Ich habe kürzlich eine E-Mail von einem Leser erhalten, der die Passwort-Manager-Industrie aggressiv der Lüge beschuldigte und PCMag weiter beschuldigte, diese Unwahrheiten zu unterstützen. Dieser Leser kritisierte insbesondere die Aussage, dass die Zero-Knowledge-Architektur bedeutet, dass niemand sonst, nicht einmal das Unternehmen, auf Ihre Daten zugreifen kann, da nur Sie das Master-Passwort haben. Seine Begründung war, dass, da Sie ohne Angabe Ihres Passworts keinen Zugang erhalten können, das Unternehmen einfach muss das Passwort kennen und somit lügen müssen.
Ich antworte nicht direkt auf aggressive E-Mails, aber die Nachricht hat mich zum Nachdenken gebracht. Könnte ich im Detail erklären, wie es möglich ist, dass ein Passwort-Manager, ein Cloud-Speicherdienst oder ein anderes Online-System Ihre Daten sicher speichert, ohne dass diese Daten entschlüsselt werden können? Ich schrieb meine Gedanken über den Prozess auf und stellte fest, dass ich mir bei einigen Schritten nicht ganz sicher war, also beauftragte ich Craig Lurey, CTO von Keeper Security, mir bei einer Plausibilitätsprüfung zu helfen. Dank seiner Hilfe und der E-Mail, die mein Interesse geweckt hat, kann ich diese Details mit Ihnen teilen.
Erstens: Was ist Hashing?
Ich werde im Folgenden über Hashing-Algorithmen sprechen, etwas, das viele ungewohnt finden werden, also sollte ich es im Voraus klären. Ein Hash-Algorithmus ist wie ein Verschlüsselungssystem, das nur verschlüsselt, niemals entschlüsselt. Dieselbe Eingabe ergibt immer dieselbe Ausgabe, aber es gibt keine Möglichkeit, die Ausgabe zu verarbeiten und die Eingabe zurückzuerhalten. Diese Algorithmen sind auch so konzipiert, dass eine kleine Änderung dessen, was hineingeht, zu einer großen Änderung dessen führt, was herauskommt.
Antivirus-Forscher verwenden Hashes, um gefährliche Malware-Dateien zu vergleichen, ohne die Dateien selbst freigeben zu müssen. Wenn der Hash gleich ist, sind die Dateien gleich. Und Sicherheitssysteme verifizieren Passwörter, indem sie bestätigen, dass die Hashes übereinstimmen, ohne auf die Passwörter selbst zuzugreifen.
Es gibt eine mögliche Schwachstelle: Ein Angreifer, der den von einem System verwendeten Hashing-Algorithmus genau kennt, könnte Millionen gängiger Passwörter durch diesen Algorithmus hämmern und die Ergebnisse aufzeichnen. Die resultierende Tabelle kann den Hashing-Prozess nicht vollständig umkehren, aber sie ermöglicht es dem Angreifer, Millionen von Hashes mit den entsprechenden Passwörtern abzugleichen. Verteidiger verhindern diese Art von Angriff, indem sie dem Hash-Prozess einen zufälligen Wert namens „Salt“ hinzufügen. Es ist komplex, aber es funktioniert.
Sichere Anmeldung für den Passwortverwaltungsdienst
Sie sind wahrscheinlich mit dem Anmeldeprozess für einen Passwortverwaltungsdienst vertraut. Sie geben Ihren Benutzernamen ein und denken sich sorgfältig ein starkes Master-Passwort aus, etwas, an das Sie sich erinnern können, das aber niemand sonst erraten kann. Sie können sich vorstellen, dass der nächste Schritt darin besteht, Ihren Benutzernamen und dieses sichere Passwort zum Speichern in einer Datenbank an den Server zu senden, aber was tatsächlich passiert, ist viel komplizierter.
Einfache Tricks, um sich wahnsinnig sichere Passwörter zu merken
Das erste, was zu verstehen ist, ist das alles Die Verschlüsselung und Entschlüsselung Ihrer Daten erfolgt lokal. Lurey von Keeper hat mir bestätigt, dass es keinen Unterschied macht, ob Sie mit dem Passwortdienst auf einer Webseite, in einer Browsererweiterung oder mit einer lokal installierten Anwendung interagieren. Die gesamte Aktion findet auf Ihrem Gerät statt.
Der Prozess beginnt, wenn die App mithilfe von a einen Verschlüsselungsschlüssel von Ihrem Master-Passwort ableitet speziell entwickelter Algorithmus(Öffnet in einem neuen Fenster) entwickelt, um das Knacken unmöglich zu machen. Anschließend hasht es diesen Schlüssel und verwendet eine verschlüsselte Verbindung, um das Benutzername/Hash-Paar an den Server zu übertragen, wo es verschlüsselt gespeichert wird.
Im weiteren Verlauf verarbeitet die App erneut Ihr Master-Passwort, um einen völlig anderen Schlüssel abzuleiten, den sie zur Verschlüsselung und Entschlüsselung Ihres Passwortschatzes verwendet. Lurey weist darauf hin, dass Keeper aus praktischen Gründen diesen Schlüssel verwendet nicht um Ihre Daten direkt zu verschlüsseln, aber um noch einen weiteren „Datenschlüssel“ zu verschlüsseln, der für die Verschlüsselung verwendet wird. Nach dem Verschlüsseln Ihrer Daten werden diese über eine verschlüsselte Verbindung an den Server gesendet.
Der Server speichert jetzt einen verschlüsselten Datenblock, der Ihnen gehört, aber der Schlüssel zum Entschlüsseln dieser Daten verlässt niemals Ihr lokales Gerät. Auf dem Server gibt es keine Aufzeichnung Ihres Master-Passworts oder dieses Schlüssels. Der Server enthält einen Hash eines anderen Schlüssels, der bestätigt, dass Sie dazu berechtigt sind empfangen die verschlüsselten Daten. Und das ist alles.
Zugriff auf Ihre Daten erhalten
Wenn Sie sich bei Ihrem Passwort-Manager anmelden, durchläuft Ihre lokale App viele der gleichen Schritte. Es verarbeitet Ihr Passwort auf die gleiche Weise und sendet den resultierenden Hash (mit Ihrem Benutzernamen) zur Überprüfung an den Server. Wenn alles passt, sendet der Server sicher einen verschlüsselten Datenblock an die lokale App.
Die lokale App leitet den Verschlüsselungsschlüssel wie zuvor ab und verwendet ihn, um die gewünschten Daten lokal zu entschlüsseln. Sobald die Daten ihren Zweck erfüllt haben, beispielsweise um Anmeldeinformationen für die Website-Anmeldung einzugeben, löscht die App diese Klartextdaten aus dem Speicher. Das Löschen dieser lokalen Daten ist äußerst wichtig. Im Jahr 2019 fanden Forscher einen Fehler in der LastPass-Browsererweiterung, der die zuletzt verwendeten Anmeldeinformationen nicht löschen konnte, sodass eine bösartige Website die Möglichkeit hatte, sie zu erfassen. LastPass hat es natürlich sofort behoben.
Der Passwortmanager kann die heruntergeladenen Daten in verschlüsselter Form aufbewahren und sie nach Bedarf entschlüsseln. So können Sie auch offline auf Ihre Daten zugreifen.
Von unseren Redakteuren empfohlen
Immer mehr Sicherheit
Selbst wenn Ihr Master-Passwort lang, stark und zufällig ist, ist es denkbar, dass ein Übeltäter es irgendwie erlangt und versucht, sich anzumelden. Viele Passwort-Manager wenden zusätzliche Sicherheit an, wenn sie eine Verbindungsanfrage von einem unbekannten Gerät erhalten. Sie können beispielsweise die Eingabe eines Codes verlangen, der an die mit Ihrem Konto verknüpfte E-Mail-Adresse gesendet wird, oder eine In-App-Bestätigung von einem bereits vertrauenswürdigen Gerät verlangen. Sobald Sie sich authentifiziert haben, entscheiden Sie, ob dem Gerät beim nächsten Mal vertraut werden soll. Was den Passwortdieb betrifft, sie stecken fest. Ohne diese zusätzliche Überprüfung ist das gestohlene Passwort nutzlos.
Ich habe Lurey von Keeper nach der Sicherheit dieses Prozesses gefragt: Wie verfolgt die serverseitige Software Ihre vertrauenswürdigen Geräte? Welche Vorsichtsmaßnahmen schützen den sekundären Authentifizierungscode? Er bestätigte meinen Gedanken, dass dieser Teil des Prozesses nicht den gleichen Waffenschutz wie oben beschrieben hat. Geräte-IDs werden in einer verschlüsselten Datenbank auf dem Server gespeichert und bei Bedarf überprüft oder aktualisiert. Es ist denkbar, wenn auch sehr unwahrscheinlich, dass ein Angreifer eine Geräte-ID stehlen oder fälschen könnte, aber selbst dann würde er immer noch Ihr Master-Passwort benötigen.
Was ist Zwei-Faktor-Authentifizierung?
Mit der Multi-Faktor-Authentifizierung, kurz MFA, können Sie die Sicherheit Ihres Passwortspeichers deutlich erhöhen. Bei MFA erfordert die Authentifizierung mindestens zwei der folgenden Elemente: etwas, das Sie wissen (z. B. ein Master-Passwort); etwas, das Sie haben (z. B. einen Sicherheitsschlüssel); oder etwas, das Sie sind (z. B. ein Fingerabdruck). Das bedeutet, dass Sie jedes Mal, wenn Sie sich anmelden, Ihr Master-Passwort eingeben und mindestens einen weiteren Faktor angeben müssen. Der zuvor erwähnte Passwortdieb hat keine Chance, wenn Sie MFA aktiviert haben.
Es stimmt, dass Passwort-Manager Ihr Passwort wirklich nicht kennen
Passwort-Manager-Unternehmen können Datenschutzverletzungen erleiden und tun dies auch. LastPass hat kürzlich einen Verstoß gegen einen Cloud-Speicherdienst eines Drittanbieters gemeldet, der Kundendaten hostet, und ein solcher Verstoß kann Ihre persönlichen Daten preisgeben. Die Hacker könnten sogar Ihre Kreditkartendaten oder Zugriff auf die verschlüsselten Dateien erhalten, die Ihre Passwörter darstellen. Was sie niemals bekommen werden, sind die Passwörter selbst, da der Entschlüsselungsschlüssel und die entschlüsselten Passwörter niemals auf dem Server existieren.
Das bedeutet, dass Passwort-Manager-Unternehmen nicht lügen oder ausflüchten, wenn sie sagen, dass sie keine Möglichkeit haben, auf Ihre Daten zuzugreifen. Die einzigen Dinge, die auf ihren Servern gespeichert werden, sind verschlüsselte Blöcke Ihrer Daten und ein Hash-Wert (ganz anders als der Entschlüsselungsschlüssel), der Ihr Recht bestätigt, diese Daten zu erhalten. Verschlüsselung, Entschlüsselung und Passwortverwaltung erfolgen alle auf Ihrem lokalen Gerät. Behalten Sie Ihr starkes Passwort für sich, ziehen Sie in Betracht, MFA zu aktivieren, und es sollte Ihnen gut gehen.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.