Forscher kritisieren Passwort-Verschlüsselung von Windows

Ein Team von Sicherheitsforschern hat in der vergangenen Woche auf der Konferenz Black Hat demonstriert, wie sich die in Windows integrierte Verschlüsselung, die bei der Speicherung von Passwörtern verwendet wird, aushebeln lässt. Ein Angreifer könnte die Lücke ausnutzen, um Passwörter zu stehlen, die in Browsern und anderen Programmen wie Instant-Messaging-Clients hinterlegt sind.

„Es geht nicht nur um Daten auf einem Computer, sondern um alles, was man in der Cloud hat, inklusive Facebook-Konten, Google-Mail-Konten und so weiter“, sagte Elie Bursztein, Forscher an der Stanford University, der auch Microsofts Standortdatenbank analysiert hatte. Bei seinen Untersuchungen wurde er von Ivan Fontarensky, Matthieu Martin und Jean Michel Picod unterstützt.

Um Passwörter zu entschlüsseln, veröffentlichten die vier Forscher ein Open-Source-Tool namens OWADE, was für Offline Windows Analyzer and Data Extractor steht. Das Tool läuft unter Ubuntu und kann Daten entschlüsseln, die von den vier großen Browsern – Internet Explorer, Firefox, Chrome und Safari – sowie Instant-Messaging-Anwendungen unter Windows stammen. Getestet wurde es bisher allerdings nur unter Ubuntu 10.10 und mit Windows-XP-Laufwerken.

OWADE nutzt mehrere Lücken in der Verschlüsselungsfunktion DPAPI aus, die Teil der Crypto-API ist. Entwicklern erlaubt sie, sensible Daten verschlüsselt zu speichern. Unter anderem sei die Zahl der möglichen Passwörter unter Windows ungewöhnlich gering, so die Forscher. Es gebe „lediglich“ rund sieben Billionen Möglichkeiten, die sich vorausberechnen ließen.

Browser speichern Passwörter für Websites an verschiedenen Stellen mit unterschiedlichen Sicherheitsvorkehrungen. „Es tut mir sehr leid, aber Firefox ist bei Offline Security der Schlechteste“, sagte Bursztein, der selbst den Mozilla-Browser verwendet. Microsofts Internet Explorer biete in diesem Punkte die meiste Sicherheit. Wenn man nicht die genaue Website kenne, lasse sich ein Passwort nicht wiederherstellen.

Bei den Messaging-Anwendungen ist den Forschern zufolge Skype am sichersten, weil es eine eigene Verschlüsselungsmethode verwendet. Ein ausreichend starkes Skype-Passwort lasse sich nicht entdecken. Der Windows-Client für Google Talk, der DPAPI verwende, sei „schwer“ zu knacken. Microsofts Messenger bewerteten sie mit „mittel“. Schlechter schnitten Trillian und Pidgin ab.

Microsoft verweist auf Nachfrage von ZDNet auf die Laufwerksverschlüsselung Bitlocker, um sich vor dem Diebstahl von gespeicherten Passwörtern zu schützen. Bitlocker hatte Microsoft mit Windows Vista eingeführt. Das Feature ist aber nur für die Versionen Ultimate und Enterprise verfügbar.

Auch Bursztein hält dies für die einzige Möglichkeit. „Die Windows-Mechanismen zum Schutz von Daten können leicht umgangen werden. Wenn man nicht möchte, dass die eigenen Konten kompromittiert werden, ist die einzig wahre Alternative, die Festplatte zu verschlüsseln.“