17 Passwortmanager für Smartphones unsicher

Freie und kommerzielle Tools mussten sich dem harten Test der Russen unterziehen. Doch keine der Passwort-Management-Apps außer einer nutzten die Security-Modelle von Apple oder RIM, alle verließen sich auf eigene Verschlüsslungen. Letztendlich habe keines der Produkte den versprochenen Grad des Schutzes erreichen können, berichtet Elcomsoft in einer aktuellen Meldung.

Nach einigen Tests stellte sich heraus, dass keine der genutzten Implementierungen den Elcom-Penetrationstests standhielt. Nutzerpasswörter zwischen 10 und 14 Zeichen Länge waren in weniger als einem Tag geknackt.

Noch schlimmer: Sieben der 17 Apps speicherten die Passwörter undverschlüsselt oder so schlecht kryptiert, dass man sie in Nullkommanichts wieder hergestellt hätte. Andrey Belenko, Elcomsofts Chef-Sicherheitsforscher: »Die richtige Verschlüsselung zu nutzen reicht nicht aus. Es benötigt nur eine Schwachstelle, und das ganze Security-Modell ist ruiniert.« Einige der angebotenen Passwort-Manager seien so hoffnungslos, dass man sie auf jeden Fall vermeiden sollte.

Elcomsoft-Gründer und Security-Analyst Dmitry Sklyarov scherzt: »Mit Open-Source Kryptographie-Bibliotheken kann eigentlich ‘jeder und sein Hund’ (Red: russisch für ‘Hinz und Kunz’) einen Passwortmanager zusammenstricken und dann behaupten, sein Produkt bringe vollen Schutz.« Ein gutes Security-Modell berücksichtige das ganze System samt User – und nicht nur einen starken Chiffrierungs-Algorithmus.

Ein vollständiges Whitepaper zu den Tests und Gefahren stellt Elcomsoft hier als PDF bereit. Darin sind auch alle getesteten Apps namentlich genannt. Auch das Blackberry Wallet sei mit den verwendeten Methoden leicht knackbar.