Forscher der Applied Cryptography Group an der ETH Zürich untersuchten drei weit verbreitete cloudbasierte Passwortmanager und analysierten deren Verhalten unter einem bösartigen Server‑Bedrohungsmodell. Zum Team gehörten Matilda Backendal, Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi; Backendal und Torrisi arbeiten derzeit an der Università della Svizzera italiana in Lugano.
Die Forschenden setzten gehackte Server ein und zeigten Angriffe, die in einigen Fällen den Zugriff auf einzelne Nutzer‑Tresore und in anderen Fällen die vollständige Kompromittierung aller Tresore in einer Organisation ermöglichten. In den meisten Fällen war es möglich, Passwörter auszulesen und teilweise zu ändern. Die Attacken nutzten einfache Interaktionen, die Nutzer ohnehin ausführen, etwa Einloggen, Öffnen des Tresors oder Synchronisieren.
Vor der Veröffentlichung folgten sie dem Prinzip verantwortlicher Offenlegung und gaben den Anbietern 90 Tage Zeit zur Behebung. Die Forscher empfahlen, neue Systeme zu aktualisieren, bestehenden Kunden eine Migrationswahl zu bieten und offen über Sicherheit zu informieren. Außerdem raten sie, Anbieter zu bevorzugen, die externe Prüfungen haben und End‑to‑End‑Verschlüsselung standardmäßig aktivieren. Paterson betonte: "Wir möchten mit unserer Arbeit dazu beitragen, Veränderungen in dieser Branche herbeizuführen." Quelle: ETH Zurich.
Schwierige Wörter
- cloudbasiert — in entfernten Servern betrieben oder gespeichertcloudbasierte
- passwortmanager — Programm zum Speichern und Verwalten von Passwörtern
- bedrohungsmodell — Beschreibung möglicher Angriffe auf ein SystemServer‑Bedrohungsmodell
- tresor — geschützter Speicherort für Passwörter oder DatenNutzer‑Tresore, Tresors, Tresore
- kompromittierung — Zustand, in dem Sicherheit verletzt wurde
- offenlegung — das Bekanntmachen von Informationen an andereverantwortlicher Offenlegung
- end‑to‑end‑verschlüsselung — Verschlüsselung, bei der nur Sender und Empfänger lesen
Tipp: Fahre über markierte Wörter oder tippe darauf, um kurze Definitionen zu sehen – während du liest oder zuhörst.
Diskussionsfragen
- Welche Vor‑ und Nachteile sehen Sie bei der Nutzung cloudbasierter Passwortmanager im Alltag?
- Warum ist die verantwortliche Offenlegung von Sicherheitslücken wichtig, und welche Folgen hat sie für Anbieter und Nutzer?
- Welche Maßnahmen aus dem Artikel würden Sie für besonders wichtig halten, wenn Sie einen Passwortanbieter auswählen?
Verwandte Artikel
Africa Wiki Women stärkt Sichtbarkeit afrikanischer Frauen
Africa Wiki Women will die Sichtbarkeit afrikanischer Frauen auf Wikimedia-Plattformen erhöhen. Die Initiative wurde von drei Frauen aus Ghana, Nigeria und Tansania gegründet; am Internationalen Frauentag 2026 erschien ein Interview mit einer Mitgründerin.
Echtzeit-Luftüberwachung in Südafrika mit kostengünstigen Sensoren
Wissenschaftler passten Methoden aus der Teilchenphysik an und bauten das System AI_r mit Sensoren und KI für Echtzeit-Luftmessung. Das Projekt will 500 Sensoren im Sedibeng-Distrikt installieren und erhält internationale Unterstützung.
Algorithmen erklären, wie Propan zu Propylen wird
Forscher der University of Rochester entwickelten Algorithmen, die auf atomarer Ebene zeigen, wie nanoskalige Katalysatoren Propan in Propylen umwandeln. Die Ergebnisse erklären selektives Oxidwachstum an defekten Metallstellen und haben industrielle Anwendungen.