Passwortmanager bieten weniger Schutz als versprochen

• Informations- und Computertechnologie
• Forschung

In Kürze

• Millionen von Menschen nutzen Passwortmanager. Sie vereinfachen den Zugang zu Onlinediensten, Bankkonten und die Bezahlung mit Kreditkarten.
• Viele Anbieter versprechen absolute Sicherheit: Die Daten seien so verschlüsselt, dass selbst sie keinen Zugriff darauf haben.
• Forschende der ETH Zürich zeigen jedoch, dass es als Hacker möglich ist, Passwörter einzusehen und sogar zu verändern.

Menschen, die regelmässig Onlinedienste nutzen, haben zwischen hundert und zweihundert Passwörter. Die wenigsten können sich diese merken. Passwortmanager sind deshalb eine grosse Hilfe: Mit einem einzigen Masterpasswort gewähren sie Zugriff auf alle anderen Passwörter. Die meisten Passwortmanager sind cloudbasiert.

Das hat den grossen Vorteil, dass man die Passwörter von verschiedenen Geräten aus abrufen und sie auch mit Freunden oder Familienmitgliedern teilen kann. Das wichtigste Merkmal solcher Manager ist die Sicherheit. Schliesslich legt man in ihrem verschlüsselten Speicherbereich - dem sogenannten Tresor - sensible Daten ab. Dazu gehören auch Zugangsdaten zu Bankkonten und Kreditkarten.

Die meisten Hersteller bewerben ihre Produkte deshalb mit dem Versprechen der «Zero Knowledge Encryption». Damit versprechen sie, dass die gespeicherten Passwörter verschlüsselt sind und die Hersteller selbst «null Wissen» und keinen Zugang zu diesen haben. «Das Versprechen lautet, dass selbst, wenn jemand auf den Server zugreifen kann, dies kein Sicherheitsrisiko für die Kunden darstellt, weil die Daten verschlüsselt und damit unlesbar sind», erklärt Matilda Backendal. «Wir konnten nun zeigen, dass dies nicht stimmt.»

Backendahl hat die Studie gemeinsam mit Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi von der Forschungsgruppe für Angewandte Kryptografie am Institut für Informationssicherheit der ETH Zürich durchgeführt. Backendal und Torrisi sind aktuell an der Università della Svizzera italiana in Lugano tätig.

Vollständiger Zugriff auf Passwörter

Das Team hat die Sicherheitsarchitektur von drei populären Anbietern von Passwortmanagern genauer unter die Lupe genommen: Bitwarden, Lastpass und Dashlane. Diese haben weltweit rund 60 Millionen Nutzende und einen Marktanteil von 23 Prozent. Die Forschenden demonstrierten 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane. Dazu setzten sie eigene Server auf, die sich so verhalten wie ein gehackter Server eines Passwortmanagers.

Sie gingen davon aus, dass sich die Server nach einem Angriff bösartig verhalten (malicious server threat model) und bei der Interaktion mit Clients, also zum Beispiel einem Webbrowser, willkürlich vom erwarteten Verhalten abweichen.

Ihre Angriffe reichten von Integritätsverletzungen gezielter Benutzertresore bis hin zu einer vollständigen Kompromittierung aller Tresore einer Organisation, die den Dienst nutzt. In den meisten Fällen konnten sich die Forschenden Zugang zu den Passwörtern verschaffen - und diese sogar manipulieren.

Dazu brauchten sie nicht mehr als einfache Interaktionen, die Nutzerinnen und Nutzer oder ihre Browser routinemässig beim Verwenden des Passwortmanagers durchführen, zum Beispiel beim Konto anmelden, den Tresor öffnen, Passwörter anzeigen oder Daten synchronisieren. «Passwortmanager sind aufgrund der grossen Menge an sensiblen Daten wahrscheinliche Ziele für geübte Angreifer, die in der Lage sind, in die Server einzudringen und von dort aus Angriffe zu starten», sagt Kenneth Paterson, Informatik-Professor an der ETH Zürich. Solche Attacken habe es in der Vergangenheit bereits gegeben.

Unübersichtliche Codes

«Wir waren überrascht, wie gross die Sicherheitslücken sind», sagt Paterson. Sein Team hatte ähnliche Lücken bereits bei anderen cloudbasierten Diensten entdeckt, ging aber davon aus, dass der Sicherheitsstandard aufgrund der kritischen Daten bei Passwortmanagern deutlich höher ist. «Da die End-zu-End-Verschlüsselung bei kommerziellen Diensten noch relativ neu ist, hatte sich das anscheinend noch nie jemand genauer angeschaut.»

Matteo Scarlata, Doktorand in der Forschungsgruppe für Angewandte Kryptografie, hat einige der Attacken durchgeführt. Als er begonnen hat, den Code der verschiedenen Manager zu analysieren, ist er schnell auf sehr bizarre Code-Architekturen gestossen.

Die Unternehmen seien bemüht, ihren Kunden einen möglichst benutzerfreundlichen Service anzubieten, zum Beispiel die Möglichkeit, Passwörter zurückzugewinnen oder den eigenen Account mit Familienmitgliedern zu teilen, sagt er.

«Dadurch werden die Codes komplexer, unübersichtlicher, und die möglichen Angriffsstellen für Hacker nehmen zu», erklärt Scarlata. «Für solche Attacken braucht es keine besonders leistungsstarken Computer und Server, nur kleine Programme, mit welchen man dem Server eine falsche Identität vortäuschen kann.»

Wie bei «freundlichen» Attacken üblich, hat Patersons Team die Anbieter der betroffenen Systeme kontaktiert, bevor es die Erkenntnisse publizierte. Diese hatten 90 Tage Zeit, um die Sicherheitslücken zu schliessen. «Die Anbieter waren vorwiegend kooperativ und dankbar, aber nicht alle waren gleich schnell beim Beheben der Sicherheitslücken», sagt Paterson.

Der Austausch mit den Entwicklern der Passwortmanager hat gezeigt, dass diese sehr zurückhaltend mit Systemupdates sind, da sie Angst haben, dass ihre Kund:innen den Zugriff auf ihre Passwörter und weitere persönliche Daten verlieren könnten. Zu den Kund:innen gehören neben Millionen Privatpersonen auch tausende Unternehmen, die den Anbietern ihr gesamtes Passwortmanagement anvertrauen. Man kann sich ausmalen, was passieren würde, wenn sie plötzlich keinen Zugang mehr zu ihren Daten hätten. Deshalb halten viele Anbieter an kryptographischen Technologien aus den 90er-Jahren fest, obwohl diese längst überholt sind, erzählt Scarlata.

Systeme auf den neuesten Stand der Kryptografie bringen

Die Forschenden haben nun konkrete Vorschläge gemacht, wie die Systeme besser gesichert werden könnten. Scarlata schlägt vor, die Systeme für Neukunden kryptografisch auf den neuesten Stand zu bringen. Bestehende Kund:innen könnten anschliessend selbst auswählen, ob sie auf das neue, sicherere System migrieren und ihre Passwörter dorthin überführen möchten oder ob sie beim alten System bleiben - in Kenntnis der bestehenden Sicherheitslücken.

Und was können die Millionen von Menschen tun, die täglich auf ihren Passwortmanager vertrauen, um von Onlinediensten zu profitieren? Paterson rät, einen Manager zu wählen, der offen über mögliche Sicherheitslücken informiert, extern geprüft wird und bei dem zumindest die End-zu-End-Verschlüsselung standardmässig eingeschaltet ist.

«Wir wollen mit unserer Arbeit dafür sorgen, dass sich in dieser Branche etwas verändert», sagt Paterson. «Die Anbieter von Passwortmanagern sollten den Kunden keine falschen Sicherheitsversprechen machen, sondern klarer und präziser kommunizieren, welche Sicherheitsgarantien ihre Lösungen tatsächlich bieten.»

Literaturhinweis

Scarlata M, Torrisi G, Backendal M, Paterson K: Zero Knowledge (About) Encryption: A Comparative Security Analysis of Three Cloud-based Password Managers.Erscheint bei USENIX Security 2026. externe Seite https://eprint.iacr.org/2026/058