Unlängst wurde eine Diskussion losgetreten, über mögliche Sicherheitslücken im Speicher des Anwenders, bei der Verwendung von Passwort-Managern. In einigen Foren stellt sich die Frage, ob denn der Sinn eines Passwortmanagers überhaupt noch gegeben sei. Das war mir bislang alles zu nebulös, was da geschrieben wurde.
Mein Kater war wieder da. Ich muss jetzt aufräumen.
tl;dr: Es wird nix so heiß gegessen, wie es gekocht wird
Newsbeiträge neigen dazu, relativ reißerische Überschriften und Einleitungstexte zu haben, damit sie überhaupt jemand anklickt. Zum Ende durchgelesen werden sie meist nicht. Immerhin, die Werbung ist verkauft. Im Kopf des Lesers bleibt – wenn überhaupt – die Überschrift.
Die erwähnten Nachrichten gehen zurück auf einen Artikel von Independent Security Evaluators (ISE) aus den USA (Link), welcher die beliebtesten Tools (1Password, Dashlane, KeePass, LastPass) untersucht hat. In allen Tools hat wurde derselbe Angriffsvektor genutzt: Den Hauptspeicher des Anwenders.
Ein Problem auch in den besseren Artikeln (Golem, Beispiel, Link) ist, dass die Antworten der Entwickler nicht verlinkt werden. Die sind für den unwissenden aber notwendig, um das Problem zum einen besser zu verstehen und um eine ganzheitliche Risikoabschätzung durchzuführen. Mich hat das sehr geärgert.
It is by design!
Da kommen wir einfach nicht drumrum. Die Entwickler nutzen alle erprobte Entwicklungsumgebungen, die eines mal nicht können: Ihren Müll wegbringen, auch wenn der Passwortmanager weiter läuft. Ein wenig detaillierter erklären die Entwickler und CSO’s von Agilebits (1Password) das Problem (Link).
Auf Deutsch: Im Speicher ist einfach mal nix sicher! Dabei ist völlig „wurst“, welcher Passwortmanager genutzt wird. Das wusste ein Teil der Informationsgesellschaft mindestens schon, seitdem die Intel-Bugs Spectre& Meltdown an die Öffentlichkeit gegangen sind.
Trotzdem heißt das nicht, dass man jetzt auf einen Passwortmanager verzichten kann. RCE’s (Remote Code Execution, Angriff aus der Ferne) sind da weitaus blöder. Die gilt es, zu vermeiden (Link).
Solange der Anwender seine Kiste im Griff hat, ist auch ein Passwortmanager sinnvoll. Im Griff haben bedeutet, all die anderen Angriffsvektoren im Hinterkopf zu haben, welche ich im Artikel „Kennwörter? Hauptsache die Katze ist sicher“ (Link) schon einmal erläutert habe.
Dennoch bringt uns der ISE-Artikel mal wieder vor Augen, wie angreifbar wir sind. Und ich will auch nicht verheimlichen, dass ich den sechsten Punkt meines verlinkten Artikels mit einem Arbeitskollegen durchdiskutiert habe und er mich zum Nachdenken gebracht hat. Wir haben über „Google Sign In“ gesprochen und er hat mir eröffnet, welche Features das Tool bietet (Link). Dem entgegen steht mein Vertrauen. Don’t be evil ist eine Sache, und ich bekomme zudem so häufig mit, wie schnell ein Anbieter hochgehen kann – das ist also nix für mich.
Alle von ISE getesteten Passwortmanager sind sicherer als keinen Passwortmanager zu benutzen. Wenn man sich der Sache bewusst ist, dass der Computer ein schützenswertes Gut ist und entsprechend damit umgeht, sehe ich auch kein Problem darin, einen Passwortmanager zu benutzen. Im Gegenteil, ich sehe es als grob fahrlässig an, keinen zu benutzen.