Gratis
5. März 2019 - Datensicherheit

Passwort-Manager lassen Passwörter im Arbeitsspeicher

Drucken

Passwort-Manager einzusetzen, ist unter Experten nicht unumstritten. Die Sicherheitsfirma Independent Security Evaluators (ISE) hat verschiedene Lösungen unter dem Aspekt der Sicherheit geprüft.

Passwort-Manager sind trotz ihrer Schwächen sinnvoll Passwort-Manager sind trotz ihrer Schwächen sinnvoll (Bild: iStock.com / SpiffyJ)

Befürworter sehen in einem Passwort-Manager eine gute Möglichkeit, Anwender daran zu hindern, stets das gleiche Passwort zu benutzen. Nutzer neigen ansonsten dazu, der Herausforderung aus dem Wege gehen, sich starke Passwörter merken zu müssen.

Kritiker sehen in den Programmen oder Diensten dagegen eine Gefahr für die Datensicherheit. Denn Passwort-Manager speichern an einer zentralen Stelle sensible Informationen.

In einem Vergleich hat eine Sicherheitsfirma nun bekannte und beliebte Lösungen unter Windows 10 getestet. Dabei traten zwar sicherheitsrelevante Schwachstellen auf. Die Tester empfehlen  trotzdem weiterhin, Passwort-Manager einzusetzen.

Bekannte Passwort-Apps im Test

Untersucht wurden die bekannten und weit verbreiteten Programme 1Password, Dashlane, Keepass und Lastpass unter Windows 10.

Sie arbeiten alle nach dem gleichen Funktionsprinzip:

  • Die Zugangsdaten sind in einer Datenbank abgelegt, die mit einem Master-Passwort gesichert ist.
  • Die Programme können individuelle Passwörter generieren.
  • Die gespeicherten Zugangsdaten werden dann entweder manuell aus der Datenbank kopiert, um sie in die Anmeldedialoge von Diensten oder Anwendungen einzutragen.
  • Oder ein Plug-in für den Browser ermöglicht dies.

Untersucht wurden die Programme in drei verschiedenen Zuständen:

  • Der Nutzer hat den Passwort-Manager nach dem Systemstart des Rechners noch nicht aufgerufen, aber zuvor eingerichtet.
  • Der Nutzer hat den Passwort-Manager verwendet und nicht gesperrt.
  • Nachdem es verwendet wurde, wurde das Programm vom Nutzer oder automatisch gesperrt.

Die Datenbank ist sicher, der Arbeitsspeicher nicht

Um die Sicherheit zu erhöhen, bieten viele Programme die Option, eine automatische Sperre auszulösen. Diese tritt dann beispielsweise dann ein, wenn der Anwender sein System insgesamt sperrt, weil er den Arbeitsplatz verlässt.

Die Sperre kann zusätzlich automatisch nach Ablauf einer Zeitspanne erfolgen.

Das Ergebnis des Tests zeigt, dass die Entwickler für den Schutz der Datenbank eine gute Verschlüsselung gefunden haben. Die verwendeten Algorithmen halten die Sicherheitsforscher für angemessen.

Die Programme erwiesen sich nach der Sperre allerdings als mehr oder weniger problembelastet. Wurden die Anwendungen gestartet und verwendet oder waren gesperrt, konnten die Sicherheitsforscher bei allen Passwort-Managern Passwörter im Arbeitsspeicher entdecken.

Werden Mechanik und Verwendungs-Situation der Programme berücksichtigt, ist naheliegend, dass Passwörter im Arbeitsspeicher unverschlüsselt abgelegt werden. Denn diese Angaben hat der Nutzer ja über die Zwischenablage in ein Formular übernommen.

Die Frage ist, warum die Entwickler die Einträge im Arbeitsspeicher nicht löschen, wenn der Nutzer die Anwendung sperrt. Wie das Magazin Golem in seinem Artikel berichtet, waren im Fall der App „1Password“ in der aktuellen Version 7 alle hinterlegten Passwörter sowie das Master-Passwort im Arbeitsspeicher geladen.

Sie verblieben auch nach dem Sperren des Passwortmanagers im Arbeitsspeicher.

Die anderen Programme patzten ebenfalls in dieser Hinsicht. Um die Einträge zu entfernen, müssen Nutzer die Anwendungen vollständig beenden. Darauf sollten die Anwender beispielsweise in einer Schulung hingewiesen werden.

Den Einsatz von Passwort-Managern stellen die Experten aus den eingangs erwähnten Gründen aber nicht insgesamt infrage.

Stephan Lamprecht