Fast jedes Unternehmen setzt sich heutzutage mit dem Problem des richtigen Umgangs mit Passwörtern auseinander. Auch wenn das Ziel meist Single Sign-On mit möglichst Zwei-Faktor-Authentifizierung ist, sind noch viele Systeme und Dienste dazu nicht kompatibel.
Foto: Svetlana Shamshurina - shutterstock.com
Passwortmanager empfehlen sich hier als eine sinnvolle Ergänzung der Strategie. Post-it-Zettel unter der Tastatur oder ganze Passwortsammlungen in Textdateien irgendwo im Dateisystem sollten damit der Vergangenheit angehören. Das Risiko, dass von einem potentiellen Angreifer letztlich nur ein Master-Passwort anstelle einer Reihe von Passwörtern geknackt werden muss, wird durch umfangreiche Sicherungsmaßnahmen minimiert.
Für Unternehmen gilt es zu vermeiden, dass ein interner oder externer Angreifer an die Liste aller Passwörter gelangen kann. Dies käme der Offenlegung aller betrieblichen Daten gleich und wäre im Sinne der Datenschutz-Grundverordnung - sehr berechtigt - ein meldepflichtiges Ereignis (Artikel 33 DSGVO).
Business-Versionen von Passwortmanagern sind problematisch
Das Risiko steigt, wenn sogenannte Business-Versionen dieser Passwortmanager zum Einsatz kommen. Dann hat der einzelne Anwender nicht nur Zugriff auf seine eigenen, sondern auch auf Passwörter, die im Team geteilt werden. Wie aber kann es einem Hacker gelingen, an alle Passwörter heranzukommen? Die Antwort ist so erschreckend wie einfach: Er nutzt die Druckfunktion.
Passwortmanager hacken sich selbst per Druckauftrag
Mit nur wenigen Klicks lässt sich bei vielen Passwortmanagern die gesamte Liste von Logins inklusive der Passwörter im Klartext auf den Drucker senden. Und wer sich mit Drucken auskennt, weiß, dass Drucken von sensiblen Informationen ein heikles Thema ist.
Wird die Druck-Funktion ausgewählt, erscheint nicht nur, wie erwartet, eine Liste von Systemen und Login-Namen, sondern auch die jeweiligen Passwörter im Klartext. Und zwar nicht nur die eigenen, sondern auch die aus geteilten Ordnern anderer Teams.
Dazu werden keinerlei Administratorrechte benötigt, sondern es genügt, als ganz normaler Anwender eingeloggt zu sein. Direkt getestet wurde die Funktion bei Roboform und bei 1Password. Für den erweiterten Überblick wurden die Online-Dokumentationen von Lastpass und Keepass ausgewertet.
Kunden wollen es so
Warum sollte ein Passwortmanager überhaupt drucken können? Als Antwort auf eine per Twitter gestellte Frage erhielt der Autor die Auskunft, dass dies vor allem Kunden wünschen, um die Passwörter gesichert in einem Tresor ablegen zu können. Auch wenn es diesen Anwendungsfall sicherlich gibt, so bleibt die Frage, ob es deshalb jedem Anwender derart einfach möglich sein sollte, Passwortlisten zu drucken.