|
13.03.2026
07:30 Uhr
|
Der Passwortmanager Passbolt ist Open Source und wird in Luxemburg entwickelt. Wir zeigen, wie man ihn auf eigener Hardware aus dem Heimnetz betreibt.
Passwortmanager, die in der EU entwickelt und gehostet werden, sind eine gute Alternative zu US-Diensten und attraktiv für Nutzer, die ihre Daten gerne beisammenhalten. Sie erfordern jedoch immer noch, dass Sie dem jeweiligen Anbieter des Dienstes (oder der Infrastruktur, die er nutzt) vertrauen, auch wenn er mit Ende-zu-Ende-Verschlüsselung wirbt. Das Prinzip „Zero Knowledge Encryption“ soll dafür sorgen, dass die Anbieter die Passwörter gar nicht einsehen können, auch wenn sie wollten.
Sicherheitsforscher der ETH Zürich haben jedoch erst Mitte Februar 2026 eine Reihe von Sicherheitslücken in populären cloudbasierten Passwortmanagern gefunden, die mit diesem Prinzip werben. Unter Ausnutzung der Macken konnten die Forscher Passwörter einsehen oder verändern. Die Anbieter der angegriffenen Passwortmanager LastPass, Bitwarden und Dashlane waren kooperativ und haben die Lücken mittlerweile geschlossen.
Das Szenario für die Ausnutzung der Sicherheitslücken war, dass ein Angreifer vollständige Kontrolle über den Backend-Server erlangt hat (Malicious Server Threat Model). Das ist keine niedrige Hürde, aber ein Szenario, in dem Verschlüsselung eigentlich immer noch schützen sollte.