Skip to content
ETH entdeckt Sicherheitslücken grosser Passwortmanager

Neue ETH-Studie zeigt: Passwortmanager bieten weniger Sicherheit als versprochen

Xiomi Paulino Knowledge

ETH-Studie zeigt Sicherheitslücken in mehreren Passwortmanagern. Was bedeutet das für Nutzer? Ein Überblick: Wir fassen zusammen.

Passwortmanager unter der Lupe: ETH-Studie zeigt Sicherheitslücken und was Unternehmen jetzt wissen müssen

Forschende der ETH Zürich haben gestern eine Studie rausgegeben, die zeigt: Passwortmanager bieten weniger Schutz als versprochen. Sie haben kürzlich mehrere populäre cloudbasierte Passwortmanager untersucht – darunter Bitwarden, Dashlane und LastPass. In Tests konnten die Forscher der ETH Zürich gespeicherte Passwörter einsehen und sogar verändern!

Viele Anbieter versprechen sogenannte «Zero-Knowledge-Verschlüsselung». Also, dass selbst sie keinen Zugang zu den verschlüsselten Passwörtern haben. Und selbst wenn jemand auf den Server zugreift, dass Sicherheitsrisiko klein sei, da die Daten verschlüsselt und dadurch unlesbar seine. Wir fassen für dich zusammen, was das heisst, wie du als Unternehmen damit umgehen kannst und was du tun solltest.

Epic Fusion Trennlinie_pink_Brand Accent 3

 

Was die ETH-Forschenden festgestellt haben

  • Die ETH Forscher konnten zeigen, dass unter bestimmten Bedingungen ein Angreifer verschlüsselte Passwörter nicht nur lesen, sondern auch manipulieren kann.
  • Die Forschenden demonstrierten 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane. Dazu setzten sie eigene Server auf, die sich so verhalten wie ein gehackter Server eines Passwortmanagers.
  • Dies war möglich durch Simulationen, in denen ein Angreifer den Server eines Passwortmanagers kontrollierte und typische Nutzerinteraktionen ausnutzte.
  • Die Schwachstellen resultieren unter anderem aus komplexer, ungeordneter Architektur und Kryptografie-Mechanismen, die nicht robust genug gegen bösartige Serverreaktionen sind. Für solche Attacken braucht es keine besonders leistungsstarken Computer und Server, nur kleine Programme, mit welchen man dem Server eine falsche Identität vortäuschen kann.
  • Die ETH-Studie hat den Anbietern 90 Tage Zeit gegeben, die Probleme vor Veröffentlichung zu adressieren. Die Anbieter waren vorwiegend kooperativ und dankbar.


Was die ETH empfiehlt

  • Anbieter sollten klarer kommunizieren, welche Sicherheitsgarantien wirklich gelten.
  • Systeme sollten auf neueste Kryptografie-Standards angehoben werden.
  • Nutzende sollten Passwortmanager wählen, die transparent, extern geprüft und standardmässig End-to-End-verschlüsselt sind.

«Da die End-zu-End-Verschlüsselung bei kommerziellen Diensten noch relativ neu ist, hatte sich das anscheinend noch nie jemand genauer angeschaut.»

Kenneth Paterson, ETH Professor am Departement Informatik

 

Epic Fusion Trennlinie_pink_Brand Accent 3

 

Statement von LastPass: Reaktion auf die ETH-Forschung

Der Hersteller LastPass hat ebenfalls reagiert und ein offizielles Statement veröffentlicht, in dem sie auf die ETH-Erkenntnisse eingehen und erklären, was sie tun.

  • LastPass begrüsst Sicherheitsforschungen und die Zusammenarbeit mit ETH Zürich, um Systeme zu stärken.
  • LastPass betont, dass es keine Hinweise gibt, dass die festgestellten Schwachstellen tatsächlich ausgenutzt wurden.
  • Die beschriebenen Probleme setzen laut LastPass einen hoch privilegierten Angreifer mit Serverseit-Kontrolle voraus – nicht das normale Nutzungsszenario.


Speziell für LastPasses lassen sich die berichteten Probleme in fünf grosse Bereiche einteilen: 

Kontowiederherstellung (Admin-Resets)

In Unternehmen setzen Administratoren Konten über öffentliche Schlüssel zurück – die sichere Zuordnung dieser Schlüssel bleibt die zentrale Herausforderung.

Teilen von Passwörtern oder Einträgen

Teilst du etwas mit LastPass, wird es mit dem öffentlichen Schlüssel der Person verschlüsselt. Problem: Ist der Schlüssel manipuliert, könnte ein Server mitlesen.

Aufbau von Tresor-Einträgen

Jeder Tresoreintrag besteht aus separat verschlüsselten Teilen. Ohne Validierung könnte ein Angreifer verschlüsselte Elemente zwischen Einträgen verschieben.

Website-Symbole und URLs

LastPass lädt teils Website-Symbole zur besseren Übersicht. Wurde ein Eintrag manipuliert, würde genau dieser angezeigt werden.

KDF-Brute-Force-Angriffe

LastPass erlaubt Änderungen der Ableitungsanzahl. Fängt ein Angreifer die Verbindung ab, könnte er sie senken, um schwache Passwörter schneller offline zu erraten.


LastPass betont, dass jedes dieser Szenarien einen hochentwickelten Angreifer mit dauerhaftem Zugriff auf ihre Produktionsinfrastruktur voraussetzt. Sie spiegeln weder den normalen Betrieb von LastPass noch das zu erwartende Nutzerverhalten wider.

Massnahmen, an denen LastPass arbeitet

Kurzfristig bereits umgesetzt:

  • Verbesserte Behandlung von Website-Icons und URL-Handling, um beschriebene Manipulationsszenarien zu mindern.

Mittelfristige und geplante Updates:

  • Stärkung der kryptografischen Parameter-Validierung und Verhinderung unsicherer Konfigurationen.
  • Verbesserungen an Account-Recovery- und Sharing-Workflows, damit kryptografische Schlüssel nicht ausgetauscht oder verfälscht werden können.
  • Erhöhte Integrität der Vault-Daten, damit verschlüsselte Komponenten nicht unabsichtlich ausgetauscht werden können.

 

Empfehlung an Kunden

Es wird generell empfohlen, folgende Schritte zu unternehmen, um die Sicherheit zu erhöhen:

  1. Multifaktor-Authentifizierung (MFA) und/oder SSO für administrative Konten aktivieren.
  2. Weniger Super-Admins, regelmässige Überprüfung von Berechtigungen. Sowie Berechtigungen für Freigaben und geteilte Ordner beschränken.
  3. Sicherstellen, dass alle Nutzer aktuelle Versionen der Apps und Browser-Erweiterungen verwenden.
  4. Setze ein starkes, einzigartiges Master-Passwort ein.
  5. Halte Software und Erweiterungen immer aktuell.
  6. Wähle Passwortmanager mit offener Prüfung, transparenter Sicherheitspolitik und starker Verschlüsselung.

Epic Fusion Trennlinie_pink_Brand Accent 3

 

Epic Fusion bleibt dran

Für unsere Kunden besteht kein Handlungsbedarf. Wir verfolgen alle Entwicklungen eng und stehen weiterhin im Austausch mit den Anbietern. Sollte es Auswirkungen auf betriebliche Prozesse oder Kundenumgebungen geben, informieren wir umgehend und proaktiv.

 

Xiomi Paulino, Modern Workplace Engineer

Fragen? Unsicherheit?

Wenn du oder deine Benutzer Fragen haben oder Unsicherheiten bestehen, stehen wir euch jederzeit zur Verfügung.

Kontakt aufnehmen