Forscher der Applied Cryptography Group an der ETH Zürich untersuchten drei weit verbreitete cloudbasierte Passwortmanager und analysierten deren Verhalten unter einem bösartigen Server‑Bedrohungsmodell. Zum Team gehörten Matilda Backendal, Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi; Backendal und Torrisi arbeiten derzeit an der Università della Svizzera italiana in Lugano.
Die Forschenden setzten gehackte Server ein und zeigten Angriffe, die in einigen Fällen den Zugriff auf einzelne Nutzer‑Tresore und in anderen Fällen die vollständige Kompromittierung aller Tresore in einer Organisation ermöglichten. In den meisten Fällen war es möglich, Passwörter auszulesen und teilweise zu ändern. Die Attacken nutzten einfache Interaktionen, die Nutzer ohnehin ausführen, etwa Einloggen, Öffnen des Tresors oder Synchronisieren.
Vor der Veröffentlichung folgten sie dem Prinzip verantwortlicher Offenlegung und gaben den Anbietern 90 Tage Zeit zur Behebung. Die Forscher empfahlen, neue Systeme zu aktualisieren, bestehenden Kunden eine Migrationswahl zu bieten und offen über Sicherheit zu informieren. Außerdem raten sie, Anbieter zu bevorzugen, die externe Prüfungen haben und End‑to‑End‑Verschlüsselung standardmäßig aktivieren. Paterson betonte: "Wir möchten mit unserer Arbeit dazu beitragen, Veränderungen in dieser Branche herbeizuführen." Quelle: ETH Zurich.
Schwierige Wörter
- cloudbasiert — in entfernten Servern betrieben oder gespeichertcloudbasierte
- passwortmanager — Programm zum Speichern und Verwalten von Passwörtern
- bedrohungsmodell — Beschreibung möglicher Angriffe auf ein SystemServer‑Bedrohungsmodell
- tresor — geschützter Speicherort für Passwörter oder DatenNutzer‑Tresore, Tresors, Tresore
- kompromittierung — Zustand, in dem Sicherheit verletzt wurde
- offenlegung — das Bekanntmachen von Informationen an andereverantwortlicher Offenlegung
- end‑to‑end‑verschlüsselung — Verschlüsselung, bei der nur Sender und Empfänger lesen
Tipp: Fahre über markierte Wörter oder tippe darauf, um kurze Definitionen zu sehen – während du liest oder zuhörst.
Diskussionsfragen
- Welche Vor‑ und Nachteile sehen Sie bei der Nutzung cloudbasierter Passwortmanager im Alltag?
- Warum ist die verantwortliche Offenlegung von Sicherheitslücken wichtig, und welche Folgen hat sie für Anbieter und Nutzer?
- Welche Maßnahmen aus dem Artikel würden Sie für besonders wichtig halten, wenn Sie einen Passwortanbieter auswählen?
Verwandte Artikel
Reisen in Nordwest-Kamerun: gefährlich und teuer
In der Nordwestregion Kameruns haben Straßensperren und Kämpfe das Reisen riskant gemacht. Motorräder ersetzen Busse, Fahrpreise steigen stark und Familien, Märkte sowie Schulen leiden unter den höheren Transportkosten und der Gewalt.
Soziale Medien: Nutzen, Risiken und neue KI-Gefahren
Soziale Medien verbinden Menschen, helfen marginalisierten Gruppen, verbreiten aber auch Hass, Lügen und reale Schäden. Entscheidungen von Firmen, Algorithmen und generative KI verändern Sichtbarkeit, Vertrauen und Risiko in der Öffentlichkeit.
Ankunftszeit von Fahrzeugen bei Sehverlust
Eine Studie verglich Menschen mit altersbedingter Makuladegeneration (AMD) mit Menschen mit normalem Sehvermögen. In einem Virtual‑Reality‑Versuch mit realistischen Autogeräuschen waren die Ergebnisse ähnlich; Sehen und Hören zusammen verbesserten die Genauigkeit nicht.