VPN-Clients und Passwortmanagern betroffen: Klartextpasswort im Prozessspeicher
VPN-Clients und Passwortmanagern betroffen: Klartextpasswort im Prozessspeicher
Wegen einer Lücke unter anderem in VPN-Clients und Passwortmanagern bleiben vertrauliche Daten auch nach Abmeldung im Prozess-Speicher und sind auslesbar.
Zu den getesteten Programmen gehörten unter anderem OpenVPN, CyberGhost VPN, Mullvad, 1Password und BitWarden. In vielen der getesteten Programme wurden die vertraulichen Daten auch nach dem Abmelden durch die Benutzer noch im Prozessspeicher gefunden – sogar Masterpasswörter von Passwortmanagern
Ist in dem Fall nicht theoretisch eher das Betriebssystem schuld? Würden die einzelnen Prozesse in einer Sandbox laufen hätten sie keinen Zugriff auf den Speicher anderer Programme.
Es geht im Artikel ja nicht um den Fakt, dass die Daten allgemein unverschlüsselt im Speicher liegen, sondern, dass die Programme ihre Daten nicht löschen, wenn man sie beendet/sich abmeldet.
Wenn du die Passwortmanager allgemein in einer Sandbox liegen hast, kannst du die Passwörter ja auch nicht in anderen Anwendungen einfügen und müsstest sie abtippen, was auch seine Sicherheitsprobleme mitbringt.
Am Ende des Tages hilft es nur bei so vielen Diensten wie möglich einen 2. Faktor zu nutzen und den NICHT im Passwortmanager zu speichern.
lol. warnung: entschlüsselte daten sind entschlüsselt!!!11
wie in letzter zeit die panik geschürt wird, dass man immer davon ausgehen muss, das eigene gerät sei kompromittiert.
vielleicht einfach mal weniger spyware installieren, wenn man geheime daten hat?
Du als Otto-Normalanweder hast das natürlich im Blick, was Spyware ist und was nicht?
Das ist die Idee hinter den Sicherheitsbetrachtungen, dass man davon ausgeht, dass das System kompromitiert ist und wie man den Schaden begrenzen kann. Es wären nur wenige Codezeilen mehr, den Speicher mit den sensiblen Daten nach Gebrauch wieder zu überschreiben.
Du kommst so nie zur Ruhe. Natürlich ist es gut, wenn wir Entwickler uns Mühe geben Systeme für Euch Nutzer möglichst sicher zu machen, aber Dein System wird nie 100% sicher sein. Wenn Dein Passwort aus dem Passwort-Manager in die Ziel-App kommt, muss es irgendwo kurz appübergreifend Verfügbar sein. Wenn Du entchlüsselte Dokumente oder andere Daten betrachtest, müssen sie für die Dauer entschlüsselt im RAM sein. Wenn Du ein Passwort eintippst, können es andere USB-Geräte theoretisch sniffen, etc.. Computing wird nie idiotensicher und 100% abgesichert sein. Irgendwo musst Du sagen "ok, ab hier is sicher genug" oder Du lebst Dein Leben in totaler paranoia offline.