Stiftung Warentest testet Passwort-Manager

Im April 2022 erfuhren wir, dass die Stiftung Warentest demnächst unser Password Depot berücksichtigen würde – einen Passwort-Manager Made in Darmstadt, der seit über 20 Jahren in Deutschland entwickelt und verkauft wird.

Unser Produkt wurde bereits vor über 10 Jahren zweifach vom Fraunhofer-Institut im Auftrag eines namhaften Computer-Magazins zum Testsieger gekürt, hat unzählige weitere Testsiege erzielt und wurde zuletzt von der SySS GmbH einem rigorosen Pen-Test unterzogen, welchen es mit dem Prädikat "sehr sicher" absolviert hat.

In der Ausgabe 07/2022 der Stiftung Warentest haben wir nun zur Kenntnis genommen, dass Password Depot nur mit "Ausreichend" bewertet wurde.

Wie konnte es dazu kommen?

Im Falle des aktuellen Tests der Stiftung Warentest hat man entschieden, dass ein Produkt abgewertet wird, also nicht mehr als "Ausreichend" erzielen kann, wenn es beim Erstellen von neuen Datenbanken nur ein einziges Zeichen als Master-Kennwort zulässt - also unabhängig davon, wie gut oder schlecht es bei allen anderen Testkriterien abschneidet.

Bewertung für Password Depot 16.0.2

Das war der einzige Grund für das "Ausreichend". Password Depot hat bis zu Version 16.0.3 tatsächlich auch nur ein Zeichen als Master-Kennwort zugelassen - jedoch nur nach ausdrücklicher Sicherheitswarnung.

Ohne dieses Merkmal hätte Password Depot anhand der restlichen Testkriterien sehr wahrscheinlich ein "Gut" erhalten.

Die drohende Abwertung aufgrund des 1-Zeichen-Master-Kennworts wurde uns von der Stiftung Warentest im Vorfeld (April 2022) mitgeteilt. Also haben wir am 26.04.22 ein Update durchgeführt und seitdem wird beim Anlegen neuer Datenbanken eine Mindestlänge von 15 Zeichen erzwungen. Dabei müssen mindestens drei von vier Zeichentypen verwendet werden (Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen). (Eine Anmerkung hierzu: Dies ist sicherlich eine sinnvolle Vorgabe für völlig unerfahrene Anwender, um sie zu schützen. Auch wenn es in bestimmten Situationen, zum Beispiel beim Testen der Anwendung oder beim Erzeugen temporärer Datenbanken evtl. lästig ist, solch komplexe Kennwörter verwenden zu müssen.)

Dies wurde von den Testern jedoch leider nicht mehr für die Bewertung berücksichtigt, obwohl wir das Update innerhalb von 24 Stunden nach entsprechender Mitteilung veröffentlicht hatten, also ca. 2 Monate vor Erscheinen der Ausgabe 07/2022 (siehe Update auf Version 16.0.3 vom 26.04.22).

Bei dem Mitbewerber Avira lag hingegen eine "gefährliche Sicherheitslücke" vor, deren Korrektur aber sehr wohl im Test noch berücksichtigt wurde. Es ist nicht ganz verständlich, warum dies bei uns nicht geschehen konnte. Auf Rückfrage teilte man uns mit: "Eine Sicherheitslücke ist anders zu bewerten als eine willentliche Designentscheidung".

Nun kann man darüber streiten, ob ein Passwort-Manager abgewertet werden muss, wenn er trotz ausdrücklicher Warnung an den Benutzer auch ein einziges Zeichen als Master-Kennwort erlaubt. Eines der aus unserer Sicht wichtigsten Kriterien wurde bei dem Test hingegen nicht berücksichtigt:

Um die Sicherheit eines Passwort-Managers zu bewerten, wäre mindestens zu prüfen, was er mit den Kennwörtern des Benutzers unternimmt und ob er dabei Spuren im Arbeitsspeicher hinterlässt. Nehmen wir folgendes Szenario an: Ein Benutzer verwendet einen Passwort-Manager im Büro. Nun sperrt er seinen Passwort-Manager und verlässt kurz den Arbeitsplatz - im Vertrauen darauf, dass alles in Ordnung ist. Wenn sich nun eine böswillige Person jedoch für wenige Minuten an den PC des Benutzers begibt, kann sie den Arbeitsspeicher vom Testsieger 1Password auslesen und verfügt über alle seine Kennwörter im Klartext. Ohne dass dieser Benutzer es jemals bemerken wird. Eine schwere Sicherheitslücke!

Viele Passwort-Manager sind nicht in der Lage, die Daten der Benutzer im Arbeitsspeicher zu verschlüsseln. Dies ist auch eine hochkomplexe Aufgabe, da die Speicherverwaltung von Windows nur bedingt manipuliert und gesteuert werden kann. Dieses Verhalten hat beim "Testsieger" 1Password erstaunlicherweise aber nicht zur Abwertung geführt.

Die Begründung der Stiftung Warentest war hierzu:

"Auf einem bereits kompromittierten System sind viele Szenarien denkbar, die die Sicherheit der Nutzer gefährden können. Dies als Testgrundlage vorauszusetzen, macht praktisch jede weitere Aussage zur potenziellen Sicherheit einzelner Produkte unmöglich."

Dieser haarsträubenden Argumentation müssen wir entschieden widersprechen. Gerade auf kompromittierten Systemen müssen wir versuchen, den Anwender bestmöglich zu schützen. Ansonsten könnten wir unsere Kennwörter auch wieder in Excel-Tabellen speichern.

Auch bei einem Autounfall "sind viele Szenarien denkbar, die die Sicherheit der Nutzer gefährden können". Gerade deshalb brauchen wir einen Airbag und ABS und all die anderen Sicherheitsmaßnahmen in Fahrzeugen. Der Argumentation der Tester der Stiftung Warentest folgend, würden diese Sicherheitssysteme im Falle eines Unfalls keinen Sinn ergeben, weil das Kind dann schon in den Brunnen gefallen wäre.

Password Depot dagegen verschlüsselt die Daten nicht nur im Arbeitsspeicher. Es bietet auch Schutz vor Schadsoftware auf dem PC des Anwenders – Schadsoftware, welche z. B. versucht, sich als das Addon von Password Depot auszugeben - indem die Kommunikation zwischen Password Depot und seinem Addon durch ein Kennwort geschützt werden kann. Oder beispielsweise blockiert es Zugriffe, wenn in zu kurzer Zeit versucht wird, zu viele Kennwörter in die Zwischenablage zu kopieren.

Wir hoffen, dass wir Ihnen erfolgreich kommunizieren konnten, warum Sie sich trotz dieses auf den ersten Blick desolaten Testergebnisses keinerlei Sorgen um die Sicherheit Ihrer Daten in Password Depot machen müssen und Password Depot weiterhin uneingeschränkt vertrauen können.

PS: Die nachfolgenden Screenshots zeigen, wie gefährlich einfach Ihre Kennwörter aus dem Testsieger ausgelesen werden können.

Ein Test-Eintrag in 1Password:

Ein Kennwort in 1Password anlegen

 

Obwohl das Programm gesperrt ist, kann man sowohl das Kennwort als auch den Benutzernamen auslesen (sogar gleich mit den passenden Labels "Password" und "Username".

 

Bei 1Password ist das Kennwort im Klartext im Arbeitsspeicher auslesbar