Passwort-Manager gehören heute für Millionen von Menschen zum digitalen Alltag. Sie versprechen, sensible Daten wie Passwörter und Kreditkartennummern sicher zu verwahren, und zwar so sicher, dass selbst die Anbieter keinen Einblick in die verschlüsselten Tresore haben. Dieses Versprechen trägt den klingenden Namen „Zero Knowledge“. Doch neue Forschungsergebnisse stellen genau dieses Versprechen grundlegend in Frage.
Anbieter wie Bitwarden, Dashlane und LastPass, zusammen von rund 60 Millionen Menschen genutzt, werben damit, dass niemand außer dem Nutzer selbst auf die gespeicherten Daten zugreifen kann. Bitwarden behauptet etwa, dass nicht einmal das eigene Team die Nutzerdaten lesen könne. LastPass versichert, dass ausschließlich der Nutzer Zugang zu seinem Tresor habe. Klingt beruhigend, ist aber nicht die ganze Wahrheit.
Der Begriff „Zero Knowledge“ stammt ursprünglich aus der Kryptographie und beschreibt dort ein mathematisch präzises Konzept. In der Marketingsprache der Passwort-Manager wurde er jedoch zu einem vagen Versprechen umgedeutet, das, wie Forscher nun zeigen, in vielen Szenarien nicht hält, was es verspricht.
Wissenschaftler der ETH Zürich und der USI Lugano haben Bitwarden, Dashlane und LastPass eingehend analysiert und dabei insgesamt 25 Angriffsvektoren identifiziert. Die Kernaussage ihrer Arbeit ist ernüchternd: Wer die Kontrolle über den Server eines Passwort-Manager-Anbieters erlangt, sei es durch einen Insider-Angriff oder durch eine externe Kompromittierung, kann unter bestimmten Umständen auf Tresore zugreifen, Inhalte lesen und in manchen Fällen sogar verändern.
Besonders schwerwiegend sind Angriffe, die auf sogenannte Schlüssel-Hinterlegungsmechanismen abzielen. Diese Mechanismen sind dafür gedacht, Nutzern den Zugang zu ihrem Konto wiederherzustellen, wenn sie ihr Master-Passwort vergessen haben. Bei Bitwarden etwa kann ein Angreifer mit Serverkontrolle während der Einladung eines neuen Gruppenmitglieds einen manipulierten öffentlichen Schlüssel einschleusen. Da der Client diesen Schlüssel nicht auf seine Echtheit überprüft, verschlüsselt er den Wiederherstellungs-Datensatz mit dem Schlüssel des Angreifers, der diesen dann problemlos entschlüsseln kann. Das Ergebnis: Der gesamte Tresor des Opfers liegt offen.
Die Forscher betonen, dass ein vollständiger Serverangriff eine hohe Hürde darstellt. Dennoch halten sie das Szenario für realistisch, insbesondere im Hinblick auf staatliche Akteure, die über die Mittel und die Motivation verfügen, solche Angriffe durchzuführen. LastPass wurde bereits 2015, 2021 und 2022 Opfer von Sicherheitsvorfällen, ein Hinweis darauf, dass diese Dienste durchaus im Visier von Angreifern stehen.
Ein weiteres Problem betrifft die Abwärtskompatibilität. Alle drei Anbieter unterstützen ältere, weniger sichere Versionen ihrer Software, um zu verhindern, dass Nutzer den Zugang zu ihren Tresoren verlieren. Diese Entscheidung öffnet jedoch Türen für sogenannte Downgrade-Angriffe, bei denen ein Angreifer den Client dazu bringt, schwächere Verschlüsselungsverfahren zu verwenden. Im Fall von Bitwarden und Dashlane konnten die Forscher auf diese Weise Tresordaten im Klartext rekonstruieren.
Darüber hinaus stellten die Forscher fest, dass alle drei Anbieter die Anzahl der Hash-Iterationen für Master-Passwörter vom Server an den Client übermitteln, ohne jede Überprüfung. Ein Angreifer kann diesen Wert von 600.000 auf 2 reduzieren und damit das Knacken des Master-Passworts um das 300.000-Fache beschleunigen.
Bitwarden, Dashlane und LastPass haben nach der verantwortungsvollen Offenlegung durch die Forscher bereits begonnen, die beschriebenen Schwachstellen zu beheben. Alle vier Unternehmen, einschließlich 1Password, das ebenfalls als potenziell betroffen genannt wurde, verteidigten ihre Sicherheitsarchitektur und betonten, dass regelmäßige externe Audits und Red-Team-Übungen stattfinden.
Interessant ist dabei, dass 1Password in seinem eigenen technischen Whitepaper offen einräumt, dass ein kompromittierter Server theoretisch in der Lage wäre, manipulierte öffentliche Schlüssel auszuliefern und damit Verschlüsselungsschlüssel abzugreifen. Diese Transparenz steht im Widerspruch zu den gleichzeitig gemachten Marketingversprechen.
Passwort-Manager bleiben trotz dieser Erkenntnisse deutlich sicherer als die Alternative, überall dasselbe schwache Passwort zu verwenden oder Passwörter unverschlüsselt zu speichern. Die Forschungsergebnisse zeigen jedoch, dass das „Zero Knowledge“-Versprechen in seiner absoluten Form nicht haltbar ist, zumindest nicht unter allen Umständen.
Nutzer sollten sich bewusst sein, dass Funktionen wie die automatische Kontowiederherstellung oder das Teilen von Tresoren mit anderen Personen die Angriffsfläche vergrößern. Wer auf maximale Sicherheit angewiesen ist, sollte diese Funktionen mit Bedacht einsetzen und die Software stets auf dem neuesten Stand halten.
Der Hauptautor der Studie bringt es auf den Punkt: „Zero Knowledge“ sei letztlich Marketing-Sprache, ähnlich wie der Begriff „militärische Verschlüsselung“. Ein präzises, überprüfbares Versprechen ist es jedenfalls nicht.