Die Password Manager-Studie zeigt, dass Passwörter Angreifern ausgesetzt sein können
- Kategorie: Sicherheit
Die Verwendung eines Passwort-Managers ist eine der wenigen Optionen, mit denen Sie sicherstellen müssen, dass alle Ihre Online-Konten mit sicheren, nicht zu erratenden Passwörtern gesichert sind.
Der Hauptgrund dafür ist, dass die meisten Internetnutzer sich keine sicheren Passwörter für Dutzende oder sogar Hunderte von Webdiensten merken können, es sei denn, sie verwenden einfache Grundregeln oder verwenden dasselbe Passwort wiederholt.
Während Webbrowser wie Firefox oder Google Chrome eine Vielzahl von Passwort-Managern zur Verfügung stellen, kommt es normalerweise darauf an, einen Passwort-Manager auszuwählen, der die Funktionen bietet, die Sie dafür benötigen.
Die tatsächliche Sicherheit des Kennwortmanagers, wie er mit Kennwörtern umgeht, wann er sie an Server sendet und wann nicht, ist die meiste Zeit nicht wirklich transparent.
Eine aktuelle Studie von Marc Blanchou und Paul Youn von 'Password Managers Exposing Passwords Everywhere' von Isecpartners analysierte, wie browserbasierte Passwortmanager mit Websites interagieren, wenn diese aktiviert werden.
Die Forscher untersuchten LastPass, IPassword und MaskMe für Chrome und Firefox sowie OneLastPass für Chrome. Insbesondere wurde untersucht, wann und wie diese Kennwortmanager Kennwortinformationen ausfüllten.
Das Ergebnis mag Benutzer von Passwort-Managern überraschen, aber es wurde festgestellt, dass sich alle vier untersuchten Programme auf die eine oder andere Weise schlecht verhalten.
HTTP vs HTTPS : Der MaskMe-Kennwortmanager unterscheidet nicht zwischen HTTP- und HTTPS-Schemata. Dies bedeutet, dass das Kennwortformular unabhängig vom Schema ausgefüllt wird. Dies kann beispielsweise durch Man-in-the-Middle-Angriffe ausgenutzt werden.
Ein Man-in-the-Middle-Angreifer, beispielsweise in einem öffentlichen drahtlosen Netzwerk, könnte Opfer einfach auf gefälschte HTTP-Versionen beliebter Websites mit Anmeldeformularen und JavaScript umleiten, die automatisch gesendet werden, nachdem sie automatisch von MaskMe ausgefüllt wurden. Jeder, der MaskMe mit aktivierter automatischer Ausfüllung verwendet (dies ist das Standardverhalten), kann seine Passwörter sehr schnell stehlen, indem er einfach eine Verbindung zu einem böswilligen Zugriffspunkt herstellt, und die Opfer würden es nie erfahren.
Übermitteln von Passwörtern über Ursprünge hinweg : LastPass, OneLastPass und MaskMe senden Passwörter nach Herkunft. Damit ist gemeint, dass die betroffenen Kennwortmanager Authentifizierungsinformationen auf Websites ausfüllen und senden, auch wenn sich die Adresse, an die die Informationen gesendet werden, von der Website unterscheidet, auf der sich der Benutzer befindet.
Subdomains ignorieren: Alle vier Kennwortmanager verarbeiten Subdomänen, die der Stammdomäne entsprechen. Dies bedeutet, dass Anmeldeinformationen in der Stammdomäne, aber auch in allen Subdomänen desselben Domänennamens ausgefüllt werden.
Loginseite : Alle in der Studie untersuchten Passwort-Manager beschränken ihre Aktivitäten nicht auf eine Anmeldeseite, die zuvor vom Benutzer verwendet wurde. Wenn eine Anmeldung für einen Domainnamen gespeichert wurde, werden alle Anmeldeformulare für diesen Domainnamen so behandelt, unabhängig davon, ob sie zuvor verwendet wurden oder nicht.
Diese Praktiken, von denen einige aus praktischen Gründen so gehandhabt werden, können Benutzer gefährden, da Angreifer diese Probleme möglicherweise verwenden, um Kennwortinformationen zu stehlen.
Die Forscher schlagen vor, dass Benutzer die von einigen Passwort-Managern angebotenen Funktionen zum automatischen Ausfüllen und automatischen Anmelden nicht nutzen. Alle Unternehmen wurden über die Ergebnisse informiert.