l+f: Passwort-Safe mit Löchern
Googles Security Crack Tavis Ormandy nimmt sich nach der Anitviren-Software jetzt Passwort-Safes zur Brust -- mit ähnlich erschreckenden Resultaten.
Der Security-Experte und -Anbieter-Schreck Tavis Ormandy hat Passwort-Manager analysiert und wie nicht anders zu erwarten auch kritische Lücken gefunden. Die erste hat jetzt Keeper gefixt: Jede beliebige Web-Seite konnte sich da die gespeicherten Passwörter klauen. Als kleinen Bonus dokumentierte Tavis noch, wie ein Angreifer ganz einfach dafür sorgen konnte, dass sein Opfer zukünftig alle Passwörter bei ihm speichert.
Das war offenbar nur der erste in einer ganzen Reihe von kritischen Bugs; Ormandys Fazit ist ernüchternd: "Ich suche da nicht mehr weiter, die ganze Branche ist verrückt, ihr seid auf euch selber gestellt." Zumindest attestiert er dem verbreiteten Open-Source-Passwort-Manager KeePass ein solides Design.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(ju)
