugreifen und diese sogar manipulieren. Das bittere Ergebnis: Bei der Untersuchung konnten die Forscher 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlan nachweisen.

Dazu benötigten sie nicht die einfachen Interaktionen, die Benutzer oder ihre Browser bei der Verwendung eines herkömmlichen Passwort-Managers durchführen, wie etwa das Anmelden bei einem Konto, das Öffnen eines Safes, das Anzeigen von Passwörtern oder das Synchronisieren von Daten, schrieben sie in einem Beitrag.

„Wir waren schockiert, wie groß die Sicherheitslücken sind“, sagt Kenneth Paterson. Sein Team hatte bereits ähnliche Lücken in anderen Cloud-basierten Diensten gefunden, ging jedoch davon aus, dass der Sicherheitsstandard bei Passwort-Managern für kritische Daten deutlich höher sei. „Da Ende-zu-Ende-Verschlüsselung bei kommerziellen Diensten noch relativ neu ist, scheint es, als hätte noch nie jemand genau hingeschaut.“

Einige der Angriffe wurden vom Doktoranden Matteo Scarlata von der Applied Cryptography Research Group durchgeführt. Als er begann, sich den Code verschiedener Manager anzuschauen, stieß er schnell auf einige sehr seltsame Codearchitekturen.

Unternehmen sind bestrebt, ihren Kunden einen möglichst nützlichen Service zu bieten, etwa die Möglichkeit, Passwörter wiederherzustellen oder ihr Konto mit Familienmitgliedern zu teilen, sagt Scarlata. „Dadurch werden die Codes komplexer und unübersichtlicher und die möglichen Angriffspunkte für Hacker steigen. Für diese Angriffe sind keine besonders leistungsstarken Computer und Server erforderlich, sondern kleine Programme, mit denen man sich als Server ausgeben kann.“

Patersons Team kontaktierte die Lieferanten der betroffenen Systeme, bevor es die Ergebnisse veröffentlichte. Sie hatten 90 Tage Zeit, um die Sicherheitslücken zu schließen. „Die Anbieter zeigten sich meist kooperativ und wertschätzend, aber nicht alle waren gleich schnell bei der Behebung von Sicherheitslücken“, sagt Paterson. Der Austausch mit Passwort-Manager-Entwicklern hat auch gezeigt, dass sie bei Systemaktualisierungen sehr vorsichtig sind, da sie befürchten, dass ihre Kunden (Einzelpersonen und Unternehmen) den Zugriff auf Passwörter und andere persönliche Daten verlieren könnten.

In Bitwarden wird diskutiert, dass die Freiwilligen die Informationen „vor einem Jahr“ auf den Tisch gelegt hätten. Der besagte Bericht wurde nach einem Jahr veröffentlicht. Nachtrag: Auf dem Blog von Bitward gibt es jetzt einen Beitrag zum oben genannten Thema.