Sicherheitslücke in KeyPass – und eine alte Diskussion kommt wieder auf

Die Sicherheitslücke

Die Sicherheitslücke in KeyPass (CVE-2023-24055) ermöglichte einem Angreifer mit Nutzerrechten, eine Passwort-Datenbank in Klartext zu exportieren, da die Software eine entsprechende Richtlinie unterstützte. Selbst wenn diese vom Nutzer manuell deaktiviert wurde, war es für einen Angreifer mit Nutzerrechten natürlich wieder möglich, diese Richtlinie zu aktivieren. Daher war ein reines Deaktivieren der Richtlinie wenig hilfreich.

Die gute Nachricht: Der Entwickler hat reagiert und diese Richtlinie in der neuesten Version von Keypass nicht nur deaktiviert, sondern ganz aus der Software entfernt. Damit ist diese Sicherheitslücke definitiv geschlossen; man kann keine Funktion ausnutzen, die es nicht gibt.

Die schlechte Nachricht: Die Lücke wurde erst nach einiger Diskussion entfernt, da der Entwickler zunächst nicht wirklich einen Sinn dahinter sah, diese Sicherheitslücke zu schließen.
Um besser zu verstehen, warum diese Lücke erst einmal nicht geschlossen werden sollte, ist es sinnvoll, sich die Argumente des Entwicklers etwas genauer anzuschauen. Denn ganz unrecht hatte er nicht.

Die Argumente des Entwicklers

Wie kommt ein Entwickler auf die Idee, eine Sicherheitslücke nicht zu schließen, obwohl damit alle Passwörter eines Nutzers kompromittiert werden können?

Um diesen Standpunkt zu verstehen, muss man die Rahmenbedingungen betrachten, die ein Ausnutzen überhaupt möglich machen. Denn ein Angreifer musste die Rechte des Nutzers erlangen, der die jeweilige Passwortdatenbank erstellt hat und verwaltet. Und wenn ein Angreifer schon die Rechte dieses Nutzers hat, gibt es viele Möglichkeiten, auch anderweitig an die Passwörter zu kommen. Dazu gehören beispielsweise:

• Öffnen eines Browserfensters und Zugriff auf die Passwörter durch entsprechende Plug-Ins
• Nutzen eines Keyloggers, um die Eingabe des Master-Passworts für die Passwort-Datei mitzuschneiden
• Installation sonstiger Malware im Kontext des jeweiligen Nutzers

Der Entwickler hat es dabei recht passend ausgedrückt: Eine so wichtige Software in einer unsicheren Umgebung abzusichern, ist quasi unmöglich. Dass die Lücke dennoch geschlossen wurde, war den vielen Stimmen zu verdanken, die dies trotzdem gefordert haben.

Doch wenn ein Passwort-Manager in den meisten Fällen in einer unsicheren Umgebung läuft, warum wird er dennoch vielfach genutzt? Dazu kann man sich die Vor- und Nachteile etwas genauer ansehen.

Die Vor- und Nachteile eines Passwort-Managers

Die Vorteile:

• Schnelle Erzeugung sicherer Passwörter:
  Ein neues Passwort ist in einem Passwort-Manager mit wenigen Klicks erzeugt. Dabei spielt es keine Rolle, welche Anforderungen an die Komplexität gestellt werden. Diese können individuell festgelegt werden.
• Nutzung verschiedener Passwörter für verschiedene Dienste:
  Immer wieder gibt es die Forderung, für jeden Account ein anderes Passwort zu verwenden. In Verbindung mit der häufig geforderten Komplexität ist es sehr schwierig, sich alle Passwörter zu merken. Das verführt leider schnell dazu, doch nicht für jeden Account ein individuelles Passwort zu vergeben. Werden dann Passwörter geleakt, darf man an vielen Stellen das Passwort manuell ändern.
• Einfache Einbindung in Browser und andere Tools, die Zugriff auf die Passwörter brauchen:
  Insbesondere bei Browsern gibt es häufig Erweiterungen, die einen Passwort-Manager ansprechen können, um die Passwörter automatisch in eine Webseite einzutragen. Das ist sehr komfortabel und verringert signifikant die Anzahl der Fehlversuche beim Anmelden!
• Man muss sich nur ein einziges Passwort merken:
  Um auf die Passwörter in einem Passwort-Manager zuzugreifen, benötigt man ein weiteres Passwort. Dieses sollte natürlich komplex sein und nicht auch für einen der Accounts verwendet werden, deren Passwort der Passwort-Manager verwaltet.

Auf der Haben-Seite sind also komplexe, individuelle Passwörter und viel Komfort. Es gibt allerdings auch Dinge, die gegen einen Passwort-Manager sprechen. Neben dem Vertrauen in den Entwickler ist dabei besonders die schon oben genannte Einschränkung zu nennen, dass bei einer Kompromittierung des Systems auch immer davon ausgegangen werden muss, dass alle Passwörter innerhalb des Passwort-Managers für einen Angreifer lesbar sind. Das heißt im Zweifelsfall auch, dass man alle Passwörter erneuern muss. Hier hilft einem der Passwort-Manager wohl wieder durch die einfache Handhabung. Wichtig: Auch das Master-Passwort erneuern!

Doch gibt es einen Weg, das zu vermeiden? Kann man alle Vorteile haben, ohne die Nachteile in Kauf zu nehmen?

Die Alternative

Technisch gesehen gibt es eine Alternative: Man hält den Passwort-Manager auf einem minimalen System ohne jeglichen Zugriff von oder nach außen. Jedes Mal, wenn man ein Passwort benötigt, wird dieses System genutzt, um das Passwort nachzuschlagen. Auf dem System, auf dem man sich in einen Dienst einloggen will, muss man das Passwort dann abtippen. Jedoch wird hier schon klar: Der große Komfortgewinn eines Passwort-Managers ist dahin. Es ist dann prinzipiell ähnlich wie eine Text-Datei auf einem anderen (abgeschotteten) System oder ein Notizbuch. Der einzige Vorteil gegenüber einem Notizbuch: Man kann das System mit Verschlüsselung und starkem Passwort einfacher schützen.

Ja, auch in einem Notizbuch kann man manuell verschlüsseln, doch der Aufwand ist enorm!

Fazit

Passwort-Manager sind nicht immun gegen Sicherheitslücken. Durch die sensible Art der Daten, die hier gespeichert werden, ist der Aufschrei beim Fund einer Lücke allerdings umso größer.

Bedeutet das, dass der Einsatz von Passwort-Managern eine schlechte Idee ist?

Nein, der Einsatz eines Passwort-Managers ist sinnvoll, denn die Vorteile wiegen deutlich schwerer als die Nachteile.

Man muss jedoch ein paar Aspekte im Auge behalten. Insbesondere muss man darauf achten, dass man alle Passwörter im Passwort-Manager (inklusive des Master-Passworts) erneuern muss, sollte das eigene System kompromittiert werden. Das gilt auch dann, wenn ich meine Passwörter von Hand eingebe. Denn ein Keylogger würde auch das mitlesen können.