Teil 7: Zugangsdaten sicher verwalten

1. Zugangsdaten sicher verwalten
2. Teil 2: Zugangsdaten sicher verwalten
3. Teil 3: Zugangsdaten sicher verwalten
4. Teil 4: Zugangsdaten sicher verwalten
5. Teil 5: Zugangsdaten sicher verwalten
6. Teil 6: Zugangsdaten sicher verwalten
7. Teil 7: Zugangsdaten sicher verwalten
8. Teil 8: Zugangsdaten sicher verwalten
9. Teil 9: Zugangsdaten sicher verwalten

In einem speziellen Test haben wir ermittelt, dass nicht alle Passwort-Verwaltungen halten, was die Hersteller versprechen. Die beiden bereits angesprochenen Sicherheitslücken Master-Passwort und Zwischenablage sind aber nicht die einzigen Angriffspunkte der Passwort-Verwaltungen. Auch die Datenbank selbst lässt sich mit den richtigen Tools auslesen.

© Archiv

Möglich macht das die Architektur von Windows. Sobald der Nutzer die Passwort-Verwaltung aufruft, lädt die Software die komplette Datenbank in den Arbeitsspeicher. Verzichtet eine Passwort-Verwaltung darauf, die Datenbank im RAM zu verschlüsseln, lässt sich der Inhalt recht einfach auslesen. Um selbst zu überprüfen, ob die von Ihnen genutzte Passwort-Verwaltung sich diese Schwäche erlaubt, benötigen Sie nichts weiter als das Shareware-Tool WinHex 13.2 (www.winhex.de).

Sie starten das Tool - eine Installation ist nicht nötig - und öffnen anschließend die von Ihnen genutzte Passwort- Verwaltung. In WinHex wählen Sie Tools/Open RAM und suchen im Dialog View Main Memory nach dem Namen des von Ihnen genutzten Passwort-Managers. Ein Doppelklick auf diesen Eintrag zeigt alle im Zusammenhang dazu stehenden Prozesse. Markieren Sie Entire Memory und bestätigen Sie mit OK. WinHex liest nun den vom Tool genutzten Speicherbereich aus und zeigt den Inhalt in typischer Hex-Editor-Ansicht auf dem Bildschirm an. Mit der Tastenkombination [Strg+F] rufen Sie den Dialog Find Text auf. Tippen Sie in das oberste Eingabefeld ein Passwort ein, von dem Sie wissen, dass es in der Kennwort-Datenbank enthalten ist, und starten Sie die Suche mit einem Klick auf OK.

© Archiv

Von den acht im Labor überprüften Programmen schützten 1 Password Pro 5.40, Kee- Pass Password Safe 1.05, Password Safe 3.3, Password Safe & Repository Pro 2006 4.3.6 und Subsembly Wallet 1.2.1 sowie Viskeeper Professional 3.0.7 die im RAM abgelegte Datenbank vor fremden Augen. Fündig werden die Tester in der Datenbank von Password Depot Professional 2.6.1. Allerdings sind Benutzername und Kennwort nicht so einfach zuzuordnen, wie dies bei Password Manager XP 2.2 und Archicrypt Safe 3.1.7 der Fall ist.

Vergessen Sie jedoch nicht, dass dieser Test unter Laborbedingungen durchgeführt wurde. In der Praxis ist es so gut wie ausgeschlossen, dass ein Unbefugter ohne das Wissen des Anwenders die im Arbeitsspeicher abgelegten Inhalte auslesen kann. Und wenn doch, dann ist die Sicherheit der Passwort-Datenbank zweifelsohne das kleinste Problem, mit dem der Anwender zu kämpfen hat.