Passwortmanager gelten als digitale Tresore. Millionen Nutzer speichern dort ihre Zugangsdaten. Sie vertrauen auf starke Verschlüsselung und einfache Bedienung. Nun zeigt eine Studie der ETH Zürich: Dieses Vertrauen wackelt.

Forscher der Hochschule nahmen drei bekannte, cloudbasierte Dienste unter die Lupe: Bitwarden, LastPass und Dashlane. Weltweit nutzen rund 60 Millionen Menschen diese Angebote. Gemeinsam halten sie knapp ein Viertel des Marktes.

Hersteller werben mit «Zero Knowledge Encryption». Damit versprechen sie, dass selbst sie keinen Zugriff auf gespeicherte Passwörter haben. Die Daten lägen verschlüsselt auf ihren Servern. Ein Einbruch in den Server gefährde Kunden nicht.

Die ETH-Forscher widersprechen. In Tests griffen sie auf gespeicherte Passwörter zu. Teilweise änderten sie diese sogar. Dafür bauten sie eigene Server auf. Diese verhielten sich wie kompromittierte Systeme. Schon bei alltäglichen Abläufen wie Anmelden, Tresor öffnen oder Synchronisieren setzten die Angriffe an.

Insgesamt demonstrierte das Team 25 Attacken. Zwölf trafen Bitwarden, sieben LastPass und sechs Dashlane. In mehreren Fällen verschafften sich die Forscher vollständigen Zugriff auf einzelne Tresore. Teilweise kompromittierten sie ganze Organisationskonten.

Grund für die Lücken liegt oft im Code. Die Programme wachsen seit Jahren. Anbieter ergänzen ständig neue Funktionen. Nutzer wollen Passwörter teilen, Konten wiederherstellen oder Familienzugänge einrichten. Jede Zusatzfunktion erhöht die Komplexität. Unübersichtlicher Code öffnet neue Angriffsflächen.

Brisant ist die Zurückhaltung vieler Firmen bei Updates. Entwickler fürchten, Kunden könnten den Zugriff auf ihre Daten verlieren. Deshalb halten manche Anbieter an veralteten kryptografischen Verfahren fest. Diese stammen teils aus den 1990er-Jahren.

Vor der Veröffentlichung informierte das ETH-Team die betroffenen Firmen. Sie erhielten 90 Tage Zeit, um die Lücken zu schliessen. Laut den Forschern reagierten die meisten kooperativ. Das Tempo bei der Behebung variierte jedoch.