ETH-Studie enthüllt gravierende Schwachstellen in Passwort-Managern

Eine neue Studie der ETH Zürich stellt das zentrale Sicherheitsversprechen populärer Passwort-Manager infrage. Forscher fanden konzeptionelle Schwachstellen bei Bitwarden, LastPass und Dashlane, die Angreifern unter bestimmten Bedingungen Zugriff auf gespeicherte Passwörter ermöglichen könnten. Die Ergebnisse betreffen Dienste, die weltweit von rund 60 Millionen Nutzern eingesetzt werden.

Das „Zero-Knowledge“-Versprechen bröckelt

Das fundamentale Sicherheitsversprechen dieser Dienste heißt „Zero-Knowledge-Encryption“. Es garantiert, dass alle Daten nur auf dem Gerät des Nutzers ver- und entschlüsselt werden – der Anbieter selbst soll keinen Einblick haben. Die ETH-Forscher simulierten nun einen Angriff durch einen „böswilligen Server“. Ihr Ergebnis: Wer die Server-Infrastruktur kontrolliert, kann die Client-Software so manipulieren, dass sie bei alltäglichen Nutzeraktionen wie dem Login Passwörter preisgibt.

25 Angriffsvektoren bei drei Top-Anbietern

Die Untersuchung identifizierte insgesamt 25 verschiedene Schwachstellen: zwölf bei Bitwarden, sieben bei LastPass und sechs bei Dashlane. Die Probleme liegen oft in Design-Entscheidungen für mehr Komfort. Funktionen wie Kontowiederherstellung, Passwort-Teilen oder Abwärtskompatibilität schaffen potenzielle Einfallstore. Teilweise setzen Anbieter noch auf veraltete kryptografische Verfahren aus den 1990er-Jahren. Die Angriffe könnten von der Manipulation einzelner Passwörter bis zur Kompromittierung ganzer Organisationstresore reichen.

Wie reagierten die Hersteller?

Das Forschungsteam informierte die Unternehmen 90 Tage vor der Veröffentlichung. Die Reaktionen fielen unterschiedlich aus. Bitwarden betonte in einem Blogbeitrag die Vorteile seiner Open-Source-Architektur für unabhängige Prüfungen. Die Forscher geben Entwarnung für den Moment: Solange die Server nicht kompromittiert sind, bestehe keine akute Gefahr. Es gibt keine Hinweise auf aktive Ausnutzung durch Kriminelle. Doch die Studie zeigt: Ein erfolgreicher Einbruch bei einem Anbieter hätte verheerende Folgen.

Ein Weckruf für die gesamte Branche

Die Ergebnisse werfen ein kritisches Licht auf die Sicherheitsstandards der gesamten Industrie. Die Forscher waren überrascht vom Ausmaß der Lücken bei Diensten für derart sensible Daten. Der Vorfall unterstreicht den ewigen Konflikt zwischen maximaler Sicherheit und optimaler Benutzerfreundlichkeit. Jede Komfort-Funktion kann die Angriffsfläche vergrößern. Das Werbeversprechen absoluter Sicherheit muss nun kritisch hinterfragt werden.

Was bedeutet das für Nutzer?

Die Forscher empfehlen Anbietern eine grundlegende Modernisierung ihrer kryptografischen Systeme. Für Verbraucher ändert sich eine grundsätzliche Empfehlung jedoch nicht: Ein Passwort-Manager bleibt sicherer als einfache oder wiederverwendete Passwörter. Nutzer sollten bei der Wahl ihres Anbieters auf Transparenz, regelmäßige externe Audits und standardmäßige Ende-zu-Ende-Verschlüsselung achten. Die Studie ist ein klarer Appell an die Branche, ihre Versprechen auch technisch lückenlos einzulösen.

Wer sich vor solchen Angriffsvektoren schützen möchte, sollte seine IT-Sicherheitsgrundlagen stärken. Ein kostenloses E-Book erklärt praxisnahe Schutzmaßnahmen – von sicheren Schlüsselverwaltungen über regelmäßige Audits bis hin zu konkreten Schritten gegen Server-Manipulationen, die Ihre Passwörter gefährden könnten. Kostenlosen Cyber-Security-Leitfaden herunterladen