Immer mehr Sicherheitslücken:
Beliebte Passwortmanager gefährdet
Sicherheitsforscher schlagen erneut Alarm: Die beliebten Passwortmanager von Bitwarden, LastPass und Dashlane weisen gravierende Lücken auf. Selbst bei Zero-Knowledge sind Daten in Gefahr. Was Nutzer jetzt wissen müssen und wie die Anbieter reagieren.
Das Kernproblem liegt im Bedrohungsmodell: Bisher galt oft die Annahme, der Cloud-Server sei ein reiner Datenspeicher, der keinen Einblick in die verschlüsselten Inhalte hat. Verhält sich der Server jedoch bösartig - etwa durch eine Kompromittierung des Anbieters oder staatlichen Zwang - versagen viele der implementierten Schutzmechanismen. Infografik: Regelmäßige Passwortänderung für Deutsche kaum ein Thema
Die technischen Details der Untersuchung zeichnen ein besorgniserregendes Bild für Nutzer von Cloud-Diensten. Bitwarden zeigte sich im Test mit zwölf erfolgreichen Angriffsvektoren am anfälligsten, gefolgt von LastPass mit sieben und Dashlane mit sechs Szenarien. Die Angriffe reichten von Integritätsverletzungen einzelner Datensätze bis hin zum kompletten Auslesen der gespeicherten Daten.
Dabei nutzten die Experten keine Malware am Endgerät des Nutzers, sondern simulierten einen kompromittierten Server, der dem Client falsche Informationen liefert und ihn so zur Preisgabe von Schlüsseln verleitet. Veröffentlicht wurden diese Erkenntnisse von einem Team der ETH Zürich in Zusammenarbeit mit der Università della Svizzera italiana. Kenneth Paterson, Professor für Informatik an der ETH Zürich, zeigte sich laut dem Bericht überrascht von der Schwere der gefundenen Lücken, insbesondere angesichts des hohen Marktanteils der Produkte. Die Forscher betonten, dass die theoretischen Modelle der Anbieter oft nicht der praktischen Implementierung entsprechen.
Erst vor wenigen Monaten hatte auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) viele Sicherheitslücken in einem Passwortmanager-Test aufgedeckt. Dabei wurden auch Browser-Lösungen von Google Chrome und Mozilla Firefox unter die Lupe genommen.
Ein konkretes Beispiel ist die Unterstützung alter Verschlüsselungsstandards, um Nutzer, die ihre Software lange nicht aktualisiert haben, nicht auszusperren. Die Forscher demonstrierten, dass einfache Interaktionen wie das Synchronisieren von Daten oder das Einloggen ausreichen können, um dem Server Informationen preiszugeben, die eigentlich lokal verschlüsselt bleiben sollten. Der Client wird dabei vom Server dazu gebracht, eine weniger sichere Verschlüsselungsmethode zu verwenden, die sich anschließend brechen lässt.
Wie das US-Magazin The Register berichtet, hat Dashlane bereits kritische Angriffsvektoren gepatcht, indem die Unterstützung für bestimmte Legacy-Kryptografie entfernt wurde. Auch Bitwarden und LastPass arbeiten an Härtungsmaßnahmen.
Die Experten der ETH empfehlen den Anbietern, Neukunden standardmäßig auf moderne kryptografische Systeme zu setzen und Bestandskunden eine aktive Migration anzubieten. Nutzer sollten zudem darauf achten, dass ihr gewählter Dienst regelmäßige externe Sicherheits-Audits durchläuft und Updates zeitnah installiert.
Nutzt ihr einen der genannten Dienste oder setzt ihr lieber auf lokale Lösungen wie KeePass? Vertraut ihr den Cloud-Anbietern weiterhin eure sensibelsten Daten an? Schreibt es uns in die Kommentare, wir sind gespannt auf eure Sichtweise!
Download KeePass - Passwort-Sammlungs-Tool Download 1Password: Umfassender Passwortmanager
Siehe auch:
Risiko Cloud-Passwortmanager
Passwortmanager gelten als unverzichtbares Werkzeug für viele sicherheitsbewusste Endanwender, doch das Vertrauen in die oft beworbene Zero-Knowledge-Architektur erhält Risse. In einer aktuellen Analyse wurden erneut erhebliche Schwachstellen in den marktführenden Lösungen Bitwarden, LastPass und Dashlane identifiziert.Das Kernproblem liegt im Bedrohungsmodell: Bisher galt oft die Annahme, der Cloud-Server sei ein reiner Datenspeicher, der keinen Einblick in die verschlüsselten Inhalte hat. Verhält sich der Server jedoch bösartig - etwa durch eine Kompromittierung des Anbieters oder staatlichen Zwang - versagen viele der implementierten Schutzmechanismen. Infografik: Regelmäßige Passwortänderung für Deutsche kaum ein Thema
Die technischen Details der Untersuchung zeichnen ein besorgniserregendes Bild für Nutzer von Cloud-Diensten. Bitwarden zeigte sich im Test mit zwölf erfolgreichen Angriffsvektoren am anfälligsten, gefolgt von LastPass mit sieben und Dashlane mit sechs Szenarien. Die Angriffe reichten von Integritätsverletzungen einzelner Datensätze bis hin zum kompletten Auslesen der gespeicherten Daten.
Dabei nutzten die Experten keine Malware am Endgerät des Nutzers, sondern simulierten einen kompromittierten Server, der dem Client falsche Informationen liefert und ihn so zur Preisgabe von Schlüsseln verleitet. Veröffentlicht wurden diese Erkenntnisse von einem Team der ETH Zürich in Zusammenarbeit mit der Università della Svizzera italiana. Kenneth Paterson, Professor für Informatik an der ETH Zürich, zeigte sich laut dem Bericht überrascht von der Schwere der gefundenen Lücken, insbesondere angesichts des hohen Marktanteils der Produkte. Die Forscher betonten, dass die theoretischen Modelle der Anbieter oft nicht der praktischen Implementierung entsprechen.
Erst vor wenigen Monaten hatte auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) viele Sicherheitslücken in einem Passwortmanager-Test aufgedeckt. Dabei wurden auch Browser-Lösungen von Google Chrome und Mozilla Firefox unter die Lupe genommen.
Altlasten und Legacy-Code
Die Ursache für die Anfälligkeit liegt häufig tief in der Historie der Softwareentwicklung begraben. Um Rückwärtskompatibilität zu gewährleisten und komfortable Funktionen wie die Wiederherstellung von Accounts oder das Teilen von Passwörtern in Familien-Abos zu ermöglichen, schleppen Anbieter veraltete kryptografische Protokolle mit sich herum. Veralteter Code macht die Software unnötig komplex und bietet eine breite Angriffsfläche für sogenannte Downgrade-Attacken.Ein konkretes Beispiel ist die Unterstützung alter Verschlüsselungsstandards, um Nutzer, die ihre Software lange nicht aktualisiert haben, nicht auszusperren. Die Forscher demonstrierten, dass einfache Interaktionen wie das Synchronisieren von Daten oder das Einloggen ausreichen können, um dem Server Informationen preiszugeben, die eigentlich lokal verschlüsselt bleiben sollten. Der Client wird dabei vom Server dazu gebracht, eine weniger sichere Verschlüsselungsmethode zu verwenden, die sich anschließend brechen lässt.
Reaktion der Hersteller
Es besteht kein Grund zur sofortigen Panik, da ein Angreifer die volle Kontrolle über die Serverinfrastruktur des Anbieters benötigt, um diese Lücken auszunutzen. Dennoch verdeutlicht die Studie, dass Cloud-Passwortmanager lohnende Ziele für staatliche Akteure oder hoch spezialisierte Hackergruppen sind. Die Hersteller wurden vor der Veröffentlichung informiert und reagierten überwiegend konstruktiv auf die Meldungen.Wie das US-Magazin The Register berichtet, hat Dashlane bereits kritische Angriffsvektoren gepatcht, indem die Unterstützung für bestimmte Legacy-Kryptografie entfernt wurde. Auch Bitwarden und LastPass arbeiten an Härtungsmaßnahmen.
Die Experten der ETH empfehlen den Anbietern, Neukunden standardmäßig auf moderne kryptografische Systeme zu setzen und Bestandskunden eine aktive Migration anzubieten. Nutzer sollten zudem darauf achten, dass ihr gewählter Dienst regelmäßige externe Sicherheits-Audits durchläuft und Updates zeitnah installiert.
Nutzt ihr einen der genannten Dienste oder setzt ihr lieber auf lokale Lösungen wie KeePass? Vertraut ihr den Cloud-Anbietern weiterhin eure sensibelsten Daten an? Schreibt es uns in die Kommentare, wir sind gespannt auf eure Sichtweise!
Download KeePass - Passwort-Sammlungs-Tool Download 1Password: Umfassender Passwortmanager
Zusammenfassung
- Studie der ETH Zürich deckt gravierende Sicherheitslücken in Passwortmanagern auf
- Bitwarden, LastPass und Dashlane zeigen Schwachstellen bei böswilligem Server
- Angreifer können trotz Zero-Knowledge-Architektur auf Nutzerdaten zugreifen
- Rückwärtskompatibilität und alte Protokolle schaffen zusätzliche Angriffsflächen
- Server können Clients zur Verwendung schwächerer Verschlüsselung verleiten
- Dashlane hat bereits kritische Angriffsvektoren durch Patches behoben
- Experten raten zu modernen kryptografischen Systemen und regelmäßigen Updates
Siehe auch:
- Windows 11: Microsoft fixt verschwundenes Passwort-Login-Fenster
- Hacker oder Fehlalarm? Instagrams dubiose Flut an Passwort-Mails
- BSI deckt viel zu viele Sicherheitslücken im Passwortmanager-Test auf
- Louvre-Raub: Das Passwort war "Louvre", Windows 2000 noch aktiv
- Dashlane Passwortmanager künftig nur noch gegen Bezahlung nutzbar
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Optionales Windows-11-Update mit neuer Wiederherstellung gestartet
- Neue Ikea-Smart-Home-Produkte aufgetaucht - das soll bald kommen
- Preis-Kracher im Vodafone-Netz: 70 GB Allnet-Flat für nur 9,99 Euro
- AMD bestätigt Probleme mit FSR-Treiber 26.6.2 auf vielen Windows-PCs
- Apple startet iOS 27 Beta 2 und zeigt, was Nutzer ab Herbst erwartet
- Samsung Galaxy Z Flip8, Fold8 & Fold8 Ultra: Infos zu Farben & Speicher
Videos
Neueste Downloads
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
Erweiterung Post-it für Firefox oder Chrome
Maik1000 - Gestern 13:50 Uhr -
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr -
Datenträgerverwaltung
micro300 - 19.06. 08:52 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen