Schwachstellen im digitalen Tresor: Sicherheitsforscher entlarven Risiken bei Passwortmanagern
Können Hacker trotz Verschlüsselung auf Passwort-Tresore zugreifen? Neue Forschungsergebnisse der ETH Zürich zeigen kritische Schwachstellen bei bekannten Anbietern wie Bitwarden und LastPass auf.
(PresseBox) - Wann immer man ein neues Passwort anlegen muss, steht man vor einer schwierigen Entscheidung: Etwas nehmen, das man sich auch merken kann oder ein sicheres Passwort generieren lassen, das man sich wahrscheinlich nicht merken kann. Abhilfe versprechen cloud-basierte Passwortmanager. Sie gelten gemeinhin als der Goldstandard für die digitale Sicherheit und versprechen, sensible Zugangsdaten verschlüsselt in der Cloud zu verwahren, auf die dank des Zero-Knowledge-Prinzips nicht einmal die Anbieter selbst Zugriff haben. Doch eine aktuelle Untersuchung von Sicherheitsforschern der ETH Zürich wirft ein kritisches Licht auf dieses Sicherheitsversprechen. Im Rahmen einer detaillierten Analyse wurden insgesamt 27 verschiedene Angriffsszenarien entwickelt und erfolgreich demonstriert. Das zeigt, dass die vermeintlich unüberwindbare Barriere zwischen Server und Nutzer-Account, auch Vault genannt, unter bestimmten Bedingungen durchbrochen werden kann. Betroffen von diesen Erkenntnissen sind marktführende Lösungen wie Bitwarden, LastPass und Dashlane.
Die Forscher deckten auf, dass ein kompromittierter Server des Anbieters oder ein versierter Angreifer, der die Kontrolleüber die Server-Infrastruktur erlangt, die Integrität der verschlüsselten Daten gefährden kann. Ein zentrales Problem stellt dabei das Fehlen einer lückenlosen kryptografischen Bindung zwischen den verschiedenen Datenelementen innerhalb eines Vault-Eintrags dar. So ist es möglich,durch sogenannte Field-Swap-Angriffe die verschlüsselten Informationen zu manipulieren. Da Benutzernamen, Passwörter und die dazugehörigen URLs oft als separate Objekte gespeichert werden, kann ein Angreifer diese auf dem Server vertauschen. Dies führt im Extremfall dazu, dass die Anwendung des Nutzers das entschlüsselte Passwort an eine fremde Gegenstelle sendet, während sie eigentlich nur versucht, ein Website-Icon zu laden.
Neben diesen strukturellen Designfehlern identifizierte das Team Schwachstellen in Zusatzfunktionen wie der Passwort-Wiederherstellung und dem Teilen von Zugängen innerhalb von Organisationen. Besonders kritisch bewerteten die Experten die Rückwärtskompatibilität mit veraltetem Programmcode, die in einigen Fällen als Einfallstor für Downgrade-Angriffe diente. Während Bitwarden mit 12,LastPass mit 7 und Dashlane mit 6 identifizierten Schwachstellen im Fokus standen, schnitt ein anderer bekannter Anbieter deutlich besser ab. Die Architektur von 1Password erwies sich aufgrund der Verwendung eines zusätzlichen Secret Keys, der die mathematische Grundlage für die Verschlüsselung auf den Endgeräten der Nutzer stärkt, als resistent gegen die meisten der untersuchten serverbasierten Angriffe.
Diese Forschungsergebnisse unterstreichen, dass die Sicherheit von Cloud-Diensten nicht allein auf dem Vertrauen in die Verschlüsselung basieren darf. Die Anbieter sind nun gefordert, ihre kryptografischen Implementierungen zu verstärken und sicherzustellen, dass die Integrität der Daten auch dann gewahrt bleibt, wenn die Serverumgebung nicht mehr als vertrauenswürdig eingestuft werden kann. Für die Nutzer bedeutet dies eine Erinnerung daran, dass auch spezialisierte Sicherheitssoftware kontinuierlicher Überprüfung bedarf und dass die Wahl des Anbieters sowie die Nutzung zusätzlicher Sicherheitsfaktoren wie Hardware-Tokens eine entscheidende Rolle für den Schutz der eigenen digitalen Identität spielen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam einökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Datum: 25.02.2026 - 10:54 Uhr
Sprache: Deutsch
News-ID 2233712
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 (6321) 484460
Kategorie:
Dieser Fachartikel wurde bisher 7 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Schwachstellen im digitalen Tresor: Sicherheitsforscher entlarven Risiken bei Passwortmanagern"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).