Forschende der ETH Zürich haben bei drei populären, cloudbasierten Passwortmanagern gravierende Sicherheitslücken entdeckt. In Tests konnten sie gespeicherte Passwörter einsehen und sogar verändern.

Das Team hat die Sicherheitsarchitektur von drei populären Anbietern von Passwortmanagern genauer unter die Lupe genommen: Bitwarden, Lastpass und Dashlane. Diese haben weltweit rund 60 Millionen Nutzende und einen Marktanteil von 23 Prozent. Die Forschenden demonstrierten 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane. Dazu setzten sie eigene Server auf, die sich so verhalten wie ein gehackter Server eines Passwortmanagers.

Paper: Zero Knowledge (About) Encryption: A Comparative Security Analysis of Three Cloud-based | PDF