Sind Passwortschutzprogramme sicher? Liste aller schwerwiegenden Verstöße

Wenn Sie Zeit im Internet verbringen (und wer nicht?), Haben Sie wahrscheinlich viele Passwörter.


Sie benötigen jedes Mal ein Passwort, wenn Sie sich bei Ihren Social-Media-Konten anmelden, Ihren Kontostand überprüfen oder etwas bei Amazon bestellen. Wenn Sie zu einem Forum gehören, eine Website betreiben oder einfach nur einen Blog schreiben, dann haben Sie noch mehr Passwörter.

Passwort erforderlichEs ist verlockend, für jede dieser Websites dasselbe Passwort zu verwenden. Schließlich müssen Sie sich wahrscheinlich im Laufe eines normalen Jahres bei Dutzenden, wenn nicht Hunderten von Websites anmelden. Wenn Sie ein sicheres, eindeutiges Passwort für jede dieser Websites hatten, Wie konntest du dich nur an alle erinnern??

Leider nehmen zu viele Menschen den einfachen Ausweg. Sie verwenden ein Passwort, das ziemlich offensichtlich ist, sagen "Passwort123,Und dann für alle ihre Online-Aktivitäten verwenden. Warum ist das so eine schreckliche Idee? weil Wenn ein Hacker es schafft, Ihr Passwort für nur ein Konto zu erhalten, haben sie Ihr Passwort für alle Ihre Konten.

Vielleicht ist es nicht besonders schlimm, wenn sich eine schändliche Partei in Ihr Facebook-Profil einloggt, obwohl sie in diesem Fall Chaos anrichten kann. Wenn Sie jedoch mit diesem Kennwort Zugriff auf Ihre Bankdaten, Ihre Kreditkartennummern, Ihre SocialSecurity-Nummer oder andere Informationen haben, ist Ihnen dies sicher wichtig.

Warum starke Passwörter kritisch sind

In den letzten Jahren haben viele Websites begonnen, Anforderungen an immer längere und komplexere Passwörter zu stellen. Es ist ein Problem für den Benutzer, sich diese Passwörter zu merken, aber es gibt gute Gründe, dies zu tun.

Sicheres PasswortJe komplexer und zufälliger Ihre Passwörter sind, desto schwerer sind sie für Hacker zu erkennen. Stellen Sie sich vor, Sie hätten Dutzende dieser Passwörter, eines für jede der von Ihnen frequentierten Websites. Diese Hacker werden nicht so weit kommen, wenn sie eine völlig zufällige Kette von 12 oder mehr Buchstaben, Zahlen und Sonderzeichen herausfinden müssen. Die Probleme werden nur durch die Verwendung eindeutiger Kennwörter in jedem Ihrer Online-Konten vervielfacht.

Diese Art von Passwort ist für Ihre Online-Sicherheit von entscheidender Bedeutung. Sobald ein Hacker Ihr zu einfaches Passwort herausgefunden hat, kann er es selbst verwenden oder für große Summen auf dem Schwarzmarkt verkaufen. Einige dieser Käufer sind unglaublich anspruchsvoll. Innerhalb von Minuten wird Ihre Identität gestohlen, Ihre Bonität wird verworfen und Sie werden Jahre und viel Geld darauf verwenden, Ihren Ruf zurückzugewinnen.

Laut MIT Technology Review geht es bei der Erstellung eines wirklich sicheren Passworts um mehr als die Verwendung eines Großbuchstabens, einer Ziffer und eines Sonderzeichens. Je länger Sie Ihr Kennwort festlegen und je mehr Sonderzeichen verwendet werden, desto wahrscheinlicher ist es, dass Sie Hacker überlisten.

Hacker haben eine Software, die ständig und unermüdlich die "Vermutungen" von Passwörtern durchläuft. Früher oder später können sie sich an Ihre halten. Wenn Ihr Passwort jedoch lang, komplex und völlig zufällig ist, dann Die Chancen stehen gut, dass der Hacker nach einer viel einfacheren Beute sucht, das ist in Hülle und Fülle vorhanden.

Was ist ein Passwort-Manager??

Das Problem ist, dass es eine Herkulesaufgabe ist, sich all diese unglaublich langen, komplizierten und einzigartigen Passwörter zu merken. Wer kann sie möglicherweise alle aufrecht erhalten? Hier kommen Passwort-Manager ins Spiel.

Wie funktioniert Password Manager?Die meisten Passwortmanager sind darauf ausgelegt, unzählige sichere, zufällige Passwörter für einzelne Benutzer zu generieren. Sie speichern diese Passwörter und rufen sie dann ab, wenn Sie die einzelnen Websites besuchen.

Diese Dienste können auch Ihre Kreditkartennummern speichern, einschließlich des dreistelligen CVV-Codes auf der Rückseite sowie PINs und Ihre Antworten auf verschiedene Sicherheitsfragen. Alle diese Daten werden verschlüsselt, um Hacker abzuwehren. Viele dieser Dienste verwenden Hashing, was im Wesentlichen der Fall ist verantwortlich für die Umwandlung von einfachen Daten in Zeichenfolgen mit einer vorgegebenen Länge.

Jedes Mal, wenn Sie eine Website besuchen möchten, auf der Sie eines Ihrer Kennwörter verwenden müssen, melden Sie sich bei dem "Tresor" der Daten an, die Sie zuvor mit Ihrem Kennwortmanager gespeichert haben. Der Zugriff wird über ein einziges Kennwort für den Manager-Service gewährt.

Das klingt ziemlich praktisch, aber es ist wichtig, dass Sie den Passwort-Managern nicht zu viel Vertrauen schenken. Diese Dienste sind keine Wundermittel, die Sie vor jeglichem Schaden schützen. Es ist immer noch ratsam, ein VPN wie zu verwenden NordVPN Zwei-Faktor-Authentifizierung für alle Browsing-Vorgänge für bestimmte äußerst wertvolle Konten und nur für Geräte, denen Sie vertrauen.

Tatsächlich ist es möglicherweise ratsam, auf die Verwendung eines Passwort-Managers zu verzichten.

Warum Passwort-Manager riskant sein können

Password Manager speichern alle Ihre vertraulichen Daten entweder lokal oder in einer Cloud. Dementsprechend befinden sich Ihre Kennwörter in einem Tresor auf einem Speicherlaufwerk oder einem Computer bei Ihnen zu Hause oder werden remote auf den Servern des Kennwortmanagers gespeichert.

Namhafte Akteure der Branche mögen Dashlane1Passwort und LastPass Verwenden Sie ihre Server, um Ihre privaten Informationen standardmäßig zu speichern. Auf diese Weise können Sie gespeicherte Daten bequem mit all Ihren Geräten synchronisieren.

Passwort-HackingJetzt machen diese Unternehmen viele Versprechungen in Bezug auf ihre Sicherheitsmaßnahmen, aber das macht nicht allen Verbrauchern Spaß. Stellen Sie sich vor, all diese unglaublich wertvollen Daten auf diesem einzelnen Server wären durch einen Hack kompromittiert worden. Da Sie alle Eier in einen Korb gelegt haben, haben Sie gerade die Kontrolle über Ihr Online-Leben verloren.

Die Realität ist, dass nur wenige Hacker der Versuchung widerstehen können, an den fortschrittlichen Sicherheitssystemen vorbeizukommen. Denken Sie an all die unschätzbaren Daten, die sie mit nur einem Hack sammeln konnten. Manchmal ist Konsolidierung kein kluges Manöver.

Wenn Ihnen der Gedanke an Cloud-Speicher für alle Ihre Kennwörter wirklich nicht gefällt, können Sie sich stattdessen für die lokale Speicherung entscheiden. Dashlane ermöglicht dies, wenn Kunden die Synchronisierungsfunktion deaktivieren.

Mit 1Password können Kunden eine Softwarelizenz erwerben, mit der sie steuern können, wo sich ihr Tresor befindet. Mit KeePass können Sie Ihre Daten in einem Tresor speichern, der auf Ihrem eigenen Gerät verschlüsselt ist.

Bevor Sie jedoch mit beiden Beinen in diese Optionen einsteigen, fragen Sie sich, wie sicher Ihre eigenen elektronischen Sicherheitsmaßnahmen sind. Ist es möglich, dass ein Hacker durch sie hindurchkommt, um alle Ihre Passwörter von Ihrem eigenen Gerät zu übernehmen?

Sicherheitslücken, über die Sie Bescheid wissen müssen

Die aufgeführten Sicherheitsverletzungen sind nicht theoretisch. Viele von ihnen sind passiert. Berücksichtigen Sie diese Verstöße, bevor Sie entscheiden, ob die Verwendung eines Kennwort-Managers für Sie sinnvoll ist oder nicht.

Die Lücke bei OneLogin

Der Passwort-Manager OneLogin gab im Juni 2017 bekannt, dass er einen Hack erlitten hat. Der weit verbreitete Vorfall Betroffen waren alle Kunden des Unternehmens, deren Daten im US-Rechenzentrum gespeichert waren.

In einer Pressemitteilung schrieb OneLogin: "Seitdem haben wir diesen nicht autorisierten Zugriff gesperrt, die Angelegenheit den Strafverfolgungsbehörden gemeldet und arbeiten mit einer unabhängigen Sicherheitsfirma zusammen, um festzustellen, wie der nicht autorisierte Zugriff erfolgt ist."

LastPass meldet einen Verstoß

Ein weiterer ziemlich berüchtigter Password Manager-Hack fand bei LastPass statt. Dies wurde im April 2017 gemeldet und das Unternehmen beschrieb es als ein „einzigartiges und hoch entwickeltes“ Problem. Die Implikation ist, dass LastPass so fortschrittliche Verschlüsselungstechniken und Sicherheitsmaßnahmen verwendet, dass die Situation so gut wie undenkbar ist und möglicherweise nicht wieder auftreten kann.

Das Problem wurde von Tavis Ormandy, einem Sicherheitsforscher für Googles Project Zero, identifiziert. Ormandy beschrieb das Problem als „architektonisch“ und sagte weiter, dass es eine erhebliche Zeit in Anspruch nehmen würde, um es anzugehen.

Während LastPass daran arbeitete, die Sicherheitsanfälligkeit zu beheben, rieten sie den Clients zur Verwendung Zwei-Faktor-Authentifizierung und um alle verdächtigen Links zu vermeiden.

Dies ist jedoch nicht das einzige Ereignis, unter dem LastPass gelitten hat. Im Juni 2015 gab das Unternehmen bekannt, dass auf seinen Servern Einbrüche aufgetreten sind. LastPass meldete, dass keine gespeicherten Passwörter gestohlen wurden und dass die Hacker nahmen keine E-Mail-Adressen, Passworterinnerungen oder Authentifizierungs-Hashes entgegen.

KeePass wird gehackt - Art von

Die Verfügbarkeit eines Tools mit dem Spitznamen „KeeFarce“ im Jahr 2015 ließ es für KeePass schwierig erscheinen. Obwohl dieses Hacker-Tool auf KeePass abzielte, Es ist möglich, das Tool so zu ändern, dass es auf jeden Passwort-Manager abzielt.

Dieses Tool zielt im Wesentlichen auf die Computer von Benutzern ab, die im Allgemeinen nicht über die robusten Sicherheitsfunktionen verfügen, die von Kennwortmanagern verwendet werden. Das Tool war in der Lage, alle Benutzernamen und Kennwörter zu entschlüsseln, die der Benutzer mit KeePass gespeichert hatte. Alle Daten wurden dann in eine Datei geschrieben, auf die der Hacker zugreifen konnte.

Dieses Tool wurde entwickelt, um ein Problem hervorzuheben, das bei allen Kennwortmanagern auftritt. Ein infizierter Computer ist ein anfälliger Computer. Unabhängig davon, wie gut ein Passwort-Manager ist, wenn der Computer des Benutzers mit einem Virus oder einem anderen Problem infiziert ist, ist der vom Manager gebotene Schutz mit Sicherheit gefährdet. Sie müssen Ihre eigene Sicherheit erhöhen, wenn Sie von einem Passwort-Manager profitieren möchten.

Keeper fängt einen Bug ab

FehlererkennungIm Mai 2018 gab Keeper bekannt, dass ein von einem Sicherheitsforscher identifizierter Fehler behoben wurde. Der Forscher sagte das Möglicherweise hat der Fehler Unbefugten den Zugriff auf die privaten Daten eines anderen Benutzers ermöglicht.

Der Fehler wurde über eine Enthüllungsliste für die öffentliche Sicherheit ans Licht gebracht. Im Wesentlichen besagte die Auflistung, dass jede Person, die den API-Server des Unternehmens kontrollierte, theoretisch auf den Entschlüsselungsschlüssel für das Depot von Passwörtern zugreifen konnte, die jedem Benutzer gehörten. Die Ursache des Problems lag in Keeper Commander, einem von Python unterstützten Skript, mit dem Benutzer Kennwörter drehen können.

Der Keeper-Bug wurde behoben.

Die TeamSIK-Ergebnisse

Im Februar 2017 veröffentlichten Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie ihre Ergebnisse nach einer Überprüfung der neun am häufigsten verwendeten Passwortmanager. Die Ergebnisse waren alles andere als beruhigend.

team sik logoDie als TeamSIK bekannten Forscher nannten ihre Ergebnisse "äußerst besorgniserregend". Sie behaupteten sogar, dass diese Unternehmen "das Vertrauen der Nutzer missbrauchen und sie hohen Risiken aussetzen".

Die Passwortmanager, die in die Überprüfung einbezogen wurden, waren 1Password, Avast Passwords, Keeper, LastPass, Informaticore Password Manager und My Passwords.

Jeder Manager in der Überprüfung hatte mindestens eine Sicherheitslücke. Die Forscher informierten jedes Unternehmen über ihre Ergebnisse, und Mot-Probleme wurden schnell behoben. Es scheint jedoch nicht, dass jedes Unternehmen diese Probleme hätte erkennen und beheben müssen, ohne eine externe Quelle zu benötigen, um sie zum Handeln zu bewegen?

In der Folge, Benutzer wurden aufgefordert, sicherzustellen, dass sie gepatcht wurden und die neuesten Versionen der Password Manager-Software verwenden damit sie den vollen Nutzen aus den verbesserten Sicherheitsmaßnahmen ziehen konnten.

Nachfolgend sind einige der spezifischen Details / Berichte aufgeführt. Für spezifische Details öffnen Sie bitte jeden Bericht.

MyPasswords 

  • Lesen Sie private Daten meiner Passwörter App
  • Master Password Entschlüsselung meiner Passwörter App
  • Kostenlose Premium-Funktionen für meine Passwörter freischalten

Informaticore Password Manager 

  • Unsicherer Speicher für Anmeldeinformationen in Mirsoft Password Manager

LastPass Password Manager 

  • Hardcodierter Hauptschlüssel in LastPass Password Manager
  • Datenschutz, Datenverlust in der LastPass-Browsersuche
  • Privates Datum (gespeichertes Hauptkennwort) von LastPass Password Manager lesen

Keeper Passwort-Manager 

  • Umgehung der Sicherheitsfrage für Keeper Password Manager
  • Keeper Password Manager-Dateninjektion ohne Master-Passwort

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Unsicherer Speicher für Anmeldeinformationen

Dashlane Password Manager 

  • Lesen Sie private Daten aus dem App-Ordner in Dashlane Password Manager
  • Informationsleck in der Google-Suche im Dashlane Password Manager-Browser
  • Residue Attack Extrahieren des Masterpassworts aus dem Dashlane Password Manager
  • Verlust des Subdomain-Passworts im internen Dashlane Password Manager-Browser

Ausblenden von Bildern Keep Safe Vault 

  • SKeepsafe Plaintext Password Storage

Avast-Passwörter 

  • App Password Stealing von Avast Password Manager
  • Passwortdiebstahl durch gefälschte Website von Avast Password Manager
  • Unsichere Standard-URLs für beliebte Websites in Avast Password Manager
  • Verlust des Subdomain-Passworts in Avast Password Manager
  • Implementierung einer fehlerhaften sicheren Kommunikation in Avast Password Manager
  • Interne Test-URLs in Avast Password Manager

1Password - Password Manager 

  • Verlust des Subdomain-Passworts im internen 1Password-Browser
  • HTTP-Downgrade auf http-URL standardmäßig in 1Password Internal Browser
  • Titel und URLs in 1Password-Datenbank nicht verschlüsselt
  • Lesen Sie private Daten aus dem App-Ordner in 1Password Manager
  • Datenschutzproblem, Informationen an Anbieter 1Password Manager weitergegeben

Arten von Sicherheitsverletzungen

Die Realität ist, dass alle wichtigen Passwort-Manager zu der einen oder anderen Zeit schwerwiegende Sicherheitslücken hatten. Selbst wenn sie die Probleme beheben, sobald sie aufgedeckt sind, scheinen immer neue Programme im Gange zu sein. Dies sind einige der Sicherheitsverletzungen, für die Kennwortmanager anfällig sind.

Phishing - Die meisten Leute haben von Phishing-Schemata gehört. Hierbei handelt es sich um eine E-Mail oder eine Textnachricht, die angeblich von einem seriösen Unternehmen oder einer seriösen Person gesendet wurde. Ziel ist es, dass ein ahnungsloses Opfer sensible Daten wie Bankkontonummern, Kreditkartennummern und Sozialversicherungsnummern preisgibt, um den Empfänger zu betrügen.

Phishing-Angriffsfluss

Phishing wurde verwendet, um Kunden von Password Manager zu betrügen. In diesem Schema werden Kunden aufgrund einer abgelaufenen Sitzung aufgefordert, sich bei einer Website anzumelden. Auf einer verwirrend ähnlichen Phishing-Website geben sie ihre privaten Daten ein. Der Benutzer hat gerade bereitwillig sein geheimes Passwort an einen Hacker weitergegeben.

Cross-Site Request Forgery - Mit diesem oft als CSRF bezeichneten System werden Personen dazu verleitet, unbeabsichtigte Online-Aktionen durchzuführen. Es wird für Benutzer verwendet, die in einer Webanwendung authentifiziert sind. Die schändliche Partei sendet häufig einen Link per E-Mail, um das Opfer zu veranlassen, Gelder zu überweisen oder andere potenziell schädliche Maßnahmen zu ergreifen.

Siteübergreifendes Scripting - Bekannt als XSS, beinhaltet dieser Angriff die Einführung von schädlichem Code in ansonsten bekannte und vertrauenswürdige Websites.

Brute-Force-Angriffe - Bei dieser Sicherheitsverletzung handelt es sich um eine automatisierte Software, die verschiedene Kombinationen ausprobiert, bis sie auf eine Datengoldmine stößt, wie z. B. den Server Ihres Kennwortmanagers.

Autofil-PasswortSicherheitsanfälligkeit in der Funktion zum automatischen Ausfüllen - Die Verwendung der Funktion zum automatischen Ausfüllen in Ihrem Webbrowser oder Passwort-Manager ist verlockend, da dies alles so viel einfacher zu machen scheint. In Wirklichkeit erleichtern Sie Ihren Cyberkriminellen auf der ganzen Welt nur die Arbeit. Es wird sogar von Werbetreibenden verwendet.

Speichern des Master-Passworts im Nur-Text-Format - Als Beweis dafür, dass Kennwortmanager nicht unbedingt die besten Gatekeeper Ihrer sensiblen Daten sind, hat ein Forschungsprojekt die Tatsache aufgedeckt, dass einige Kennwortmanager die Hauptkennwörter des Kunden unverschlüsselt im Klartext gespeichert haben.

App-Code mit Verschlüsselungsschlüsseln - Im Wesentlichen macht der eigene Code der App die Verschlüsselungsschlüssel im Code selbst verfügbar. Es ist ein großartiger Tag für Hacker, an dem diese Sicherheitsanfälligkeit entdeckt wird.

Zwischenablage schnüffeln oder entführen - Mit dieser Sicherheitsverletzung können Kriminelle Anmeldeinformationen abrufen, die in den Speicher des PCs kopiert wurden, damit sie in eine Schnittstelle zur Kennworteingabe eingefügt werden können.

Integrierte Webbrowser-Fehler - Einige Passwort-Manager sind auch Browser, mit deren Hilfe Kunden online sicherer werden sollen. Mit einem unvollkommenen Passwort-Manager - das sind alles - wird die Möglichkeit von Fehlern vervielfacht.

Angriff auf Datenrückstände - Benutzer, die Apps von ihren Geräten löschen, entfernen nicht unbedingt alle Spuren. Einige Hacker greifen den „Rückstand“ an, der zurückbleibt. Nur wirklich solide Sicherheitsmaßnahmen halten Kriminelle fern.

Cyber-Angriffe von InsidernInsider-Hacking - Gehen Sie nicht davon aus, dass Sie sicher sind, nur weil Sie einen Firmencomputer verwenden. Einige Hacks sind ein Insider-Job, der von einem Kollegen ausgeübt wird. Dies gilt auch für die Büros von Passwort-Managern. Woher wissen Sie, dass Sie den Mitarbeitern Ihres Anbieters vertrauen können??

Informationslecks durch Swap-Speicher - Die meisten Computer verfügen über Hauptspeicher und Sekundärspeicher. Jeder Prozess, den der Computer ausführt, erhält so viel Speicher, wie er benötigt. Aktive Prozesse werden im Hauptspeicher abgelegt. Ruhende Prozesse werden in den Sekundärspeicher verschoben. Wenn ein bestimmter Prozess tonnenweise Speicher verbraucht, werden mehr Elemente in den Sekundärspeicher verschoben. Die Systemleistung verschlechtert sich und das Beenden des Leckprozesses bedeutet möglicherweise nicht, dass Prozesse, die in den sekundären Speicher verschoben wurden, sofort zurückgespielt werden. Alles, was in den sekundären Speicher ausgelagert wurde, ist möglicherweise anfällig für Angriffe.

Was hält die Zukunft bereit?

Wie bereits erwähnt, haben die neun bekanntesten Kennwortmanager seitdem alle diese Probleme behoben. Welche anderen Probleme können jedoch lauern? Einige der von TeamSIK aufgedeckten Schwachstellen hätten offensichtlich sein müssen, aber keines dieser Unternehmen wusste davon. Es bedurfte eines unabhängigen Dritten, um diese Probleme aufzudecken und ans Licht zu bringen. Können Sie einem Passwort-Manager wirklich Ihre sensibelsten Daten anvertrauen??

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me