von Martin Brinkmann am 20. Februar 2019 in Sicherheit – 3 Kommentare
Was würde das Ergebnis sein, wenn Sie analysieren, wie die beliebte Passwort-Manager schützt sensible Daten wie das master-Passwort oder gespeicherte Passwörter; das ist, was Independent Security Evaluators versucht heraus zu finden in Ihrer Analyse von fünf beliebte Passwort-Manager laufen auf der Microsoft Windows-10-Plattform.
Die Papier-Passwort-Manager: Unter der Haube der Geheimnisse-Management sah, wie der Passwort-Manager 1Password, Dashlane, KeePass und LastPass Griff Geheimnisse, und wenn es möglich ist, vertrauliche Informationen abrufen.
Die Forscher analysierten die drei Zustände “nicht ausgeführt”, “unlocked state”, und “locked state”. Die wichtigsten Schlussfolgerungen waren, dass alle Passwort-Manager geschützten Daten gut im nicht Laufenden Zustand.
Nicht ausgeführt wird, bezieht sich speziell auf eine Sitzung, in der die installierte Passwort-manager wurde nicht gestartet oder beendet werden, indem der Benutzer nach dem Start.
Locked state beschreibt einen Zustand, in dem das master-Passwort nicht eingegeben wurde oder noch in dem der password manager gesperrt wurde, durch den Benutzer oder automatisch.
Die Forscher entdeckten, dass alle Passwort-Manager durchgesickerten Daten im entriegelten und verriegelten Zustand, unter bestimmten Umständen. Der Passwort-Manager 1Password und LastPass durchgesickert das Master-Passwort im entriegelten und verriegelten Zustand, Dashlane alle gespeicherten Datensätze und KeePass Passwörter und andere sensible Informationen der Benutzer interagiert mit.
Die Forscher stellten fest, dass alle Passwort-Manager waren anfällig für keylogging-oder Zwischenablage-sniffing-Angriffe.
Wie schwerwiegend sind die Probleme?
Erkannte Probleme im Passwort-Manager Klang sehr streng, auf den ersten Blick. Das lecken von sensiblen Daten ist sicherlich ein Thema-und einige Unternehmen könnten sicherlich nicht besser, wenn es dazu kommt.
Die gute Nachricht ist, dass die Angriffe benötigen lokalen Zugriff oder Zugang zu einem kompromittierten system zu nutzen, das Problem. Es ist zusätzlich notwendig, um das Ziel Thema, speziell die würde nur dann Sinn machen, für gezielte Angriffe oder wenn Passwort-Auslastung steigt bis zu einem Punkt, wo es lukrativ genug ist, um auszunutzen das Problem.
Im Falle von KeePass, müsste der Benutzer interagiert haben, mit Passwort-Einträge, die für Sie ausgesetzt werden, im system-Speicher.
Der Autor von KeePass erwähnt vor einiger Zeit, dass das Windows-Betriebssystem können Kopien erstellen, in Speicher, KeePass hat keine Kontrolle über.
Windows und .Kann NET kopiert der die Daten (in den Prozess-Speicher), die nicht gelöscht werden können, durch KeePass.
Schutz
KeePass-Nutzer können darüber hinaus den Schutz Ihrer Daten gegen Angriffe durch änderungen an der Anwendung Einstellungen.
- Gehen Sie zu Extras > Optionen > Sicherheit.
- Überprüfen Sie “Sperre Arbeitsbereich nach KeePass Inaktivität” und legen Sie es auf den gewünschten Zeitraum, z.B. 300 Sekunden.
- Überprüfen Sie “Sperre Arbeitsbereich nach globalen Benutzer-Inaktivität (in Sekunden)”, und legen Sie es auf einen gewünschten Zeitraum, z.B. 300 Sekunden.
- Stellen Sie sicher, “Zwischenablage-auto-clear-Zeit (Sekunden, main-entry-list)” aktiviert ist.
- Überprüfen Sie die “beenden Sie Immer, anstelle von sperren Sie den Arbeitsbereich” option. Die option wird beendet, KeePass, anstelle von sperren.
Diese Einstellungen schließen Sie KeePass automatisch auf Inaktivität und Schutz aller Daten vor unberechtigtem Speicher-snooping. Der Nachteil ist, dass Sie müssen das Programm neu starten, wenn Sie es benötigen, wieder.
Check out my guide auf die Verbesserung der KeePass Sicherheit hier.
KeePass-Nutzer könnten auch überlegen, ausführen von KeePass in einer sandbox, z.B. mit Sandboxie oder einer virtuellen Umgebung.
Ich glaube nicht, das andere Passwort Manager und kann nicht sagen, ob Sie bieten eine ähnliche Funktionalität.
Jetzt Sie: Welche Passwort-manager benutzt du?