Software hilft Hackern beim Passwortklau
Archivmeldung vom 18.01.2010
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 18.01.2010 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittOb beim Abrufen von E-Mails, Anmelden bei Internetshops oder beim Internetbanking: Nutzerkonten lassen sich nur mit den passenden Zugangsdaten öffnen. Doch mit jedem Konto wächst die Zahl der Kennwörter. Internetnutzer brauchen deshalb ein gutes Gedächtnis oder Hilfe im Passwortdschungel.
So bieten die Browser Firefox und Internet-Explorer eine Merkfunktion, die Passwörter speichert. Auch spezielle Kennworttresor-Programme sollen mehr Komfort bieten. Allerdings zeigt jetzt ein Test der COMPUTERBILD, dass beide Methoden Datendieben mitunter Tür und Tor öffnen (Heft 3/2010, ab Montag im Handel).
Experten von COMPUTERBILD und dem Fraunhofer Institut SIT in Darmstadt stellten die Kennwortfunktionen des Firefox 3.5 und des Internet Explorer 8 sowie sechs Tresorprogramme bis 33 Euro auf den Prüfstand. Kennworttresore sichern Passwörter in einem verschlüsselten virtuellen Safe auf dem PC oder einem USB-Speicherstift. So muss sich der Nutzer nur noch ein Hauptkennwort merken, um den Safe zu öffnen. Beim Aufruf zugangsgeschützter Internetseiten trägt das Programm anschließend Nutzernamen und Passwort automatisch ein. Erschreckendes Ergebnis: Vier der acht Testkandidaten schützen die ihnen anvertrauten Daten nicht. Sowohl die beiden Tresorprogramme RoboForm (rund 30 Euro) und KeePass Password Safe 2 (kostenlos) als auch Firefox und Internet Explorer lassen Kennwörter, beispielsweise nach dem Eintragen in Internetseiten, unverschlüsselt im Arbeitsspeicher des PC - eine leichte Beute für Hacker. Außerdem waren die vier Programme anfällig für sogenannte "Brute-Force-Attacken". Bei einem solchen Angriff können Datendiebe bis zu 30 Millionen Kennwörter pro Sekunde ausprobieren, um das Hauptkennwort zu finden. Die vier Testkandidaten ließen dabei viel zu viele solcher automatischen Eingabeversuche zu. Aufgrund der gravierenden Sicherheitsmängel werteten die COMPUTERBILD-Experten diese deshalb auf "mangelhaft" ab.
Den COMPUTERBILD-Testsieg schaffte Password Depot 4 von Acebit (29 Euro) mit der Note "befriedigend": Es ist einfach zu bedienen und bietet die größte Sicherheit aller getesteten Programme. Manko aller Kennworttresor-Programme: Sie haben zwar oft eine Funktion zum Erstellen sicherer Passwörter, hindern den Nutzer aber nicht daran, auch unsichere zu verwenden.
Quelle: COMPUTERBILD