Stiftung Warentest evaluerer passordadministratorer

I april 2022 fikk vi vite at Stiftung Warentest snart ville sammenligne Password Depot - en passordadministrator "Made in Darmstadt", som har blitt utviklet og solgt i Tyskland i over 20 år - med andre konkurrenter på dette området.

Produktet vårt ble tildelt 1. plass - to ganger - av Fraunhofer-instituttet på vegne av et kjent datamagasin for mer enn 10 år siden, har oppnådd utallige andre testseire og ble nylig utsatt for en streng penntest av SySS GmbH, som det besto med karakteren "svært sikker".

I utgaven 07/2022 av Stiftung Warentest har vi nå notert oss at Password Depot kun fikk karakteren "Sufficient" (= D).

Hvordan kunne dette skje?

I den aktuelle benchmark-testen til Stiftung Warentest ble det bestemt at et produkt devalueres, dvs. ikke kan oppnå mer enn "Tilstrekkelig" eller D, hvis det tillater ett enkelt tegn som hovedpassord ved opprettelse av nye databaser - dvs. uansett hvor godt eller dårlig det presterer i alle andre testkriterier.

Vurdering av Password Depot 16.0.2

Dette var den eneste grunnen til vurderingen "Sufficient" eller D. Password Depot tillot riktignok hovedpassord med ett tegn frem til versjon 16.0.3 - men bare etter eksplisitte sikkerhetsadvarsler.

Uten denne funksjonen ville Password Depot sannsynligvis fått karakteren "Good" eller B basert på de øvrige testkriteriene.

Den forestående devalueringen på grunn av hovedpassordet på 1 tegn ble kommunisert til oss av Stiftung Warentest på forhånd (april 2022). Som et resultat av dette implementerte vi en oppdatering 26.04.22, og siden da har vi innført en minimumslengde på 15 tegn ved oppretting av nye databaser. I tillegg må minst tre av fire tegntyper brukes (store/små bokstaver, tall, spesialtegn). (En merknad om denne funksjonen: Dette er absolutt en fornuftig standardinnstilling for helt uerfarne brukere, for å beskytte dem. Selv om det kan være irriterende å måtte bruke så komplekse passord i visse situasjoner, for eksempel når du tester programmet eller oppretter midlertidige databaser).

Dessverre tok ikke testerne hensyn til denne oppdateringen i den endelige evalueringen, selv om vi publiserte oppdateringen innen 24 timer etter at vi ble informert om den, dvs. ca. 2 måneder før utgivelsen av 07/2022-utgaven (se oppdatering til versjon 16.0.3 fra 26/04/22).

Vår konkurrent Avira hadde derimot et "farlig sikkerhetshull", men det ble likevel i stor grad tatt hensyn til dette i den publiserte testen. Det er ikke helt forståelig hvorfor dette ikke kunne skje i vårt tilfelle. Ved nærmere forespørsel fikk vi opplyst at: "En sikkerhetssårbarhet skal evalueres på en annen måte enn en bevisst designbeslutning."

Nå kan man diskutere om en passordbehandler må devalueres hvis den tillater ett enkelt tegn som hovedpassord til tross for eksplisitte advarsler til brukeren. Et av de viktigste kriteriene, slik vi ser det, ble imidlertid ikke vurdert i det hele tatt under testen:

For å evaluere sikkerheten til en passordadministrator må man i det minste undersøke hvordan den håndterer brukerens passord og om den etterlater seg spor i arbeidsminnet. La oss anta følgende scenario: En bruker arbeider med en passordbehandler på kontoret. Deretter låser vedkommende passordbehandleren og forlater arbeidsplassen for en kort stund - i tillit til at alt er i orden. Men hvis en ondsinnet tredjepart får tilgang til brukerens PC i bare noen få minutter, kan vedkommende lese minnet til testvinneren 1Password og få tilgang til alle passordene i klartekst - uten at den uheldige brukeren merker det: Det er en alvorlig sikkerhetsbrist!

Mange passordadministratorer kan ikke kryptere brukerens data i arbeidsminnet. Dette er faktisk en svært kompleks utfordring siden Windows' minnestyring bare kan manipuleres og kontrolleres i begrenset grad. Overraskende nok førte ikke denne oppførselen til en nedgradering for "testvinneren" 1Password.

Stiftung Warentest begrunnet dette på følgende måte:

"På et system som allerede er kompromittert, kan man tenke seg mange scenarier som kan sette brukerens sikkerhet i fare. Å legge dette til grunn for testingen gjør det praktisk talt umulig å uttale seg om enkeltprodukters potensielle sikkerhet."

Vi er helt uenige i denne besynderlige argumentasjonen. Spesielt på kompromitterte systemer må vi forsøke å beskytte alle brukere på best mulig måte. Ellers kan vi like gjerne lagre passordene våre i Excel-regneark igjen.

Selv ved en bilulykke "kan man tenke seg mange scenarier som kan sette brukernes sikkerhet i fare." Det er nettopp derfor vi trenger kollisjonsputer, ABS og alle de andre sikkerhetstiltakene i biler. I henhold til argumentasjonen til testerne i Stiftung Warentest vil disse sikkerhetsmekanismene ikke gi mening i tilfelle en ulykke, fordi "hesten allerede har stukket av".

Password Depot krypterer derimot ikke bare data i arbeidsminnet. Det beskytter også mot skadelig programvare på brukerens PC - for eksempel skadelig programvare som prøver å utgi seg for å være Password Depots tilleggsprogram - ved å passordbeskytte kommunikasjonen mellom Password Depot og tilleggsprogrammet. Eller, for å ta en annen funksjon, den blokkerer tilgangen når du prøver å kopiere for mange passord til utklippstavlen på for kort tid.

Vi håper inderlig at vi klarte å formidle til deg hvorfor du, til tross for dette - ved første øyekast - dystre testresultatet, ikke trenger å bekymre deg for sikkerheten til dataene dine i Password Depot og kan fortsette å stole på Password Depot uten noen begrensninger.

PS: Skjermbildene nedenfor viser hvor farlig enkelt det er å lese passordene dine fra testvinneren.

Et eksempel på en oppføring i 1Password:

Et Kennwort i 1Password anlegen

Selv om programmet er låst, er det mulig å lese både passordet og brukernavnet (praktisk selv med de matchende etikettene "Passord" og "Brukernavn").

Bei 1Password ist das Kennwort im Klartext im Arbeitsspeicher auslesbar.