Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

Die Passwortdatenbanken an sich sind sicher, doch werden die Passwortmanager gestartet, hinterlassen sie Daten im Arbeitsspeicher - selbst wenn sie gesperrt wurden.

Artikel veröffentlicht am ,
Passwörter verwalten geht auch offline - oder in einem Brettspiel. Trotz Problemen ist ein Passwortmanager die bessere Wahl.
Passwörter verwalten geht auch offline - oder in einem Brettspiel. Trotz Problemen ist ein Passwortmanager die bessere Wahl. (Bild: Wokandapix/Pixabay)

Den Arbeitsplatz übergeben, den Passwortmanager gesperrt - alles richtig gemacht. Doch leider hinterlassen viele Passwortmanager einige Daten im Arbeitsspeicher, auch wenn sie gesperrt wurden. Die Sicherheitsfirma Independent Security Evaluators (ISE) untersuchte die beliebten Passwortmanager 1Password, Dashlane, Keepass und Lastpass unter Windows 10 - empfiehlt jedoch weiterhin die Verwendung von Passwortmanagern.

Inhalt:
  1. Studie: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher
  2. Lastpass rockt - oder doch nicht?

Mit Passwortmanagern lassen sich Passwörter verwalten und sortieren. Die Zugangsdaten werden üblicherweise in einer verschlüsselten Datenbank abgelegt, die mit einem Masterpasswort gesichert ist - das einzige Passwort, das sich der Nutzer neben den Passwörtern zum Starten seiner Geräte noch merken muss. Mit der Software lassen sich zudem individuelle Passwörter generieren. Anschließend können diese aus der Software heraus kopiert und in das entsprechende Login-Feld eingefügt werden. Komfortabler wird es, wenn man den Passwortmanager das Passwort für sich eintippen lässt (Auto-Type) oder ein Browser-Plugin installiert hat, welches die Daten des Passwortmanagers in Empfang nimmt.

Die Sicherheitsforscher untersuchten die Sicherheit der Passwortmanager in drei Zuständen: Der Passwortmanager wurde nach dem Booten des Rechners noch nicht gestartet, aber zuvor eingerichtet, der Passwortmanager wurde verwendet und war ungesperrt, der Passwortmanager wurde, nachdem er verwendet wurde, vom Nutzer oder automatisch gesperrt.

Datenbanken sind sicher - das Sperren nicht

In einem ersten Schritt betrachteten die Sicherheitsforscher die verschlüsselten Datenbanken. Die verwendeten Algorithmen, um das Masterpasswort der Passwortdatenbank zu schützen, hielten sie für vertretbar.

Wurden die Passwortmanager jedoch gestartet und verwendet (ungesperrt) oder waren gesperrt, konnten die Sicherheitsforscher bei allen Passwortmanagern Passwörter im Arbeitsspeicher entdecken. Bei 1Password wurden in der aktuellen Version 7 alle hinterlegten Passwörter sowie das Masterpasswort und der Secret-Key in den Arbeitsspeicher geladen. Sie verblieben auch nach dem Sperren des Passwortmanagers im Arbeitsspeicher. Aus einer Sicherheitsperspektive habe ein Klick auf den Sperren-Knopf keine Auswirkungen, schreiben die Sicherheitsforscher. Um die Passwörter aus dem Arbeitsspeicher zu bekommen, muss die Software komplett beendet werden.

Auch bei Dashlane, Keepass und Lastpass fanden die Sicherheitsforscher verschiedene Probleme.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Lastpass rockt - oder doch nicht? 
  1. 1
  2. 2
  3.  
Verwandte Artikel
artikel-bild
Security
Github hat NPM-Passwörter im Klartext geloggt
artikel-bild
Passwort-Check aus Bayern
Bis eben war Ihr Passwort noch sicher
artikel-bild
Kollaborationssoftware
Slack schließt jahrelanges Datenleck
Meistgelesen
artikel-bild
Solarpaket beschlossen
Bundestag erleichtert Anmeldung von Balkonkraftwerken
artikel-bild
Per GPU geknackt
So sicher sind 8-Zeichen-Passwörter 2024
artikel-bild
Rheinmetall
Köln testet Ladebordsteine in der Praxis
Kommentarübersicht
myki.com
biohharz3 28. Feb 2019

https://myki.com wäre in diesem Konten interessant zu durchleuchten. Passwörter werden am...

Re: Passwort per Copy Paste einfügen...
dummzeuch 25. Feb 2019

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer...

Re: Firefox- bzw. Browser-Passwortmanager
IchBIN 22. Feb 2019

Naja, wenn dann benutze ich Chromium oder Iridium, nicht Chrome - schon klar. Aber...

Re: Analyse zu KeePassXC wäre noch interessant...
IchBIN 22. Feb 2019

Super, vielen Dank für den Link!

Aktuell auf der Startseite von Golem.de
Quellcode auf Github
MS-DOS 4.00 ist jetzt Open Source

Nachdem der ehemalige CTO eine alte MS-DOS-Floppy entdeckt hat, veröffentlicht Microsoft ein Stück Betriebssystem-Geschichte.

Quellcode auf Github: MS-DOS 4.00 ist jetzt Open Source
Artikel
  1. Essenslieferdienst: Mit Paypal wird Lieferando teurer
    Essenslieferdienst
    Mit Paypal wird Lieferando teurer

    Lieferando berechnet für die Nutzung von Paypal oder Apple Pay eine zusätzliche Gebühr. Paypal untersagt dies in den Nutzungsbedingungen.

  2. Startrampe Set: Lego bietet Milchstraße und Nasa-Rakete Artemis als Bausatz
    Startrampe Set
    Lego bietet Milchstraße und Nasa-Rakete Artemis als Bausatz

    Lego hat zwei neue Sets vorgestellt, die für Weltraumenthusiasten gedacht sind: das Nasa-Artemis-Startrampen-Set und das Milchstraßen-Galaxie-Set.

  3. The Beekeeper: Ein Mann gegen die Ransomware-Industrie
    The Beekeeper
    Ein Mann gegen die Ransomware-Industrie

    Normalerweise gibt es kaum einen Grund, sich eines Actionfilms mit Jason Statham anzunehmen. The Beekeeper ist aber eine Ausnahme.
    Eine Rezension von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus OLED-Monitor zum Tiefstpreis • Gigabyte GeForce RTX 4070 Ti im Sale • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /