Forscher kritisieren Passwort-Verschlüsselung von Windows

Ein Team von Sicherheitsforschern hat in der vergangenen Woche auf der Konferenz Black Hat demonstriert, wie sich die in Windows integrierte Verschlüsselung, die bei der Speicherung von Passwörtern verwendet wird, aushebeln lässt. Ein Angreifer könnte die Lücke ausnutzen, um Passwörter zu stehlen, die in Browsern und anderen Programmen wie Instant-Messaging-Clients hinterlegt sind.

„Es geht nicht nur um Daten auf einem Computer, sondern um alles, was man in der Cloud hat, inklusive Facebook-Konten, Google-Mail-Konten und so weiter“, sagte Elie Bursztein, Forscher an der Stanford University, der auch Microsofts Standortdatenbank analysiert hatte. Bei seinen Untersuchungen wurde er von Ivan Fontarensky, Matthieu Martin und Jean Michel Picod unterstützt.

Um Passwörter zu entschlüsseln, veröffentlichten die vier Forscher ein Open-Source-Tool namens OWADE, was für Offline Windows Analyzer and Data Extractor steht. Das Tool läuft unter Ubuntu und kann Daten entschlüsseln, die von den vier großen Browsern – Internet Explorer, Firefox, Chrome und Safari – sowie Instant-Messaging-Anwendungen unter Windows stammen. Getestet wurde es bisher allerdings nur unter Ubuntu 10.10 und mit Windows-XP-Laufwerken.


Der Sicherheitsforscher Elie Bursztein (links) hat auf der Black-Hat-Konferenz Lücken in der Passwortverschlüsselung von Windows demonstriert (Bild: Declan McCullagh, News.com).

OWADE nutzt mehrere Lücken in der Verschlüsselungsfunktion DPAPI aus, die Teil der Crypto-API ist. Entwicklern erlaubt sie, sensible Daten verschlüsselt zu speichern. Unter anderem sei die Zahl der möglichen Passwörter unter Windows ungewöhnlich gering, so die Forscher. Es gebe „lediglich“ rund sieben Billionen Möglichkeiten, die sich vorausberechnen ließen.

Browser speichern Passwörter für Websites an verschiedenen Stellen mit unterschiedlichen Sicherheitsvorkehrungen. „Es tut mir sehr leid, aber Firefox ist bei Offline Security der Schlechteste“, sagte Bursztein, der selbst den Mozilla-Browser verwendet. Microsofts Internet Explorer biete in diesem Punkte die meiste Sicherheit. Wenn man nicht die genaue Website kenne, lasse sich ein Passwort nicht wiederherstellen.

Bei den Messaging-Anwendungen ist den Forschern zufolge Skype am sichersten, weil es eine eigene Verschlüsselungsmethode verwendet. Ein ausreichend starkes Skype-Passwort lasse sich nicht entdecken. Der Windows-Client für Google Talk, der DPAPI verwende, sei „schwer“ zu knacken. Microsofts Messenger bewerteten sie mit „mittel“. Schlechter schnitten Trillian und Pidgin ab.

Microsoft verweist auf Nachfrage von ZDNet auf die Laufwerksverschlüsselung Bitlocker, um sich vor dem Diebstahl von gespeicherten Passwörtern zu schützen. Bitlocker hatte Microsoft mit Windows Vista eingeführt. Das Feature ist aber nur für die Versionen Ultimate und Enterprise verfügbar.

Auch Bursztein hält dies für die einzige Möglichkeit. „Die Windows-Mechanismen zum Schutz von Daten können leicht umgangen werden. Wenn man nicht möchte, dass die eigenen Konten kompromittiert werden, ist die einzig wahre Alternative, die Festplatte zu verschlüsseln.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago