Stiftung Warentest evaluerer adgangskodeadministratorer
I april 2022 fik vi at vide, at Stiftung Warentest snart ville benchmarke vores Password Depot - en password manager "Made in Darmstadt", som er blevet udviklet og solgt i Tyskland i over 20 år - mod andre konkurrenter på dette område.
Vores produkt blev tildelt 1. pladsen - to gange - af Fraunhofer Institute på vegne af et velkendt computermagasin for mere end 10 år siden, har opnået utallige andre testsejre og blev for nylig udsat for en streng pen-test af SySS GmbH, som det bestod med bedømmelsen "meget sikker".
I 07/2022-udgaven af Stiftung Warentest har vi nu noteret os, at Password Depot kun fik bedømmelsen "Sufficient" (= D).
Hvordan kunne det ske?
I den aktuelle benchmark-test fra Stiftung Warentest blev det besluttet, at et produkt bliver devalueret, dvs. ikke kan opnå mere end "Sufficient" eller D, hvis det tillader et enkelt tegn som hovedadgangskode ved oprettelse af nye databaser - dvs. uanset hvor godt eller dårligt det klarer sig i alle andre testkriterier.
Dette var den eneste grund til vurderingen "Sufficient" eller D. Password Depot tillod faktisk masteradgangskoder med et enkelt tegn indtil version 16.0.3 - men kun efter eksplicitte sikkerhedsadvarsler.
Uden denne funktion ville Password Depot højst sandsynligt have fået karakteren "God" eller B baseret på de resterende testkriterier.
Den forestående devaluering på grund af hovedadgangskoden på 1 tegn blev kommunikeret til os af Stiftung Warentest på forhånd (april 2022). Som følge heraf implementerede vi en opdatering den 26.04.22, og siden da er en minimumslængde på 15 tegn blevet håndhævet, når der oprettes nye databaser. Derudover skal der bruges mindst tre ud af fire tegntyper (store/små bogstaver, tal, specialtegn). (En note om denne funktion: Dette er bestemt en fornuftig standardindstilling for helt uerfarne brugere for at beskytte dem. Selv om det kan være irriterende at skulle bruge så komplekse adgangskoder i visse situationer, f.eks. når man tester programmet eller opretter midlertidige databaser).
Desværre blev denne opdatering ikke taget i betragtning af testerne i den endelige evaluering, selvom vi havde offentliggjort opdateringen inden for 24 timer efter at være blevet informeret om den, dvs. ca. 2 måneder før udgivelsen af 07/2022-udgaven (se opdatering til version 16.0.3 fra 26/04/22).
Vores konkurrent Avira havde på den anden side et "farligt sikkerhedshul", men rettelsen af det blev stadig i høj grad taget i betragtning i den offentliggjorte test. Det er ikke helt forståeligt, hvorfor dette ikke kunne ske i vores tilfælde. Ved nærmere forespørgsel blev vi informeret om, at: "En sikkerhedssårbarhed skal evalueres anderledes end en bevidst designbeslutning."
Nu kan man diskutere, om en adgangskodeadministrator skal devalueres, hvis den tillader et enkelt tegn som hovedadgangskode på trods af eksplicitte advarsler til brugeren. Men et af de vigtigste kriterier, set fra vores synspunkt, blev slet ikke overvejet under testen:
For at vurdere sikkerheden ved en password manager er det i det mindste nødvendigt at undersøge, hvordan den arbejder med brugerens passwords, og om den efterlader spor i arbejdshukommelsen. Lad os antage følgende scenarie: En bruger arbejder med en password manager på kontoret. Derefter låser vedkommende sin password manager og forlader arbejdspladsen i et kort stykke tid - i tillid til, at alt er i orden. Men hvis en ondsindet tredjepart får adgang til brugerens pc i bare et par minutter, kan de læse hukommelsen i testvinderen, 1Password, og få adgang til alle deres passwords i klartekst - uden at den uheldige bruger nogensinde opdager det: Det er en alvorlig sikkerhedsfejl!
Mange password managers er ikke i stand til at kryptere brugerens data i arbejdshukommelsen. Det er faktisk en meget kompleks udfordring, da Windows' hukommelsesstyring kun kan manipuleres og kontrolleres i begrænset omfang. Overraskende nok førte denne opførsel ikke til en nedgradering for "testvinderen" 1Password.
Stiftung Warentest's begrundelse for dette var som følger:
"På et system, der allerede er blevet kompromitteret, kan man forestille sig mange scenarier, der kan bringe brugerens sikkerhed i fare. At antage dette som grundlag for test gør stort set enhver yderligere udtalelse om de enkelte produkters potentielle sikkerhed umulig."
Vi må erklære os stærkt uenige i denne besynderlige argumentation. Især på kompromitterede systemer skal vi forsøge at beskytte alle brugere på den bedst mulige måde. Ellers kan vi lige så godt gemme vores adgangskoder i Excel-regneark igen.
Selv i tilfælde af en bilulykke "kan man forestille sig mange scenarier, der kan bringe brugernes sikkerhed i fare." Det er netop derfor, vi har brug for en airbag og ABS og alle de andre sikkerhedsforanstaltninger i køretøjer. Hvis man følger argumentationen fra testerne fra Stiftung Warentest, ville disse sikkerhedsmekanismer ikke give mening i tilfælde af en ulykke, fordi "hesten allerede er stukket af".
Password Depot, derimod, krypterer ikke kun data i arbejdshukommelsen. Det beskytter også mod malware på brugerens pc - malware, der f.eks. forsøger at udgive sig for at være Password Depots addon - ved at gøre det muligt at passwordbeskytte kommunikationen mellem Password Depot og dets addon. Eller, for at vælge en anden funktion, den blokerer adgangen, når man forsøger at kopiere for mange adgangskoder til udklipsholderen på for kort tid.
Vi håber inderligt, at vi var i stand til at kommunikere til dig, hvorfor du på trods af dette - ved første øjekast - dystre testresultat ikke behøver at bekymre dig om sikkerheden af dine data i Password Depot og kan fortsætte med at stole på Password Depot uden nogen begrænsninger.
PS: Skærmbillederne nedenfor viser, hvor farligt nemt det er at aflæse dine adgangskoder fra testvinderen.
Et eksempel på en post i 1Password:
Selvom programmet er låst, er det muligt at læse både adgangskoden og brugernavnet (praktisk nok endda med de matchende etiketter "Adgangskode" og "Brugernavn").
