Ein aktuelles Forschungpapier des US-Unternehmens Independent Security Evaluators (ISE), das in dieser Woche veröffentlicht wurde, sieht in vier der beliebtesten Passwort-Manager für Windows 10 eine große Sicherheitslücke. Die Programme sollen deine Login-Daten an den Arbeitsspeicher deines Rechners weitergeben, wodurch es Hackern möglich wird, gezielt darauf zuzugreifen.
Windows 10-Lücke: Diese Passwort-Manager sind gefährlich
Hat ein Angreifer deinen PC bereits mit Malware infiziert, gelingt es ihm leicht, die sensiblen Informationen auszulesen sobald die Passwort-Software aktiv wird.
Betroffen sind die folgenden vier Passwort-Manager für Windows 10, die von ISE näher untersucht wurden:
- 1Password
- Dashlane
- KeePass
- LastPass
Für die Experten war es anscheinend eine Überraschung, herauszufinden, dass die Programme für Windows 10 deine Passwörter nicht immer verschlüsseln und anschließend in den Hintergrundprozessen des PCs löschen. Dadurch ist selbst dein Masterpasswort, das alle anderen gespeicherten Passwörter freigibt, angreifbar.
Passwort-Manager bergen unterschiedliche Gefahren
Im Fall von 1Password weisen die Sicherheitsexperten darauf hin, dass „ein User die Software komplett verlassen muss, um sensible Daten aus dem Arbeitsspeicher zu entfernen“. Bei Dashlane dagegen wird beispielsweise deine gesamte Datenbank in Klartext aufgedeckt, wenn du eines deiner Passwörter updaten willst.
Da eine breite Masse an Usern gibt, die den Experten zufolge Passwort-Manager benutzt, seien diese Sicherheitslücken für Hacker ein besonderer Anreiz, via Malware Daten zu stehlen.
Besteht tatsächlich eine Bedrohung?
Die Unternehmen hinter den betroffenen Passwort-Manager-Programmen für Windows 10 halten die Bedrohung, die die ISE-Ergebnisse skizzieren, dagegen für nicht haltbar.
Von 1Password heißt es dazu gegenüber PCmag: „Die Bedrohung, die von diese Problem ausgeht, ist begrenzt. Kein Passwort-Manager kann versprechen, komplett sicher auf einem durch Malware kompromittiertem Computer zu laufen.“
Das kannst du tun
Generell solltest du ISE zufolge die Grenzen deines Passwort-Manager-Programms immer bedenken. Sobald dein PC von Malware befallen ist, die fähig zu Keylogging ist, Screenshots aufnehmen oder Text kopieren kann, sind deine Login-Daten möglicherweise nicht mehr sicher.
Als Empfehlung solltest du zusätzliche vertrauenswürdige Antiviren-Software nutzen und deinen Passwort-Manager immer komplett herunterfahren, wenn du damit fertig bist.
Software für sichere Passwörter war aber auch in der Vergangenheit schon mit Vorsicht zu genießen. So gab es Berichte über schadhafte Android-Apps, die Passwort-Manager befallen. Auch der Passwort-Manager Keeper für Widows 10 hat Sicherheitslücken gezeigt. Online kannst du übrigens herausfinden, ob deine Daten von Hackern gestohlen wurden.