Stiftung Warentest testet Passwort-Manager

Im April 2022 erfuhren wir, dass die Stiftung Warentest demnächst unser Password Depot berücksichtigen würde – einen Passwort-Manager Made in Darmstadt, der seit über 20 Jahren in Deutschland entwickelt und verkauft wird.

Unser Produkt wurde bereits vor über zehn Jahren zweifach vom Fraunhofer-Institut im Auftrag eines namhaften Computermagazins zum Testsieger gekürt, hat zahlreiche weitere Testsiege erzielt und wurde zuletzt von der SySS GmbH einem rigorosen Penetrationstest unterzogen, den es mit dem Prädikat "sehr sicher" bestanden hat.

In der Ausgabe 07/2022 der Stiftung Warentest haben wir nun zur Kenntnis genommen, dass Password Depot nur mit „Ausreichend“ bewertet wurde.

Wie konnte es dazu kommen?

Im Falle des aktuellen Tests der Stiftung Warentest hat man entschieden, dass ein Produkt abgewertet wird, also nicht mehr als „Ausreichend“ erzielen kann, wenn es beim Erstellen von neuen Datenbanken nur ein einziges Zeichen als Master-Kennwort zulässtunabhängig davon, wie gut oder schlecht es bei allen anderen Testkriterien abschneidet.

Bewertung für Password Depot 16.0.2

Das war der einzige Grund für das „Ausreichend“. Password Depot hat bis zu Version 16.0.2 tatsächlich auch ein Zeichen als Master-Kennwort zugelassen – jedoch nur nach ausdrücklicher Sicherheitswarnung.

Ohne dieses Merkmal hätte Password Depot anhand der restlichen Testkriterien sehr wahrscheinlich ein „Gut“ erhalten.

Wichtig: Die drohende Abwertung aufgrund des 1‑Zeichen‑Master-Kennworts wurde uns von der Stiftung Warentest im Vorfeld (April 2022) mitgeteilt. Also haben wir am 26.04.2022 ein Update veröffentlicht. Seit Version 16.0.3 wird beim Anlegen neuer Datenbanken eine Mindestlänge von 15 Zeichen erzwungen. Dabei müssen mindestens drei von vier Zeichentypen verwendet werden (Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen). (Anmerkung: Dies ist eine sinnvolle Vorgabe für unerfahrene Anwender, auch wenn es z. B. beim Testen oder für temporäre Datenbanken gelegentlich lästig sein kann.) (Update auf Version 16.0.3 vom 26.04.22)

Dies wurde von den Testern leider nicht mehr für die Bewertung berücksichtigt, obwohl wir das Update innerhalb von 24 Stunden nach entsprechender Mitteilung veröffentlicht hatten – also ca. zwei Monate vor Erscheinen der Ausgabe 07/2022.

Bei dem Mitbewerber Avira lag hingegen eine „gefährliche Sicherheitslücke“ vor, deren Korrektur aber sehr wohl im Test noch berücksichtigt wurde. Es ist nicht ganz verständlich, warum dies bei uns nicht geschehen konnte. Auf Rückfrage teilte man uns mit: „Eine Sicherheitslücke ist anders zu bewerten als eine willentliche Designentscheidung“.

Nun kann man darüber streiten, ob ein Passwort-Manager abgewertet werden muss, wenn er trotz ausdrücklicher Warnung an den Benutzer auch ein einziges Zeichen als Master-Kennwort erlaubt. Eines der aus unserer Sicht wichtigsten Kriterien wurde bei dem Test hingegen nicht berücksichtigt:

Um die Sicherheit eines Passwort-Managers zu bewerten, wäre mindestens zu prüfen, was er mit den Kennwörtern des Benutzers unternimmt und ob er dabei Spuren im Arbeitsspeicher hinterlässt. Nehmen wir folgendes Szenario an: Ein Benutzer verwendet einen Passwort-Manager im Büro. Nun sperrt er seinen Passwort-Manager und verlässt kurz den Arbeitsplatz – im Vertrauen darauf, dass alles in Ordnung ist. Wenn sich nun eine böswillige Person für wenige Minuten an den PC des Benutzers begibt, kann sie den Arbeitsspeicher vom „Testsieger“ 1Password auslesen und verfügt über alle seine Kennwörter im Klartext. Ohne dass dieser Benutzer es jemals bemerken wird. Eine schwere Sicherheitslücke! (Hinweis: Klartext im RAM ist als Schwachstelle allgemein anerkannt, siehe MITRE CWE‑316.)

Viele Passwort-Manager sind nicht in der Lage, die Daten der Benutzer im Arbeitsspeicher zu verschleiern bzw. Klartextspuren zuverlässig zu vermeiden. Dies ist auch eine hochkomplexe Aufgabe, da die Speicherverwaltung von Windows nur bedingt manipuliert und gesteuert werden kann. Dieses Verhalten hat beim „Testsieger“ 1Password erstaunlicherweise aber nicht zur Abwertung geführt.

Die Begründung der Stiftung Warentest war hierzu:

„Auf einem bereits kompromittierten System sind viele Szenarien denkbar, die die Sicherheit der Nutzer gefährden können. Dies als Testgrundlage vorauszusetzen, macht praktisch jede weitere Aussage zur potenziellen Sicherheit einzelner Produkte unmöglich.“

Dieser haarsträubenden Argumentation müssen wir entschieden widersprechen. Gerade auf kompromittierten Systemen müssen wir versuchen, den Anwender bestmöglich zu schützen. Ansonsten könnten wir unsere Kennwörter auch wieder in Excel-Tabellen speichern.

Auch bei einem Autounfall „sind viele Szenarien denkbar, die die Sicherheit der Nutzer gefährden können“. Gerade deshalb brauchen wir einen Airbag und ABS und all die anderen Sicherheitsmaßnahmen in Fahrzeugen. Der Argumentation der Tester der Stiftung Warentest folgend, würden diese Sicherheitssysteme im Falle eines Unfalls keinen Sinn ergeben, weil das Kind dann schon in den Brunnen gefallen wäre.

Wesentlich ist: Password Depot räumt beim Wechsel in den gesperrten Modus alle sensiblen Daten aus dem Arbeitsspeicher und schützt die Zwischenablage (Erkennung von Clipboard-Viewern; automatisches Löschen; Verhindern der Protokollierung im Windows‑Zwischenablageverlauf ab Windows 10 1809). Darüber hinaus kann die Kommunikation mit dem Add-on zusätzlich per Kennwort geschützt werden; außerdem werden auffällige Kopiermuster (z. B. sehr viele Kopiervorgänge in kurzer Zeit) blockiert.

Wir hoffen, dass wir Ihnen erfolgreich kommunizieren konnten, warum Sie sich trotz dieses auf den ersten Blick desolaten Testergebnisses keinerlei Sorgen um die Sicherheit Ihrer Daten in Password Depot machen müssen und Password Depot weiterhin uneingeschränkt vertrauen können.

PS: Die nachfolgenden Screenshots zeigen, wie gefährlich einfach Ihre Kennwörter aus dem Testsieger ausgelesen werden können.

Ein Test-Eintrag in 1Password:

Ein Kennwort in 1Password anlegen

 

Obwohl das Programm gesperrt ist, kann man sowohl das Kennwort als auch den Benutzernamen auslesen (sogar gleich mit den passenden Labels „Password“ und „Username“).

 

Bei 1Password ist das Kennwort im Klartext im Arbeitsspeicher auslesbar

 

Quellen (Auswahl)