BSI legt umfassende Sicherheitsanalyse zu Passwortmanagern vor

Das BSI hat in einem neuen Bericht eine tiefgehende Sicherheitsbewertung von zehn gängigen Passwortmanagern veröffentlicht – darunter 1Password, KeePassXC, Chrome- und Firefox-Password-Manager sowie mehrere kommerzielle Anbieter. Die Analyse zeigt erhebliche Qualitätsunterschiede und teils kritische Schwächen im Markt. passwortmanager

Laut den Prüfungen (siehe Vergleichstabellen auf den Seiten 3–6) erfüllen nur wenige Produkte zentrale Sicherheitsanforderungen wie vollständige Verschlüsselung aller gespeicherten Inhalte oder eine sichere Neuverschlüsselung nach Änderung des Masterpassworts. Acht von zehn Passwortmanagern verschlüsseln nach Passwortänderungen nicht den gesamten Container neu – ein unnötiges Risiko bei Datenkompromittierungen. Drei untersuchte Produkte ermöglichen ihrem Hersteller technisch Zugriff auf gespeicherte Passwörter, was klar gegen Best Practices verstößt. passwortmanager

Weitere Probleme: Manche Programme setzen veraltete oder fragwürdige Kryptografie ein, dokumentieren Sicherheitsmechanismen unzureichend oder erlauben Passwort-Reset per Biometrie ohne Kenntnis des alten Masterpassworts (z. B. Avira, mSecure). Gleichzeitig zeigen Open-Source-Lösungen wie KeePassXC und Keepass2Android bei korrekter Nutzung ein hohes Sicherheitsniveau – allerdings ohne Wiederherstellungsmechanismen und mit manueller Backup-Pflicht. passwortmanager

Das BSI empfiehlt Nutzerinnen und Nutzern u. a. ein starkes Masterpasswort, regelmäßige Backups, die Aktivierung von 2FA sowie das Prüfen, ob Hersteller potenziell Zugriff auf Daten haben. Hersteller sollen kryptografische Konzepte offenlegen, sichere Defaults setzen und vollständige Verschlüsselung gewährleisten.

Related Posts

Kritische ASN.1-Validierungslücke in node-forge ermöglicht Signatur-Bypass

In der beliebten Kryptobibliothek node-forge wurde eine schwerwiegende Schwachstelle (CVE-2025-12816) entdeckt, die alle Versionen vor 1.3.2 betrifft. Die Lücke – ein Interpretation Conflict im ASN.1-Validator – erlaubt es entfernten, nicht authentifizierten Angreifern, speziell manipulierte ASN.1-Strukturen einzuschleusen und die interne Schema-Validierung zu „desynchronisieren“. Dadurch können sicherheitskritische Felder wie digitale Signaturen, MACs oder Integritätsprüfungen fehlerhaft interpretiert oder komplett übergangen werden.

Read More

Fortinet: Kritische LĂĽcke erlaubt SSO-Bypass via manipuliertem SAML

Fortinet warnt vor einer kritischen Schwachstelle (CVE-2025-59718, CVSS 9.1) in mehreren Produkten, darunter FortiOS, FortiWeb, FortiProxy und FortiSwitchManager. Durch eine fehlerhafte Prüfung kryptografischer Signaturen können Angreifer über manipulierte SAML-Nachrichten die FortiCloud-SSO-Authentifizierung umgehen – sofern die Funktion aktiviert ist.

Read More

Shai-Hulud 2.0: Neue npm-Supply-Chain-Attacke legt 25.000+ Repos offen

Ein neuer Ableger der Shai-Hulud-Kampagne trifft aktuell das npm-Ökosystem. Angreifer haben teils stark verbreitete Pakete – unter anderem aus den Ökosystemen von Zapier, ENS Domains, PostHog und Postman – mit trojanisierten Versionen kompromittiert, so berichtet der Security Blog von WIZ. Diese werden zwischen dem 21. und 23. November 2025 auf npm eingestellt und führen beim Installieren im preinstall-Schritt Credential-Stealer-Code aus.

Read More