Passwortmanager: ETH Zürich fördert Sicherheitslücken zutage

Eine Analyse der ETH Zürich zeigt: Cloud-Passwortmanager wie Bitwarden oder LastPass sind teils angreifbarer als beworben.

Forscher der ETH Zürich haben mehrere bekannte Passwortmanager genauer untersucht – und dabei deutliche Schwachstellen gefunden. Im Test standen die cloudbasierten Dienste «Bitwarden», «LastPass» und «Dashlane». Das Ergebnis: Die versprochene Sicherheit hält nicht in allen Punkten, was sie verspricht.

Was genau tun Passwortmanager?

Passwortmanager speichern Zugangsdaten sozusagen in einem digitalen verschlüsselten Tresor. Du meldest dich mit einem Master-Passwort an und kannst so auf alle hinterlegten Logins zugreifen. Viele Dienste gleichen die Daten über die Cloud ab, damit sie auf Smartphone, Laptop oder Tablet verfügbar sind.

Zero-Knowledge ein falsches Versprechen?

Die Anbieter werben mit dem sogenannten Zero-Knowledge-Prinzip. Das bedeutet: Nur die Nutzer und Nutzerinnen selbst sollen ihre Passwörter entschlüsseln können – auch die Anbieter selbst bleiben aussenvor. In der Theorie klingt das vielversprechend.

Die ETH-Analyse zeigt jedoch, dass das nicht immer funktioniert: In mehreren Tests gelang es ihnen, Schutzmechanismen zu umgehen oder sensible Informationen abzuleiten. Dafür manipulierten sie gezielt die Kommunikation zwischen Programm und Server oder simulierten einen kompromittierten Server.

Die Software hat in einem Fall unsichere Verschlüsselungs-Einstellungen akzeptiert, weil der Server seine Antworten entsprechend angepasst hat. In anderen Fällen konnte man aus Zusatzinformationen (sogenannte Metadaten) Rückschlüsse auf gespeicherte Inhalte ziehen. Die eigentliche Verschlüsselung war zwar noch da, aber das ganze System hatte Schwachstellen, die man ausnutzen konnte. Nach eigenen Angaben informierte das Forschungsteam die betroffenen Unternehmen frühzeitig. Einige Anbieter nahmen bereits Anpassungen vor, bevor die Studie öffentlich erschien.

Im Rahmen der Untersuchung entstand auch ein neues Analysewerkzeug. Damit lassen sich kryptografische Abläufe in cloudbasierten Passwortmanagern systematisch überprüfen. Das Tool mit dem Namen ZK-AE-Tester stellten die Forscher über die Plattform zkae.io bereit. Entwickler können damit testen, ob ihre Systeme ähnliche Schwachstellen aufweisen. Die ETH-Forscher wollen so unabhängige Prüfungen erleichtern und die Transparenz erhöhen.

Anbieter geloben Besserung

Die Unternehmen betonten, dass sie «laufend an Verbesserungen arbeiten» würden. Einige der gemeldeten Probleme seien bereits behoben worden, andere prüfe man noch. Die ETH-Forscher weisen darauf hin, dass ihre Angriffe unter kontrollierten Bedingungen stattfanden. Ein echter Angriff würde zusätzliche Voraussetzungen erfordern, etwa Zugriff auf Server oder die Möglichkeit, Datenverkehr gezielt zu verändern. An der hypothetischen Möglichkeit solcher Angriffe ändert das aber nichts.

