Passendes Passwort

Teil 7: Zugangsdaten sicher verwalten

In einem speziellen Test haben wir ermittelt, dass nicht alle Passwort-Verwaltungen halten, was die Hersteller versprechen. Die beiden bereits angesprochenen Sicherheitslücken Master-Passwort und Zwischenablage sind aber nicht die einzigen Angriffspunkte der Passwort-Verwaltungen. Auch die Datenbank selbst lässt sich mit den richtigen Tools auslesen.

Zugangsdaten sicher verwalten

© Archiv

Möglich macht das die Architektur von Windows. Sobald der Nutzer die Passwort-Verwaltung aufruft, lädt die Software die komplette Datenbank in den Arbeitsspeicher. Verzichtet eine Passwort-Verwaltung darauf, die Datenbank im RAM zu verschlüsseln, lässt sich der Inhalt recht einfach auslesen. Um selbst zu überprüfen, ob die von Ihnen genutzte Passwort-Verwaltung sich diese Schwäche erlaubt, benötigen Sie nichts weiter als das Shareware-Tool WinHex 13.2 (www.winhex.de).

Sie starten das Tool - eine Installation ist nicht nötig - und öffnen anschließend die von Ihnen genutzte Passwort- Verwaltung. In WinHex wählen Sie Tools/Open RAM und suchen im Dialog View Main Memory nach dem Namen des von Ihnen genutzten Passwort-Managers. Ein Doppelklick auf diesen Eintrag zeigt alle im Zusammenhang dazu stehenden Prozesse. Markieren Sie Entire Memory und bestätigen Sie mit OK. WinHex liest nun den vom Tool genutzten Speicherbereich aus und zeigt den Inhalt in typischer Hex-Editor-Ansicht auf dem Bildschirm an. Mit der Tastenkombination [Strg+F] rufen Sie den Dialog Find Text auf. Tippen Sie in das oberste Eingabefeld ein Passwort ein, von dem Sie wissen, dass es in der Kennwort-Datenbank enthalten ist, und starten Sie die Suche mit einem Klick auf OK.

Zugangsdaten sicher verwalten

© Archiv

Password Manager XP 2.2 legt die in der Datenbank gespeicherten Zugangsdaten im Klartext im Arbeitsspeicher ab, so dass das Auslesen kein großes Problem ist.

Von den acht im Labor überprüften Programmen schützten 1 Password Pro 5.40, Kee- Pass Password Safe 1.05, Password Safe 3.3, Password Safe & Repository Pro 2006 4.3.6 und Subsembly Wallet 1.2.1 sowie Viskeeper Professional 3.0.7 die im RAM abgelegte Datenbank vor fremden Augen. Fündig werden die Tester in der Datenbank von Password Depot Professional 2.6.1. Allerdings sind Benutzername und Kennwort nicht so einfach zuzuordnen, wie dies bei Password Manager XP 2.2 und Archicrypt Safe 3.1.7 der Fall ist.

Vergessen Sie jedoch nicht, dass dieser Test unter Laborbedingungen durchgeführt wurde. In der Praxis ist es so gut wie ausgeschlossen, dass ein Unbefugter ohne das Wissen des Anwenders die im Arbeitsspeicher abgelegten Inhalte auslesen kann. Und wenn doch, dann ist die Sicherheit der Passwort-Datenbank zweifelsohne das kleinste Problem, mit dem der Anwender zu kämpfen hat.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.