{"id":56029,"date":"2014-07-15T16:01:32","date_gmt":"2014-07-15T15:01:32","guid":{"rendered":"http:\/\/onsoftware.softonic.de\/?p=56029"},"modified":"2024-03-08T07:54:19","modified_gmt":"2024-03-08T06:54:19","slug":"passwort-manager-schwachstelle-in-der-browser-version-vieler-anwendungen","status":"publish","type":"post","link":"https:\/\/cms-articles.softonic.io\/de\/passwort-manager-schwachstelle-in-der-browser-version-vieler-anwendungen\/","title":{"rendered":"Passwort-Manager: Sicherheitsl\u00fccke in der Browser-Version vieler Anwendungen"},"content":{"rendered":"<p><a title=\"PDF: The Emperor\u2019s New Password Manager: Security Analysis of Web-based Password Managers Zhiwei Li, Warren He, Devdatta Akhawe, Dawn Song University of California, Berkeley\" href=\"http:\/\/devd.me\/papers\/pwdmgr-usenix14.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">Sicherheitsexperten der Berkeley-Universit\u00e4t<\/a> in Kalifornien haben eine <strong>schwerwiegende Sicherheitsl\u00fccke<\/strong> in der Browser-Version <strong>vieler Passwort-Manager<\/strong> offengelegt. Die beschriebene Schwachstelle l\u00e4sst sich ausnutzen, um an die gespeicherten Zugangsdaten zu gelangen. Zu den betroffenen Anwendungen z\u00e4hlen <a title=\"LastPass f\u00fcr Windows herunterladen\" href=\"http:\/\/lastpass.softonic.de\/\" target=\"_self\" rel=\"noopener noreferrer\">LastPass<\/a>,\u00a0<a title=\"PasswordBox\" href=\"http:\/\/passwordbox.softonic.de\/\" target=\"_self\" rel=\"noopener noreferrer\">PasswordBox<\/a> und\u00a0<a title=\"my1login\" href=\"https:\/\/www.my1login.com\/content\/index.php\" target=\"_blank\" rel=\"noopener noreferrer\">my1login<\/a>. Fast alle Hersteller haben inzwischen Sicherheitsupdates ver\u00f6ffentlicht.<\/p>\n<h3>Mehr Sicherheit durch Passwort-Manager<\/h3>\n<p>Passwort-Manager bieten <strong>erh\u00f6hte Sicherheit<\/strong>, da Anwender f\u00fcr unterschiedliche Dienste und Internetseiten jeweils ein eigenes, komplexes Passwort vergeben k\u00f6nnen, das sie sich selbst nicht merken m\u00fcssen. Allerdings birgt die hilfreiche Software auch ein <strong>Risiko<\/strong>: Wer den Passwort-Manager knackt, hat Zugriff auf alle Konten.<\/p>\n<h3>Schwachstelle Bookmarklet-Funktion<\/h3>\n<p>Eine Angriffsfl\u00e4che stellt die sogenannte <em>Bookmarklet<\/em>-Funktion dar, die im Browser automatisch Felder mit Nutzernamen und Passwort ausf\u00fcllt. Genau hier haben die Sicherheitsexperten angesetzt und die Anwendung LastPass \u00fcberlistet. Mit einer <strong>pr\u00e4parierten Internetseite<\/strong> ist es ihnen gelungen, abgespeicherte Passw\u00f6rter auszulesen. Dabei blieb der Datenklau <strong>f\u00fcr den Anwender unsichtbar<\/strong>.<\/p>\n<h3>Betroffene Passwort-Manager<\/h3>\n<p>Die Browser-Schwachstelle betrifft noch weitere Anwendungen: Mit der gleichen Methode lie\u00dfen sich folgende Passwort-Manager aus tricksen:<\/p>\n<ul>\n<li><a title=\"PasswordBox\" href=\"http:\/\/passwordbox.softonic.de\/\" target=\"_self\" rel=\"noopener noreferrer\">PasswordBox<\/a><\/li>\n<li><a title=\"RoboForm f\u00fcr Windows\" href=\"http:\/\/roboform.softonic.de\" target=\"_self\" rel=\"noopener noreferrer\">RoboForm<\/a><\/li>\n<li><a title=\"my1login\" href=\"https:\/\/www.my1login.com\/content\/index.php\" target=\"_blank\" rel=\"noopener noreferrer\">my1login<\/a><\/li>\n<li><a title=\"NeedMyPassword\" href=\"https:\/\/www.needmypassword.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">NeedMyPassword<\/a><\/li>\n<\/ul>\n<p>Bis auf NeedMyPassword haben aber alle Hersteller ihre <strong>Software aktualisiert<\/strong> und die <em>Bookmarklet<\/em>-Funktion abgesichert.<\/p>\n<h3>So k\u00f6nnen Anwender sich sch\u00fctzen<\/h3>\n<p>Wer eine der betroffenen Anwendungen verwendet, sollte dringend auf die jeweils <strong>neuste Version aktualisieren<\/strong> oder gegebenenfalls auf die <em>Bookmarklet<\/em>-Funktion zum automatischen Ausf\u00fcllen von Anmeldefeldern im Browser verzichten.<\/p>\n<p>Passwort-Manager ohne diese Funktion sind nicht wie beschrieben angreifbar. Der Hersteller AgileBits von <a title=\"1Password f\u00fcr Windows herunterladen\" href=\"http:\/\/1password.softonic.de\/\" target=\"_self\" rel=\"noopener noreferrer\">1Password<\/a> hat die Bookmarklets-Funktion bereits 2011 <a title=\"AgileBits Agile Blog: Staying ahead with security \" href=\"http:\/\/blog.agilebits.com\/2011\/12\/01\/staying-ahead-with-security\/\" target=\"_blank\" rel=\"noopener noreferrer\">als unsicher eingestuft<\/a>.<\/p>\n<p>Trotz der aufgedeckten Sicherheitsl\u00fccke sollten Anwender nicht auf ihre bereits eingesetzten Passwort-Managern verzichten. Es lohnt sich aber, die Reaktionen der Hersteller zu beobachten: Wie bereits erw\u00e4hnt haben vier von f\u00fcnf ihre Anwendungen aktualisiert. LastPass empfiehlt Nutzern der Bookmarklet-Funktion, ihre Master-Passw\u00f6rter zu \u00e4ndern, falls die Software bereits vor September 2013 im Einsatz war.<\/p>\n<p>Am Beispiel des <a title=\"Heartbleed-Fehler: Die OpenSSL-Sicherheitsl\u00fccke betrifft noch unz\u00e4hlige Ger\u00e4te wie Router und Internetdrucker\" href=\"http:\/\/news.softonic.de\/heartbleed-fehler-die-openssl-sicherheitslucke-betrifft-noch-unzahlige-gerate-wie-router-und-internetdrucker\" target=\"_self\" rel=\"noopener noreferrer\">Heartbleed-Fehlers<\/a> geben wir eine Einsch\u00e4tzung ab, <a title=\"Heartbleed: Warum ein Passwort-Manager die richtige L\u00f6sung ist\" href=\"http:\/\/artikel.softonic.de\/heartbleed-warum-ein-passwort-manager-die-richtige-losung-ist-25-04-2014\" target=\"_self\" rel=\"noopener noreferrer\">warum ein Passwort-Manager die richtige L\u00f6sung ist<\/a>. Unser Vergleich stellt au\u00dferdem <a title=\"Passwort sch\u00fctzen: Passwort-Manager im Vergleich\" href=\"http:\/\/artikel.softonic.de\/passwort-schutzen-passwort-manager-im-vergleich\" target=\"_self\" rel=\"noopener noreferrer\">drei beliebte Anwendungen<\/a> gegen\u00fcber.<\/p>\n<p style=\"text-align: left\"><em>Dem Autor Jakob Straub auf <strong><a title=\"@jakobstraub auf Twitter folgen\" href=\"https:\/\/twitter.com\/jakobstraub\" target=\"_blank\" rel=\"noopener noreferrer\">Twitter<\/a><\/strong> und <strong><a title=\"Jakob Straub auf Google+ folgen.\" rel=\"author noopener noreferrer\" href=\"https:\/\/plus.google.com\/101955307964278377393\/\" target=\"_blank\">Google+<\/a><\/strong> folgen.<\/em><\/p>\n<h3>Downloads<\/h3>\n<ul>\n<li><a title=\"LastPass f\u00fcr Windows herunterladen\" href=\"http:\/\/lastpass.softonic.de\/\" target=\"_self\" rel=\"noopener noreferrer\">LastPass f\u00fcr Windows herunterladen<\/a><\/li>\n<li><a title=\"LastPass f\u00fcr Mac herunterladen\" href=\"http:\/\/lastpass.softonic.de\/mac\" target=\"_self\" rel=\"noopener noreferrer\">LastPass f\u00fcr Mac herunterladen<\/a><\/li>\n<li><a title=\"1Password f\u00fcr Windows herunterladen\" href=\"http:\/\/1password.softonic.de\/\" target=\"_self\" rel=\"noopener noreferrer\">1Password f\u00fcr Windows herunterladen<\/a><\/li>\n<li><a title=\"1Password f\u00fcr Mac herunterladen\" href=\"http:\/\/1password.softonic.de\/mac\" target=\"_self\" rel=\"noopener noreferrer\">1Password f\u00fcr Mac herunterladen<\/a><\/li>\n<li><a title=\"Dashlane f\u00fcr Windows herunterladen\" href=\"http:\/\/dashlane.softonic.de\/\" target=\"_self\" rel=\"noopener noreferrer\">Dashlane f\u00fcr Windows herunterladen<\/a><\/li>\n<li><a title=\"Dashlane f\u00fcr Mac herunterladen\" href=\"http:\/\/dashlane.softonic.de\/mac\" target=\"_self\" rel=\"noopener noreferrer\">Dashlane f\u00fcr Mac herunterladen<\/a><\/li>\n<\/ul>\n<p><strong> <\/strong><\/p>\n<h3>Passende Artikel<\/h3>\n<ul>\n<li><a title=\"Passwort sch\u00fctzen: Passwort-Manager im Vergleich\" href=\"http:\/\/artikel.softonic.de\/passwort-schutzen-passwort-manager-im-vergleich\" target=\"_self\" rel=\"noopener noreferrer\">Passwort sch\u00fctzen: Passwort-Manager im Vergleich<\/a><\/li>\n<li><a title=\"Heartbleed: Warum ein Passwort-Manager die richtige L\u00f6sung ist\" href=\"http:\/\/artikel.softonic.de\/heartbleed-warum-ein-passwort-manager-die-richtige-losung-ist-25-04-2014\" target=\"_self\" rel=\"noopener noreferrer\">Heartbleed: Warum ein Passwort-Manager die richtige L\u00f6sung ist<\/a><\/li>\n<li><a title=\"Sichere Passw\u00f6rter erstellen\" href=\"http:\/\/artikel.softonic.de\/sichere-passworter-erstellen\" target=\"_self\" rel=\"noopener noreferrer\">Sichere Passw\u00f6rter erstellen<\/a><\/li>\n<li><a title=\"Passwort-Diebstahl: Tipps und Tricks f\u00fcr maximalen Datenschutz\" href=\"http:\/\/artikel.softonic.de\/passwort-diebstahl-tipps-und-tricks-fur-maximalen-datenschutz-23-12-2013\" target=\"_self\" rel=\"noopener noreferrer\">Passwort-Diebstahl: Tipps und Tricks f\u00fcr maximalen Datenschutz<\/a><\/li>\n<\/ul>\n<p><em>Quelle: <a title=\"devd.me password manager report\" href=\"http:\/\/devd.me\/papers\/pwdmgr-usenix14.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">devd.me [PDF]<\/a> <\/em>|<em> <a title=\"LastPass Blog\" href=\"http:\/\/blog.lastpass.com\/2014\/07\/a-note-from-lastpass.html\" target=\"_blank\" rel=\"noopener noreferrer\">LastPass<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsexperten der Berkeley-Universit\u00e4t in Kalifornien haben eine schwerwiegende Sicherheitsl\u00fccke in der Browser-Version vieler Passwort-Manager offengelegt. Die beschriebene Schwachstelle l\u00e4sst sich ausnutzen, um an die gespeicherten Zugangsdaten zu gelangen. Zu den betroffenen Anwendungen z\u00e4hlen LastPass,\u00a0PasswordBox und\u00a0my1login. Fast alle Hersteller haben inzwischen Sicherheitsupdates ver\u00f6ffentlicht. Mehr Sicherheit durch Passwort-Manager Passwort-Manager bieten erh\u00f6hte Sicherheit, da Anwender f\u00fcr unterschiedliche Dienste &hellip; <a href=\"https:\/\/cms-articles.softonic.io\/de\/passwort-manager-schwachstelle-in-der-browser-version-vieler-anwendungen\/\" class=\"more-link\">Continue reading<span class=\"screen-reader-text\"> &#8220;Passwort-Manager: Sicherheitsl\u00fccke in der Browser-Version vieler Anwendungen&#8221;<\/span><\/a><\/p>\n","protected":false},"author":7038,"featured_media":56035,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","wpcf-pageviews":1},"categories":[3383],"tags":[358,1801,82,1138,251,822,710],"usertag":[],"vertical":[],"content-category":[],"class_list":["post-56029","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized","tag-1password","tag-bookmarklet","tag-browser","tag-lastpass","tag-passwort-manager","tag-sicherheitslucke","tag-sicherheitsupdate"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/posts\/56029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/users\/7038"}],"replies":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/comments?post=56029"}],"version-history":[{"count":0,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/posts\/56029\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/media\/56035"}],"wp:attachment":[{"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/media?parent=56029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/categories?post=56029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/tags?post=56029"},{"taxonomy":"usertag","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/usertag?post=56029"},{"taxonomy":"vertical","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/vertical?post=56029"},{"taxonomy":"content-category","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/content-category?post=56029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}