Forscher fanden große Lücken bei Passwortmanagern

Untersucht wurden Bitwarden, Lastpass und Dashlane, deren Dienste weltweit ungefähr 60 Millionen Menschen nutzen. Ein Passwortmanager funktioniert so, dass hinter einem Masterpasswort alle anderen Passwörter im sogenannten Tresor abgelegt werden. Das vereinfacht den Zugang zu sensiblen Daten wie Bankkonten oder zu Online-Zahlungsmitteln wie Kreditkarten. Wer regelmäßig Onlinedienste nutze, verfüge schnell über Hunderte Passwörter, schrieb der Journalist Samuel Schlaefli am Montag für die ETH-News.

Die Merkhilfe hat allerdings ihre Tücken, wie die Studie der ETH Zürich zeigte: „Das Versprechen lautet, dass, selbst wenn jemand auf den Server zugreifen kann, dies kein Sicherheitsrisiko für die Kunden darstellt. Wir konnten nun zeigen, dass dies nicht stimmt“, sagte Matilda Backendal von der Università della Svizzera italiana in Lugano. Sie führte die Untersuchung am Institut für Informationssicherheit der ETH Zürich gemeinsam mit einer dreiköpfigen Forschungsgruppe durch. Ihre simulierten Hackerangriffe zeigten, dass die verschlüsselten Daten gelesen werden können.

„Wir waren überrascht, wie groß die Sicherheitslücken sind“, sagte Backendals Kollege Kenneth Paterson. Das Team gab den Anbietern der gehackten Systeme 90 Tage Zeit, die Lücken zu schließen. Die Hersteller zeigten sich kooperativ. Beim Beheben der Probleme waren sie unterschiedlich schnell.

Fachleute empfehlen, jedes Passwort nur einmal zu verwenden beziehungsweise für jedes Benutzerkonto ein individuelles Passwort zu vergeben. Längere seien besser als kürzere. Ein Passwortmanager kann neue Passwörter auch zufällig erzeugen und speichern. Er arbeitet systemübergreifend über Computer und Smartphone.