Dennoch weiter nutzenSicherheitslücke bei vielen Passwortmanagern
dj
21.2.2019
Viele weit verbreitete Passwortmanager haben eine Sicherheitslücke, die das Auslesen von Passwörtern ermöglicht.
Viele populäre Passwortmanager hinterlassen die von ihnen verwaltete Passwörter im Arbeitsspeicher des Rechner, aus dem sie dann potenziell von Angreifern ausgelesen werden könnten. Zu diesem Schluss kommt eine Untersuchung der Sicherheitsfirma ISE.
Diese nahm die Windows 10-Programme von 1Password (Version 4 und 7), Dashlane, KeePass sowie LastPass unter die Lupe. Allen gelang es nicht, den Arbeitsspeicher auch bei Sperrung oder Beendigung des Passwortmanager völlig von Spuren der Passwörter zu löschen. Bei 1Password und LastPass war sogar das Masterpasswort aus dem Arbeitsspeicher auslesbar.
Kein Grund zur Panik
Die Hersteller der betroffenen Passwortmanager reagierten unterschiedlich auf die Entdeckung, meldet die «Washington Post». Lastpass und Dashlane arbeiten an Updates, 1Password und KeePass gaben dagegen Windows die Schuld.
Dennoch sollte man Passwortmanagern keinesfalls abschwören, da diese eindeutig die Sicherheit im Netz verbessern. Vor allem, da sich der praktische Schaden der Sicherheitslücke wohl in Grenzen halten sollte. Um die Lücke ausnutzen zu können, muss ein Hacker bereits zuvor eine Malware mit Administrator-Rechten auf dem Computer des Opfer eingeschleust haben.
Wenn ein Rechner so stark kompromittiert wurde, hat ein Hacker unabhängig von der neu entdeckten Sicherheitslücke bereits jetzt zahlreiche andere Möglichkeiten, etwa durch Keylogging oder das Auslesen der Zwischenablage, um Passwörter eines Nutzers zu klauen.
KeePass ist ein kostenloser Passwort-Manager mit vielen Funktionen.
Bild: KeePass
Beim ersten Öffnen ist natürlich erstmal wenig zu sehen. Vor allem ist die Benutzeroberfläche auf Englisch, aber das lässt sich schnell ändern.
Bild: dj
Dazu muss man auf «View» -> «Languages» klicken. Nun unten auf «Get more language» gehen. Nun wird man zur KeePass-Seite geführt, wo man eine deutsche Sprachdatei herunterladen kann. Dann in diesem «Menü» auf «Open Folder» klicken, und die soeben heruntergeladene Datei in diesen verschieben. Danach muss dieses Menü kurz geschlossen und wieder geöffnet werden. Schliesslich kann man hier dann Deutsch auswählen und mit einem Neustart des Programms aktivieren.
Bild: dj
Jetzt kann man sich an das Erstellen der Passwort-Datenbank machen. Dazu einfach «Datei» -> «Neu» anklicken und einen Speicherort auswählen.
Bild: dj
Nun muss das Masterpasswort festgelegt werden. Dieses sollte natürlich möglich komplex sein, muss aber trotzdem noch merkbar sein. Denn dies ist das einzige Passwort, an dass man sich erinnern und nirgendwo sonst speichern sollte.
Bild: dj
Man kann allerdings auch noch ein Notfallblatt auf Papier ausdrucken und auf diesem wichtige Informationen zur Wiederherstellerung einer Datenbank festhalten. Dieses sollte da an einem sicheren Ort aufbewahrt werden.
Bild: dj
Nun kann man sich ans Eintragen der Passwörter machen. Dazu einfach eine der vorbestimmten Kategorien links auswählen und dann das Schlüsselsymbol anklicken. Handelt es sich etwa um einen neu anzulegenden Account, kann KeePass beim Erstellen eines sicheren Passworts helfen.
Bild: dj
Ansonsten gibt man einfach Benutzernamen und Passwort ein und speichert den Eintrag.
Bild: dj
Ein starker Pluspunkt von KeePass ist die Möglichkeit zur Featureerweiterung per Plugins. Diese werden alle auf die gleiche Art installiert. Man geht auf «Extras» -> «Plugins» und klickt auf «Mehr Plugins herunterladen». Nun landet man auf der KeePass-Seite und hat die Auswahl zwischen zahlreichen Plugins. Hat man eines heruntergeladen, geht man zurück ins Programm und klickt auf «Ordner öffnen». In diesen muss das geladene Plugin mit der Endung *.plgx kopiert werden. Ein Neustart von KeePass aktiviert dann das Plugin.
Bild: dj
Bei der Übersicht hilft das Plugin Favicons. Es stellt neben die Einträge von Zugangsdaten zur grossen Portalen deren Symbol zur schnellen Identifikation. Nach Installation des Plugins muss nur einmal schnell «Extras» -> «Download Favicons for all entries» aufgerufen werden.
Bild: dj
Für KeePass gibt es zwar auch Smartphone-Apps, aber wer einfach komplexe Passwörter auf mobile Geräte übertragen kann, sollte das Plugin QRCodeGenerator nutzen. Dieses wandelte gespeicherte Passwörter in QR-Codes um, die sich mit einer QR-App auf dem Smartphone wieder in Klartext umwandeln lassen und von dort leicht kopiert werden können.
Mit KeePassWinHello kann man gespeicherte Passwörter über die biometrische Anmeldung via Windows Hello schützen, also per Gesichterkennung oder Fingerabdrucksensor. Nach Installation des Plugins findet sich ein entsprechender Reiter in den KeePass-Optionen.
Bild: KeePassWinHello
Für ein schnelles Backup der gespeicherte Passwörter eignet sich DataBaseBackup. Zunächst muss man über das «Extras»-Menü den Speicherort des Backups festlegen.
Bild: dj
Dann lässt sich jederzeit schnell ein Backup erstellen.
Wie sexy meine KI-Freundin ist und wie schnell ich trotzdem Schluss machte
Eine Freundin kann man sich neuerdings auch ganz einfach digital zulegen. Doch für wen eignet sich die KI-Freundin und was sind die Tücken?
30.11.2023
Lockanrufe auf Whatsapp: Konsumenschützer warnen vor Rückrufen
Aktuell häufen sich Warnungen vor sogenannten Ping-Calls, besonders auf WhatsApp. Doch was steckt eigentlich dahinter? Anruferinnen und Anrufer aus verschiedenen Ländern wie Indien, dem Iran oder Mexiko lassen Ihr Handy einmal klingeln und legen dann auf. Ziel ist es, zu einem Rückruf zu verleiten, warnt die Verbraucherzentrale Rheinland-Pfalz.
Hinter diesen Anrufen verbergen sich oft Betrugsversuche. Die Maschen sind vielfältig – von der Aufforderung, sensible Daten preiszugeben, bis hin zu Geldforderungen oder dem Versuch, Ihren WhatsApp-Account zu übernehmen.
Betroffene erkennen Ping-Calls an den Ländervorwahlen etwa für Indien (+91), den Iran (+98) oder Mexiko (+52). In keinem Fall sollte man die unbekannten Nummern zurückrufen.
Verbraucherschützerinnen und -schützer raten Betroffenen dazu, Anrufe von Unbekannt einfach in der App zu blockieren. Das klappt in den Whatsapp-Einstellungen. Danach werden nur noch Anrufe von eingespeicherten Kontakten durchgelassen.
22.02.2024
Elternabend – Das erste Smartphone für mein Kind
Das Smartphone ist für Kinder und Jugendliche ein unverzichtbarer Begleiter. Doch es birgt auch Gefahren wie Cybermobbing, Sucht und der Zugang zu unangemessenem Inhalt. Medienpädagogen diskutieren mit dem Publikum über Chancen und Risiken.
15.11.2023
Wie sexy meine KI-Freundin ist und wie schnell ich trotzdem Schluss machte
Lockanrufe auf Whatsapp: Konsumenschützer warnen vor Rückrufen