Sicherheitsalarm: So tricksten Hacker beliebte Passwort-Manager aus – und warum Du sie trotzdem nutzen solltest

VonJörn Schmidt
1Password Logo
Quelle: 1Password

Passwort-Manager gelten als essenzielle Werkzeuge für mehr Cybersicherheit. Doch kürzlich enthüllte ein Sicherheitsexperte eine Schwachstelle, die zahlreiche bekannte Anwendungen dieser Art betraf. Marek Toth präsentierte seine Erkenntnisse auf der Defcon-Konferenz und zeigte, wie Angreifer Formulardaten abgreifen könnten – allerdings nur mit beträchtlichem Aufwand.

Getestete Anwendungen wie 1Password, Bitwarden, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm waren anfällig. Einzig Dashlane blieb unbetroffen. Die gute Nachricht: Die meisten Anbieter haben inzwischen Updates bereitgestellt, die das Problem beheben. Es gibt keine Hinweise darauf, dass Kriminelle die Lücke bereits aktiv ausgenutzt haben.

So funktionierte der Angriff

Die Methode nutzte manipulierte Webseiten mit unsichtbaren Formularfeldern. Angreifer hätten Texteingabefelder für sensible Daten wie Adresse, Namen oder Kreditkartennummern einbauen und deren Deckkraft fast komplett reduzieren müssen. Obwohl unsichtbar, hätten Passwort-Manager diese Felder erkannt und angeboten, sie automatisch auszufüllen.

Durch geschicktes Platzieren von Klick-Elementen – etwa Cookie-Bannern oder CAPTCHAs – und das Unsichtbarmachen der Bestätigungsabfrage des Managers, hätten Nutzer unwissentlich ihre Daten preisgeben können. Die erbeuteten Informationen wären ideal für gezielte Phishing-Angriffe geeignet.

Wichtig ist: Passwörter, Zwei-Faktor-Authentifizierungsdaten oder Passkeys waren nicht gefährdet. Ein Angriff auf diese Informationen wäre erheblich komplexer und würde zusätzliche Sicherheitslücken voraussetzen.

Sind Passwort-Manager noch sicher?

Absolut. Solche Schwachstellen zeigen, wie wichtig regelmäßige Updates sind. Doch verglichen mit den Risiken schwacher oder wiederverwendeter Passwörter bleiben Passwort-Manager die bessere Alternative. Ohne sie neigen Nutzer zu simplen Kennwörtern – ein leichtes Ziel für Brute-Force-Angriffe.

Die aktuelle Entdeckung unterstreicht aber, dass keine Software perfekt ist. Entscheidend ist eine schnelle Reaktion der Hersteller – und die erfolgte hier.

Verpasse keine News, folge mir auf WhatsApp oder Google News


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert