[English]Viele Nutzer verwalten ihre Kennwörter in Passwort-Managern. Sicherheitsforscher haben sich 11 beliebte Erweiterungen (1Password, LastPass, iCloud und weitere) genauer angesehen. Dabei wurden diese als anfällig identifiziert – wodurch Anmeldedaten, 2FA-Codes und Kreditkartendaten gefährdet sind.
Die Meldung wurde bereits vorige Woche öffentlich, denn der Sachverhalt war auf der Defcon präsentiert worden – ich stelle das Thema aber mal als Nachtrag im Blog ein. Ich bin über nachfolgenden Tweet von The Hacker News auf das Thema aufmerksam geworden.
Passwort-Manager stellen meist auch eine Browser-Erweiterung bereit, um ein Passwort aus dem Passwort-Speicher im Browser in die entsprechenden Eingabefelder eines Online-Kontos zu übermitteln.
Marek Tóth hatte sich die Frage gestellt, ob sogenanntes Clickjacking 2025 noch eine ausnutzbare Schwachstelle sei? Clickjacking ist eine Technik, bei der ein Angreifer die Darstellung einer legitimen Internetseite mit einer Kopie überlagert und dann der Nutzer dazu veranlasst, scheinbar harmlose Mausklicks und/oder Tastatureingaben durchzuführen. Diese Aktionen werden dann vom Angreifer aufgezeichnet.
Wenn ein Passwort-Manager die Zugangsdaten in eine Clickjacking-Seite eintragen würde, könnten diese von Angreifern leicht abgezogen werden, so der Schluss. Marek Toth hat sich 11 Passwort-Manager, die mit einer Browser-Erweiterung daherkommen, vorgenommen und genauer untersucht.
Dabei ist er auf eine neue Clickjacking-Technik gestoßen, bei der ein bösartiges Skript UI-Elemente manipuliert, die Browser-Erweiterungen in das DOM einfügen. Die UI-Elemente werden mithilfe von JavaScript unsichtbar gemacht, der Nutzer kann also eine manipulierte Webseite nicht erkennen.
In der Untersuchung der 11 ausgewählten Passwort-Manager, die als Browser-Erweiterungen verwendet werden, stellte sich heraus, dass alle für "DOM-basiertes Extension Clickjacking" anfällig waren. Millionen von Nutzern könnten gefährdet sein (Tóth schätzt es auf ~40 Millionen aktive Installationen). Hier seine Feststellungen:
- Ein einziger Klick an einer beliebigen Stelle auf der Website des Angreifers könnte Kreditkartendaten einschließlich Sicherheitscodes (6 von 9 getesteten Produkten waren anfällig) oder gespeicherte persönliche Daten (8 von 10 getesteten Produkten waren anfällig) preisgeben.
- Alle Passwort-Manager füllten Anmeldedaten nicht nur für die Hauptdomain der besuchten Webseite, sondern auch für alle Subdomains aus. Ein Angreifer konnte leicht XSS- oder andere Schwachstellen finden und mit einem einzigen Klick die gespeicherten Anmeldedaten des Benutzers stehlen (10 von 11), einschließlich TOTP (9 von 11). In einigen Szenarien konnte auch die Passkey-Authentifizierung ausgenutzt werden (8 von 11).
- Alle Schwachstellen wurden im April 2025, mit dem Hinweis, dass die öffentliche Bekanntgabe im August 2025 erfolgen wird, an die Entwickler gemeldet.
- Einige Anbieter haben die beschriebene Schwachstelle noch nicht behoben: Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, LogMeOnce. Benutzer dieser Passwort-Manager sind möglicherweise weiterhin gefährdet (~32,7 Millionen aktive Installationen).
Für Benutzer von Chromium-basierten Browsern wird vom Sicherheitsforscher empfohlen, den Zugriff auf Websites in den Erweiterungseinstellungen auf on-click zu konfigurieren. Diese Konfiguration ermöglicht es Benutzern, die Autovervollständigungsfunktion manuell zu steuern. Weitere Details sind im Beitrag DOM-based Extension Clickjacking: Your Password Manager Data at Risk von Marek Tóth zu finden. Zum 22. August 2025 hat er in einem Nachtrag geschrieben, dass folgende Produkte immer noch problematisch seien:
- Bitwarden: 2025.8.1 (in progress), <=2025.8.0 (vulnerable)
- Enpass: 6.11.6 (fixed) – released: 13.8.2025, <=6.11.5 (vulnerable)
- KeePassXC-Browser <=1.9.9.2 (latest) is vulnerable
The Hacker News hat die Details in diesem Beitrag veröffentlicht. Ein deutschsprachiger Beitrag findet sich bei heise.
MVP: 2013 – 2016
Tja, Passwortmanager sind zwar bequem, aber imho verschlechtern die die Sicherheit, da man nur den Passwortmanager kompromittieren muß, um an ALLE darin gespeicherten Passwörter zu gelangen.
Ohne Passwortmanager muß man das für jedes Passwort einzeln machen.
Ich verwende deswegen keinen Passwortmanager und speichere Passwörter auch nicht im Browser (der in dem Fall ja auch ein Passwortmanager ist).
Dann hast du entweder nicht viele Logins oder keine wichtigen.
Sowhl Privat als auch auf der Arbeit. Oder wie verltet man sonst die Kennwörter von ca 100 Kunden?
Brain.exe?
Papier?
Ich habe für sicherlich 30-40 Konten die Zugangsdaten im Kopf.
Alle unterschiedlich und keine Ähnlichkeiten.
Keine "sprechenden" Passwörter.
Als Backup stehen alle Passwörter und Zugangsdaten auf einem Blatt Papier, das an sicherer Stelle verwahrt wird (in der Firma für die entsprechenden Konten im Safe, auf den nur die GL Zugriff hat).
Meine Passwörter sind, soweit vom "Gegner" erlaubt, normalerweise 25 Zeichen lang (ich kann den pwgen-Befehl mit Parametern hier nicht eintragen, weil die spitzen Klammern nicht gecastet werden):
"4xYEi3V-M44HFHUaJN7gmhsjX"… Wie soll ich mir sowas merken? Ich beneide Dich, wenn Du das 30-40 mal kannst – aber nur ein wenig, denn man muss sich nun wirklich nicht alles merken, sondern nur, wo es steht ;)
So sehen meine Passwörter auch aus, sind aber mit 15 Stellen etwas kürzer. Und ich nutze auch Umlaute.
Da die meisten Passwortgeneratoren aus englischsprachigen Ländern stammen, kennen die natürlich nationale Zeichen wie z.B. é, š, ø und die deutschen Umlaute und das ß nicht.
Und Brute-Force Attacken nutzen meist auch nur den englischen Zeichensatz.
Daher ist es keine schlechte Idee, auch solche Zeichen im Passwort zu verwenden, die dort nicht vorkommen.
Und je häufiger man ein Passwort nutzt, desto leichter kann man sich das merken.
So nach 2-3 Monaten kenne ich die Passwörter dann auswendig.
Bis dahin wirds vom Zettel abgelesen.
"So nach 2-3 Monaten kenne ich die Passwörter dann auswendig.
Bis dahin wirds vom Zettel abgelesen."
Klasse Lösung. Nur max 15 Zeichen, geht nur bei regelmäßiger Nutzung und liegt ansonsten im Klartext vor. Da kann ja gar nix passieren…
Was soll passieren?
Hacker müssten bei mir zu Hause vorbeikommen und den Haussafe aufbrechen, um an den Zettel mit den Passwörtern zu kommen.
Und mehr als 15 Stellen braucht es auch nicht.
Um ein Passwort mit 14 Stellen und Groß-Kleinschreibung, Zahlen und Sonderzeichen braucht es selbst beim Einsatz von 20.000 A100 Tensor-GPUs (Die Hardware, die von ChatGPT-4 benutzt wird) satte 52 Mrd. Jahre!
Und mit 15 Stellen erhöht sich die Dauer noch einmal erheblich auf 3.000 Mrd Jahre.
In der Berechnung wurden auch nur die Sonderzeichen ^*%$!&@ und # berücksichtigt.
Nutzt man noch andere Sonderzeichen, Umlaute, etc. verlängert sich die Zeit zum Knacken des Passworts deutlich.
Längere Passwörter als 15 Stellen bietet daher keine praxisrelevanten Sicherheitsvorteile.
Bei KeepassXC ist es ohne Probleme mögliche, dass Passwörter mit allen möglichen Sonderzeichen erstellt werden. Das nennt sich Extended ASCII. Ich würde vermuten, dass das bei anderen Passwortmanagern genauso möglich ist.
Umlaute sind tatsächlich eine schlechte Idee für Passwörter, da die Repräsentation letztlich vom gewählten Zeichensatz abhängig ist. Viel sinnvoller ist es, einfach ein paar zusätzliche Zeichen zu verwenden, anstatt vermeintlich "diese Zeichen wird schon keiner ausprobieren" als Grundlage für Sicherheit zu wählen.
Es tut mir leid, aber da muss ich widersprechen – und zwar deutlich.
Umlaute in Kennwörtern zu verwenden, die eventuell in einer Remote- oder Web-Konsole eingetippt werden müssen (oft nur englische Tastaturbelegung aktiv), ist schlichtweg eine schlechte Idee. Damit schafft man sich unnötige Probleme.
Ein weiterer Punkt: Auch wenn jemand angibt, sich 30 Passwörter merken zu können – das reicht bei weitem nicht. Aus meiner beruflichen Praxis von fast 20 Jahren habe ich heute über 800 private Passwörter im Manager und zusätzlich knapp 600 geschäftliche Accounts, die ebenfalls mit einem Password-Manager verwaltet werden. Wer das im Kopf („brain.exe") abbilden will, landet zwangsläufig bei Mustern oder – noch schlimmer – bei Wiederverwendung von Passwörtern.
Und um Missverständnisse zu vermeiden: Passkeys sind von diesem Problem überhaupt nicht betroffen. Aber vielleicht sollte man sich erst einmal fragen: Kann „brain.exe" überhaupt Passkeys verwalten oder generieren? Wohl kaum.
Deshalb mein Appell:
Bitte verwirrt die Leser nicht mit seltsamen Empfehlungen. Ein seriöser Passwort-Manager ist in jedem Fall besser geeignet als irgendwelche Gedächtnis-Experimente.
Also Passwörter im Kopf ist total unrealistisch, gerade bei 200+ Zugängen und wenn man diese nicht oft braucht. Auch im "Vertretungs"fall… Im Normalfall hat man allein für das Bankkonto schon 2 oder 3 Passwörter/Pins, wobei ich diese auch nicht im Passwortmanager habe.
Auch muss man schon wieder davon ausgehen, dass die Passwörter nicht wirklich gut/perfekt sind, da man vermutlich irgendwelche Eselsbrücken nutzt? Erstellst du erst irgendein random Passwort und denkst dir dann eine Eselsbrücke aus?
Ich gehe aber total mit, dass Papier da noch die beste Lösung ist. Irgendwo muss es stehen. Zumindest für den Privatgebrauch, im Betrieb schon wieder relativ unrealistisch.
Glückwunsch. Dann hoffen wir mal, dass du nie im Stress bist und deine Brain.exe auch im Alter noch fit bleibt.
Falls nicht wünsche ich dir ganz viel Spaß beim Diskutieren mit deiner Bank, wenn du deine Zugänge nicht mehr weißt.
Für normale Menschen jedenfalls völlig unpraktikabel.
Ich bin ganz bei Dir.
Und wie will man Passworte teilen mit Kunden?
Ganz klassisch telefonieren?
Gar nicht?
Passwörter teilt man nicht!
Wenn Kunden zu irgenetwas Zugang brauchen, dann erstellt man für die einen separates Konto mit eigenem Passwort.
Genau deswegen verwende ich nur brain.exe als Passwortmanager.
Halte ich für schwierig – Schlaganfall, schwere Erkrankung, schon ist man digital ausgesperrt. Wenn dann wichtige Konten für die Familie nicht mehr zugreifbar sind, wird es schwierig. Hier bei mir gibt es daher Papierdokumente.
Darf ich fragen, wie Du sicherstellst, dass diese Dokumente einerseits nicht z.B. einem Einbrecher die Hände fallen, andererseits aber gewährleistet ist, dass sie im Fall des Falles gefunden und interpretiert werden können? Oder bin ich da zu neugierig?
Also wenn Dir das nicht selber einfällt, solltest Du so komplizierte Dinge wie PCs erst gar nicht bedienen wollen.
Eine wirklich gute Lösung, die zugleich (1) einbruchsicher ist, (2) im Notfall (und nur dann) für ausgewählte andere zugänglich und (3) zugleich leicht änderbar oder ergänzbar ist, ist mir da tatsächlich noch nicht eingefallen.
Mein Testament und meine Patientenverfügung kann ich bei einem Notar hinterlegen; ein Passwort will ich vielleicht ab und zu mal ändern, dann wird das aufwendig. Ein Safe wird nicht nur Einbrecher magisch anziehen, ich habe auch nicht viel gewonnen, weil ich mir dann Kombination oder Versteck des Schlüssels merken und im Fall des Falls kommunizieren können muss. Und eine andere Person als „Gedächtnis-Backup" hätte eben auch dann Zugriff, wenn sie den vielleicht (noch) nicht haben soll, bzw. läuft umgekehrt Gefahr, das zu vergessen, wenn sie es jahrzehntelang nicht braucht.
Vielleicht hast Du ja eine gute Lösung?
P.S.: Im Moment mache ich es so, dass ich eine garantiert nur mir verständliche Gedächtnisstütze offen auf dem Schreibtisch liegen habe. Aber das würde halt nur im Falle einer (möglicherweise temporären) Gedächtnislücke helfen, nicht hingegen, wenn mein Gedächtnis komplett weg ist oder ich handlungsunfähig bin.
Eine Idee: Safe mit mechanischem Schloss, dessen Schlüssel oder Zahlenkombination man für Notfälle andernorts aufbewahrt und die Vertrauensperson informiert.
Und wenn im Safe dann noch statt Papier ein verschlüsselter Datenträger liegt, dessen Kennwort auch andernorts deponiert ist, kann der Einbrecher nicht viel anstellen, selbst wenn er den Safe knackt.
Ein kleiner Erfahrungsbericht zum Thema Safe. Wenn Einbrecher einen Safe finden, wird der einfach mitgenommen. Auch wenn der Safe 300 Kilogramm wiegt und fest montiert wurde und darin nur 200 € zu erwarten sind. Auch wenn es irre laut ist und eine Menge Zerstörung hinterlässt. So geschehen in einem Ladengeschäft unter einem 13 Stöckigen Hochhaus an einer Hauptstraße, wo nur zwei Straßen weiter eine Polizeiwache ist. Der Safe wurde zwei Wochen nach dem Einbruch in einer anderen Filiale mitgenommen. Da wurde ein 200 Kilo frei stehender Safe mit ebenfalls nur 200 € mitgenommen. Daher wussten die Einbrecher, was da zu erwarten war.
Ok dann mal Butter bei die Fische… Wie oft ist den bei dir eingebrochen worden und der Safe geknackt/mitgenommen? Und wie oft werden Sicherheitslücken gefunden?
Also ich hatte in über 40 Jahren 1x einen Einbrecher, der kam genau bis in den Wohnungsflur dann wurde der gestellt von meinen 2 Mastino Napoletano Rüden, der stand da mehrere Stunden mit eingeschissener Hose mit dem Rücken zur Wand, bis ich nach Hause kam die Polizei rief und den direkt übergeben konnte… zum Safe ist der nicht mal ansatzweise gekommen.
Ladengeschäfte mit Safe ohne Alarmanlage ist so der typische Fall von am falschen Ende gespart! Frei stehender Safe ebenso.
"Also ich hatte in über 40 Jahren 1x einen Einbrecher, der kam genau bis in den Wohnungsflur dann wurde der gestellt von meinen 2 Mastino Napoletano Rüden, der stand da mehrere Stunden mit eingeschissener Hose mit dem Rücken zur Wand, bis ich nach Hause kam die Polizei rief und den direkt übergeben konnte… zum Safe ist der nicht mal ansatzweise gekommen"
Geschichten aus'm Paulanergarten 😅
Dann ist die Safeintallation falsch!
Einen Safe stellt man nicht frei auf.
Der muß zwingend mit dem Mauerwerk fest verbunden werden.
Wird dann halt die Wand mitgenommen.
Bei einem bekannten: Safe aus der Wand gerissen) trotz ausgebildeten Schutzhund), sein Auto geklaut und dann damit das "Zigarettenlager" einer in der Nähe befindlichen Tankstelle leergeräumt.
Das Auto wurde dann 2 Wochen später auf einem Acker ca. 300 km weiter gefunden. Totalschaden.
Im Safe war nix drin, aber schade um den schönen BMW M5. Die Zigaretten waren vieleich paar hundert DM wert.
Papierform mit Strichcode-Leser hat sich bei uns bewährt. Das sollte allerdings bei Abwesenheit nicht aufm Schreibtisch liegen. Auch selbstgestrickte PW-Manager mit Verschlüsselung über den NFC-Ausweis sind interessant, da sie einen individuellen Angriff benötigen.
Gegen den Abgriff mithilfe gefälschter Eingabefenster
hilft das aber auch nicht.
Du sprichst als Privatperson. Natürlich hast du Recht: So wie die Firewall, der Mailserver, der AD oder sonstige zentrale Elemente, ist auch ein Passwort-Manager eine hyper-kritische Infrastruktur. Hier muss man sehr, sehr sorgfältig auswählen und immer wieder die Sicherheitsstruktur hinterfragen.
Du bist keine Firma und hast vergleichsweise wenige Logins. Bei uns in der Firma sind derzeit > 400 Logins im Gebrauch. Das geht nicht ohne Passwort-Manager.
In einem Unternehmen sollte man zudem keinen PC-lokalen PM nutzen, da es sonst jedem Mitarbeiter möglich ist, beim Abgang den ganzen Tresor mitzunehmen. KeePass fällt für Firmen somit raus. Da darfst du mehrere Menschen hinsetzen, die schnellstmöglich alle Passwörter ändern, sobald jemand die Firma verlässt. Idealerweise hat man in einer Organisation eine Lösung, bei der die Nutzer Passwörter nur ausfüllen, aber nicht sehen können. Und eine integrierte Verwaltung für Gruppen- und Nutzerrechte, die den Zugriff auf das Nötigste beschränkt.
> KeePass fällt für Firmen somit raus.
Kann man so sehen. Ich arbeite bei einem Konzern mit eigener IT GmbH, Sind ca. 350 Mitarbeiter in der IT. Die Fluktuation ist recht hoch. Auch bedingt durch unsere Personalabteilung (statt Personalgeewinngung sorgt man für Personalschwund). Dabei wurde extra eine Mitarbeiterin zur Personalgewinnung eingestellt. – Ich schweife ab.
Tatsache ist, daß wir KeePass nutzen. Okay jede Abteilung / Team hat sein eigenes KeePass. Eigene Silos halt. Aber ich habe noch nicht mitbekommen, daß nachdem ein IT Mitarbeiter das Unternehmen verlassen hat, die Passwörter geändert wurden! :-(
Hatte diese Sicherheitslücke mat in der Mitarbeiterbesprechung angesprochen. Danach durfte ich dann bei der Geschäftsleitung antanzen! Was mir einfallen würde. Habe denen dann mehrere Informationen von Landes- / Bundesdatenschutzbeauftragten vorgelegt. Und auch hingewiesen, daß ich das BSI informieren kann.
Dann war Stille. Ich bin immer noch im Unternehmen. Und auch im Betriebsrat und im Wirtschaftsausschuß.
Zu guter Letzt man denkt darüber nach die einzelnen KeePass Silos durch einen gemeinsamen Passwort Manager abzulösen.
Und jetzt?!
"[…] Und auch im Betriebsrat und im Wirtschaftsausschuß."
DAS ist wahrscheinlich die einzige Motivation, warum man Dich noch "duldet".
Bspw. würd' ich in so einem Unternehmen eher nicht mehr beschäftigt sein wollen.
Das zeigt ja auch die Ignoranz, mit der allerorten solch "unbequemen" Mitarbeitern sowie ihren "Hinweisen" gegenüber agiert wird.
Ich wär' da sogar destruktiv veranlagt und würd' ganz den von @Luzifer oder @Tomas Jakobs hier öfter postulierten Extremkonsequenzen für solche Unternehmen beipflichten, denn das sind die, die Qualität zugunsten von Gewinnmaximierung billigend aus dem Land vertreiben.
Das mag dann für die Beschäftigten jeweils pesönlich äußerst mißlich sein, aber vllt. entwickelt sich dann mal wieder mehr Bewußtsein für die Verantwortlichkeiten und dem "Kapitalismus-bis-ins-Endstadium-um jeden-Preis"-Narrativ wird etwas Einhalt geboten.
Es muß halt – leider – immer erst schlechter werden (und fatal schmerzlich sein), bevor es besser werden kann! 🤷♂️
Btw.:
War auch mal in so 'nem "großen" Unternehmen (dt. Traditions-Global Player) mit eigener IT-Tochter – hab' ich genau wegen zumind. aus meiner Sicht solch vorsätzlich begangener Inkonsistenzen verlassen.
Es kommt wie bei vielem anderen auch darauf an wie man mit dem Produkt umgeht. Das eine Browsererweiterung perse ein gewisses Sicherheitsrisiko darstellt, ist hoffentlich jedem klar.
Ohne die Browsererweiterung ist der Passwortmanager auch nichts anderes wie ein großer Zettel im Tresor entsprechend geschützt mit 2FA, Passwort, ggf Fido2 da gibt es ja schöne Optionen.
Die Pauschalisierung stößt mir etwas auf und die Aussage ich habe meine Passwörter im Haussafe, wenn das für dich funktioniert gern, aber sicherer macht es das nicht.
Doch, denn um den Safe zu knacken, muß jemand persönlich vorbei kommen.
Bei einem Passwortmanager muß niemand persönlich vorbei kommen.
Der greift den online ab und knackt den dann ganz in Ruhe.
Auf den genutzen Systemen und im Browser die PW zu speichern war von jeher ne dumme Idee! Nur siegt halt bei den meisten Leuten die Bequemlichkeit gegenüber Sicherheit.
Von daher: wayne?
Das es dumm ist Passwörter im Browser zu speichern hat die Linus Media Group am eigenen Leib erfahren.
Wenn ich mich richtig erinnere, wurde damals das Session Cookie mithilfe von Malware gestohlen. Damit braucht man dann kein Passwort mehr und 2FA hilft auch nichts, leider.
Und das hat mit den Lücken jetzt genau was zu tun?
Wenn du nicht betroffen bist: wayne.
Alles doof ist leider kein gutes Argument. Was sind denn Alternativen?
Ich stelle immer wieder fest, dass der Otto-Normal-User sich nicht an Passwort Manager gewöhnen kann. Die beste Integration hat hier Apple hinbekommen, da es einfach alle Passwörter im Schlüsselbund, und jetzt in der Passwort-App speichert. Also by design.
Sonst ist es wirklich schwer Usern einen Passwort Manager beizubringen. Es bleibt dann eher beim Browser oder bei Excel.
Nicht wenige User vertrauen einfach keinen Passwort Managern…
Eher: Die Leute wollen sich nicht damit beschäftigen und nehmen einfach lieber ein simples Passwort und dies auch möglichst überall. Die Masse meldet sich blind bei jedem Dienst für jeden Mist an, gibt alles bis zur DNA bereitwillig weiter und beim PW Manager ist es plötzlich fehlendes Vertrauen? Klar.
ein sauberes kleines Büchlein mit Stift ;-P zum Beispiel. lässt sich auch im Safe deponieren wenn du diesbezüglich bedenken hast. Ist halt nicht bequem!
Ich handhabe das so: ich habe nur ein PW was ich mir merken muss und trotzdem für jeden Dienst nen eigenens PW.
Mein PW besteht aus dem HauptPW ausreichend lang und mit Groß/Kleinschreibung/Zahlen/Sonderzeichen daran wird der Dienst angehängt im Klartext und daran nochmals der Dienst nach meinem Algorythmus verschlüsselt.
Merken muss ich mir also das HauptPW plus den Algorythmus… mehr nicht!
Für den Notfall: Schlaganfall etc. nach Tod für die Hinterbliebenen liegt das entsprechend notiert im Safe! inkl. ne Liste bei welchen Diensten ich aktiv bin.
Damit kann ich mit Hunderten von PW jonglieren und muss mir doch nur Zwei Kombonenten merken. Funzt Prima! Hacker haben nur insofern ne Chance das sie einzelne PW bei Kompromitierung abgreifen könnten in dem Moment wo ich sie eingebe. Andersweilig null Chance.
Naja sind 2 HauptPW, da ich das Privat/Geschäftlich trenne ;-P
Schafe ich aber auch in meinem Alter noch mit links!
Safety first convenience second und trotzdem ausreichend bequem.
Natürlich auch überall wo möglich 2FA aktiviert.
**********************************************
Sonst ist es wirklich schwer Usern einen Passwort Manager beizubringen.
**********************************************
wie dieser Vorfall ja gerade zeigt nur trügerische Sicherheit, keine echte!
Passwort Manager sind bequem nicht sicher! Kapiern die Leute nur nicht.
Aber heh, jeder wie er es verdient…
So ähnlich habe ich es auch… aaaaber: Algorythmus hin-oder-her. Viele Dienste zwingen den User (zurecht) sein Passwort regelmäßig zu ändern. Beim ersten Mal ist alles sexy, danach geht das nicht auf.
Eine regelmäßig ausgedruckte Passwort Liste und ein Passwort Manager sind IMHO alternativlos…
Na da hab ich wohl Glück, keiner der Dienste die ich nutze zwingt mich zu nem regelmässigen PW-Wechsel. ;-P
Das regelmässiges PW-Wechsel die Sicherheit signifisant erhöht ist längst wiederlegt.
Dafür kann man sich etwas zurecht legen, z.B. an irgendeiner Stelle im Passwort ein Zeichen, das man durch rotiert.
Z.B. beim initialen Passwort steht da eine 0, bei der 1. Passwortänderung eine 1 etc. bis 9 und dann gehts wieder von vorne los.
Oder a, b, c, oder etwas aus der Reihe a, z, b, y, c, x……
Dann entstehen halt Passwörter wie (sinngemäß) "Dubistsaublöd" … noch eine Zahl? Dann halt "Dubistsaublöd0825" (damit man das im nächsten Monat auf …0925 ändern kann). Wer solch anachronistischen, längst überholten Regeln noch aktiv betreibt hat es nicht anders verdient.
Sonst halte ich es auch wie Luzifer: Eine Standard-Passphrase (die an sich schon sicher ist), nach einem (mir bekannten) Algorithmus dienstabhängig modifiziert. Somit ist man gegen potentielle Risiken wie im Artikel gesichert (ist ja nicht gespeichert, kann nicht eingefügt werden, auch der Tresor ist irrelevant), auch ein Passwort-Leak eines Dienstes kompromittiert auch nur das eine (ein Durchprobieren der Login-Passwort-Kombi bei anderen Diensten schlägt fehl). Auch ist es geräteunabhängig – ich kann am Rechner von Frau, Sohn, Eltern, whatever sitzen und mich einloggen, ohne irgendwelche Tools zu haben, Tresore zu synchronisieren…. Das einzige Risiko ist, wenn jemand mehrere meiner Passwörter erhält und dann mittels etwas Grübeln den Algorithmus knackt. Dann ist der Schaden so, als wenn jemand das Master-Passwort meines Tresors mitbekommen hat. Und die Top-10 der sicherheitsrelevantesten Dienste in Bezug auf Identität, Gesundheits- und Bankdaten (also was wirklich sicher sein muss) haben alle individuelle, lange Passwörter, die ich mir gemerkt habe.
Mittels etwas Grübeln? Übeltäter lassen KI grübeln, geht schneller!
Wer Algorithmus schon falsch schreibt, sollte mit seinen Passwörtern vorsichtig umgehen…
Wie machst Du es mit dem Büchlein, wenn Du Dich unterwegs auf dem Smartphone bei einem Dienst einloggen musst? PartnerIn anrufen und bitten das Büchlein aus dem Safe zu holen und das Kennwort vorzulesen?
Ich finde leider die Quelle nicht mehr, aber wenn ich es noch richtig im Kopf habe, reichen 5-6 algorithmische Passworte mit den dazugehörigen Diensten um dahinterzukommen.
"Aber heh, jeder wie er es verdient…"
Bist du mittlerweile der zweite Tomaa Jakobs?
Immer diese nervigen Pauschalisierungen, jeder der nen Passwort Manager nutzt ist doof und hat es nicht anders verdient…
Schade, dass man deine Posts hier nicht ausblenden kann:/
Man kann posts hier ausblenden: mit ublock origin:
http://www.borncity.com##:xpath(//div[contains(@id,"comment-") and .//cite[contains(@class,"fn") and text() = "username_hier_eintragen"]])
Danke, mal testen, AddOn ist ja schon ne Weile im Einsatz
Was für dich funktioniert, muss also auch für die ganze Welt funktionieren… Und gut, dass du so viel schlauer bist wie der Rest der Welt. Ich frag mal meinen Chef, ob du unser CTO werden kannst.
Privat kann man deine Methode verwenden, aber sie taugt nichts für irgendeine Organisation.
Habe ich da jetzt etwas überlesen oder ist das inhaltlich eher Clickbait (zumindest in der Überschrift)?
Anfällig sind ja nicht die Passwort-Manager an sich, sondern "nur" die zugehörigen Browsererweiterungen, damit man möglichst bequem in Webanmeldeformulare seine Daten übertragen lassen kann.
Ist natürlich nicht schön, ist aber tatsächlich auch keine Neuigkeit. Das Problem mit den Schnittstellen via Browser-Extension ist seit jeher in der einen oder anderen Form bekannt und vorhanden. Daraus sind dann so Früchte wie "native messaging" und so entstanden.
Das größte Problem hier ist nach wie vor "Bequemlichkeit vs. Sicherheit". Zwei Seiten derselben Waage – ist die eine Seite oben, ist die andere unweigerlich unten. Und wenn man auf der Bequemlichkeitsseite das Ziel hat, dass ein User mit nur einem Klick eingeloggt wird, dann kostet das halt Sicherheit. Eine gewissen "Unchärfe" ist hier halt nötig, damit Anmeldeseiten domainspezifisch korrekt erkannt werden.
Ich bezweifle auch, dass das "einseitig" durch die Passwortmanager behoben werden kann – erschwert durch mehr Klicks: ja klar, aber das ist dann wieder nur ein Gewöhnungseffekt und irgendwann klicken User halt fünf statt einmal blind auf den Button.
Wenn die Angriffsvektoren eher XSS und Ähnliches sind, dann sind eher die Seitenbetreiber in der Pflicht, Methoden dagegen zu implementieren, bspw. CSPs etc.
Vielleicht können auch die Browser irgendwann mal solche dafür benötigten Techniken abschalten oder irgendwie erkenntlich machen – gerade der Browser "weiß" ja am ehesten, von welcher Quelle welche Inhalte geladen wurden.
Am Ende gibt es aber – wie immer – eh keine absolute Sicherheit.
Auch sowas wie (erweiterungsloses) Autotype (wie beim Originalen KeePass2) hilft ja nicht, wenn dann halt die Daten per "virtueller Tastatur" in gefälschte Anmeldefelder übermittelt werden.
Oder der Klassiker: Zwischenablage. Die auch von Websites ausgelesen werden kann (manche Browser fragen zwar einmalig, aber technisch geht es halt einfach), oder die viele Leute heutzutage auch "cloudbasiert syncen". Ob es dann so viel besser ist, wenn kurzzeitig kopierte Passwörter, am besten noch mit dem vorher kopierten URL in zeitlicher Nähe im Klartext im Zwischenablagen-Verlauf zu haben… ich weiß ja nicht.
Ich will das Problem hier nicht wegreden – aber es ist weder neu, noch eine Sensation oder eine neue Gefährdung.
> Ich will das Problem hier nicht wegreden – aber es ist weder neu, noch eine Sensation oder eine neue Gefährdung.
Na und? Das könnte man bei jeder Sicherheitslücke sagen.
Es müssen mehrere Dinge zusammen kommen. Zum einen muss man ein verwundbares Browser-Plugin haben. Dann muss die Zielseite mit dem Login eine XSS-Lücke haben. Und dann muss jemand, z.B. per Phishing Link, die XSS-Lücke ausnutzen.
Ich will das Riskio damit nicht kleinreden. Es ist gut darauf hinzuweisen und Gegenmaßnahmen zu ergreifen. Nur ist die Lücke nicht so dramatisch, wie es in vielen Berichten dargestellt wurde. Und als Gegenmaßnahme reicht es erst einmal, das Autofill im Browser-Plugin abzuschalten. Was ohnehin eine gute Idee ist, da man sonst auf manchen Loginseiten bei jedem Logout sonst automatisch wieder eingeloggt wird.
Tipp: Bei jedem grossen Desaster kamen allermeist mehrere Dinge zusammen…
Noch sicherer als übliche PW-Manager dürften Anwendungen sein, hinter denen keiner vermutet, dass dort Passwörter gespeichert sind. Ich verwende z.B. für sämtliche meiner Passwörter einen schlichten Texteditor, der als EXE-Datei die Daten verschlüsselt und mit Passwort gesichert ist. Diese EXE-Datendatei selbst ist mit einem unverdächtigen Dateinamen in den Tiefen der Ordnerstruktur versteckt, wo man sie als solche nicht vermutet. Selbst in der Datei wäre für einen Fremden durch starke Abkürzungen nicht erkennbar, für welchen Dienst das jeweilige Kennwort gilt. Das Passwort für den Dienst wird dann händisch eingegeben. Das ist zwar nicht so bequem, aber IMHO doch sehr viel sicherer.
Den Dienst selbst starte ich automatisiert aus Excel heraus per VBA, wobei ein anderes Browserprofil verwendet wird als das des übliches Surfens. URL und Alias gelangen dabei auf unterschiedlichem Weg zum Browser. Auch diese Excel-Datei ist mit einem starken Passwort gesichert.
Wo es möglich war, ist 2FA aktiviert.
Bei dieser Methode bin ich zwar an den heimischen PC gebunden, für den Notfall unterwegs habe ich mir ein anderes System ausgedacht, das ebenso sicher sein dürfte.
Die Sicherheit erhöht sich eben auch dadurch, dass man nicht Mitläufer einer Vielzahl von Anwendern ist.
Und wie sicherst du deine EXE-Datei? Hast du ein Backup davon, welches nicht auf deinem PC liegt?
Hast du kein (verschlüsseltes) externes Backup deines Rechners?
Nein, wäre aber interessant. Wie ist das bei dir denn aufgebaut? Irgendwelche Tipps, wie man es einfach und praktikabel realisieren kann?
Einfach eine Systemdatei kopieren, mit den Daten füllen und dann im Nachhinein mit falscher Endung und ähnlichen Dateinamen irgendwo in Windows abspeichern.
Aber beachten, dass Windows die zuletzt bearbeiteten Dateien im Dokumentenordner zwischenspeichert (Kann man für einzelne Dateien abstellen) und die Bearbeitungssoftware evtl. auch eine Liste zuletzt geöffneter Dateien hat.
Man darf auch nicht vergessen, dass Dateien ein Zugriffs- und Bearbeitungsdatum haben!
Auch hier wieder: Funktioniert nur für eine einzelne Privatperson, aber nicht für eine Organisation. Es ist ein wenig ermüdend, wenn einem ständig Privatpersonen erklären wollen, dass sie doch die ultimative Sicherheitslösung gefunden haben und alle die Passwort-Manager nutzen einfach nur doof sind.
Es ist immer wieder erstaunlich, wie vielen Menschen die Fähigkeit zur Abstraktion von ihren eigenen Bedürfnissen fehlt.
Hast Du vergessen, dass hier auch Privatpersonen mitlesen, die vielleicht Alternativen suchen und für Anregungen dankbar sind?
@R.S. 1+
So ähnlich mache ich es seit mind. 15 Jahren.
War ja nur eine Frage der Zeit bis Sicherheitslücken in Passwortmanagern auftauchen – wundere mich nur, dass es so lange gedauert hat.
Und:
– Passwörter und deren Liste haben auf Online-Rechnern nichts zu suchen,
– Cache u. Browserverlauf sind nach Abmeldung zu löschen,
– Paste u. Copy verboten,
– bei 98% der Nutzer dürften keine Passwortliste vorhanden sein, geschweige denn notiert sein, mit welcher Mailadresse im einzelnen kommuniziert wird,
– Inhalt der Liste: Zugangsnamen, PW, wann angemeldet/abgemeldet (nicht Login/Logout gemeint), wann wie geändert, "verbundene" Mailadresse u wann wie geändert, Besonderheiten z.B. Browsereinstellungen, NoScript- od. uBlockOrigin-Freigaben, 2FA, xTAN, Generator usw.
Da dürfte bei manchen – leider nur einigen wenigen ;-( – jetzt Arbeit anstehen.
Was soll's – altersbedingt fast nicht mehr mein Problem.
Gut, dass ich meinen eigenen Passwort-Manager hoste und die Browser-Addons aus Prinzip nicht nutze.
Bevor jemand fragt: Vaultwarden (Fork von Bitwarden)
Ist übrigens genauso betroffen, da das selbe Addon im Browser genutzt wird, wenn man es denn nutzt.
Weiß jemand, ob die Browser-Erweiterung für Nextcloud Passwörter (Passwords) ebenfalls betroffen ist?
Warum wird hier so gegen Passwortmanager angegangen? Wenn ich es richtig verstanden habe, ist die Gefahr doch diese, dass diese gefakte Seite Eingaben aufzeichnet. Da ist es doch egal, ob das Passwort automatisiert durch ein Plugin oder persönlich eingegeben werden muss. Deswegen schmunzel ich über User hier, die ihre Passwörter mit Brain.exe verwalten. Ist ja schön, aber wenn die Webseite kompromittiert ist, spielt es keine Rolle, von welchem Speicher das Passwort herkommt.
Der Vorteil des Passwortmanagers ist für mich, dass jedes Passwort individuell und nicht auf andere Passwörter ableitbar ist. Sollte ein Passwort bei einem Dienst kompromittiert werden, kann der Hacker daraus nichts ableiten.
Darf ich jetzt kurz fragen… ist sicher, dass nur die Erweiterungen das Problem sind?
Bisher kann ich leider gar nichts zur Autofill-Funktion von Chrome oder FF finden.
Bedeutet das jetzt, dass das Problem dort nicht besteht
oder dies bisher noch nicht getestet wurde?
Wir sind gerade vom CISO im Auftrag zu prüfen,
– ob wir nur die Auto-Fill Funktion beim Browser deaktivieren sollen?
– bzw. ob damit aber auch das Auto-Fill-Feature der Erweiterungen deaktiviert ist?
– ob wir alle Password-Manager Erweiterungen deaktivieren sollen
Was sind bei euch die Mitigations dazu?
Danke :)
Wir haben gerade den Test mit dem Google-integrierten Password-Manager gemacht. Dort gibt es die Möglichkeit unter Einstellungen, die zwei Funktionen zu aktivieren oder deaktiveren:
*"Für die schnelle Anmeldung Passkey automatisch…"*
Websites und Apps können vorhandene Konten automatisch auf die Verwendung von Passkeys umstellen.
und
*"Automatisch anmelden"*
Google Passwortmanager merkt sich, wie du dich angemeldet hast, und meldet dich wenn möglich automatisch an. Wenn diese Funktion deaktiviert ist, wirst du jedes Mal um eine Bestätigung gebeten.
Selbst wenn wir nun bei beides *deaktivieren*, den Browser schließen und auch die Browserdaten löschen….
füllt er weiterhin den Usernamen und das Kennwort aus!
*kopfkratzen* wozu ist dann das DEAKTIVIEREN?
nach Test mit den Demo-Sites:
https://marektoth.com/blog/dom-based-extension-clickjacking/#demo-sites
hier unsere aktuellen Findings:
Chrome:
lt. Einstellungen sollte die Autofill-Funktion eingeschränkt oder auch deaktiviert werden können
– Autofill-Funktion sollte nach der Deaktivierung der Funktion einen Bestätigungsdialog anzeigen, um die Daten auszuwählen
– Username und Passwörter werden allerdings weiterhin *ohne* Bestätigungsdialog automatisch ausgefüllt!
– Vermutung: Die AI-Funktion des Autofills scheint die Passwort-Daten weiterhin ohne Abfrage einzutragen (Browser-Daten gelöscht, sogar Browser geschlossen)
– wenn keine Richtlinie dafür definiert wurde, greift der Chrome auf die Standard-Werte zur AI-Nutzung zurück
– Der Standardwert erlaubt die Übertragung "relevanter Daten" zum Training des KI-Modells! ⚠️
TODO: Chrome-Richtlinie (besonders mit dem Fokus auf die AI-Funktionen!) anpassen und testen
EDGE
lt. Einstellungen sollte die Autofill-Funktion eingeschränkt oder auch deaktiviert werden können:
– Autofill-Funktion zeigt nach der Einschränkung einen Bestätigungsdialog an
– Autofill-Funktion ist nach Deaktivierung ausgeschaltet.
Vielleicht kann jemand das verifizieren? Wir sind auf jeden Fall etwas von den Findings überrascht.