Der Chrome Password Manager hat mein Vertrauen vor 13 Jahren missbraucht. Ich habe es nie vergessen.

Dies ist die 13-jährige Reise, die zu Neulock führte, einem anderen Ansatz zur Passwortverwaltung. Hier geht es zu Articles[0] von Articles.length == 2.

Teil I

Es war im Jahr 2011. „Contagion“ war noch Filmmaterial; Die Leute kommunizierten mit einfarbigen Kritzelgesichtern statt mit den Dogen Pepe der Frosch und Shiba Inu, und Daenerys Targaryen war das kleine Mädchen, das den barbarischen Khal Drogo dazu brachte, die Liebe zu finden.

Damals machte Google Chrome dieses Angebot erstmals.

Möchten Sie, dass Google Chrome Ihr Passwort für diese Website speichert?

Dieses Passwort speichern? Ist das jetzt eine Sache, die Browser tun? Wow, danke, Chrome, das ist so praktisch! Wenn ich darüber nachdenke, tippe ich die meisten Passwörter in einem Webbrowser ein, daher scheint dies ein großartiger Ort zu sein, um sie zu speichern.

Und was ist das Schlimmste, was passieren kann? Chrome ist ein auf meinem Computer installiertes Programm. Mein Computer! Ich bin ein erfahrener Debian-Linux-Power-User und nirgends im Universum gibt es einen sichereren Ort als meine Festplatte!

Klar, Chrome, machen Sie weiter. Speichern Sie dieses und das nächste Passwort sowie jedes Passwort, das ich in Ihre Eingabefelder eingebe.

Täuschung

Bis ich einen anderen Computer kaufte. Nachdem ich das vorinstallierte Windows gegen die Linux-Distribution ausgetauscht hatte, die mir damals am besten gefiel, war das nächste, was ich tun musste, Chrome zu installieren. Firefox Quantum war noch sechs Jahre entfernt, also gab es keine große Auswahl.

Melde dich mit deinem Google-Account an? Sicher warum nicht? Schauen wir mal bei Facebook oder was auch immer nach und... hey, erinnerst du dich an meinen Benutzernamen Chrome? Also gut, melden wir uns bei Facebook an. Moment, warum ist das Passwortfeld bereits mit Sternchen ausgefüllt? Nein, lieber Chrome, das muss ein Fehler sein. Ich habe diesen Computer gerade erst gekauft, Ihre lokale Datenbank ist makellos. Sie werden Ihren Fehler erkennen, wenn ich auf die Schaltfläche „Anmelden“ klicke. Und... ich bin dabei?

Ich habe sofort die Chrome-Einstellungen überprüft. Was ich sah, verstärkte nur mein Entsetzen. Alle Websites und Benutzernamen, die ich gespeichert hatte, waren dort in einer Liste aufgeführt. Klartext-Passwörter waren nur einen Klick entfernt.

Zwei Erwartungen waren gebrochen worden. Das Erste und Wichtigste ist, dass ich nie erwartet hätte, dass Chrome meine Passwörter ohne Zustimmung auf die Server von Google hochlädt. Sie baten mich, meine Passwörter zu speichern und sie nicht weiterzugeben!

Die zweite Erwartung war Wunschdenken meinerseits. Schande über mich. Google ist eines der coolsten Technologieunternehmen der Welt, und seine Ingenieure sollen Genies sein, die zwischen Tischtennisspielen im Googleplex das Unmögliche schaffen. Ich dachte, Chrome würde meine Passwörter auf eine supersichere Art und Weise speichern und jedes Passwort nur zum richtigen Zeitpunkt abrufen, um es wie ein Ninja genau in das Eingabefeld einzufügen, wo es hingehörte. Ich hatte nicht erwartet, sie alle im Klartext zu sehen.

Und ich war nicht der Einzige, der schockiert war. Elliott Kember nannte die Passwortsicherheit von Chrome „verrückt “. In einer weiteren Diskussion tat Justin Schuh, der Sicherheitschef von Chrome, die Sache nur ziemlich arrogant ab . Sir Tim Berners-Lee stellte sich auf Kembers Seite und nannte den Passwort-Manager von Chrome „ eine Möglichkeit, an die Passwörter Ihrer großen Schwester zu gelangen “.

Nach dieser Erfahrung habe ich mich nie dazu durchgerungen, einem Passwort-Manager zu vertrauen, obwohl ich wusste, dass das besser ist, als seltsame Passwörter in meinem dummen menschlichen Kopf zu konstruieren. Aber wie man in Brasilien sagt: Ein Hund, der von einer Schlange gebissen wurde, fürchtet sich sogar vor Würstchen. Auf Portugiesisch ergibt das keinen Sinn.

Ein besserer Passwort-Manager

Ich verbrachte die nächsten zehn Jahre damit, in der Wüste der Passwortunsicherheit umherzuwandern. Ich sehnte mich nach einem besseren Passwort-Manager, aber alle schienen dem gleichen Prinzip zu folgen: Bündeln Sie alle Ihre Passwörter in einem „Tresor“, verschlüsseln Sie ihn mit Ihrem Hauptschlüssel und laden Sie diesen Tresor auf ihre Cloud-Server hoch. Ich konnte diesem Modell nie vertrauen. Implementieren sie eine Ende-zu-Ende-Verschlüsselung, richtig? Gibt es eine Hintertür zur „Schlüsselwiederherstellung“, die darauf wartet, ausgenutzt zu werden? Oder vielleicht hatte Justin Schuh doch recht: Ihre Passwörter werden von jeder Anwendung, die sie speichert, „trivial wiederhergestellt“, und Versuche, das Durchsickern von Passwörtern zu erschweren, sind „alles nur Theater“. In diesem Sinne war der Versuch, Ihre Passwörter weiter zu schützen, als nur einem Passwort-Manager zu vertrauen, eine dumme Aufgabe für Anfänger.

Im Jahr 2019 landete ich in der IT-Abteilung des brasilianischen Außenministeriums. Dort begleitete ich den CTO und Tech-Guru Fabio Cereda . Ich habe viel von ihm gelernt und habe nach seinem Weggang die Leitung übernommen. Cybersicherheit stand immer auf der Tagesordnung, da dieses Ministerium etwa 80 % aller Verschlusssachen der brasilianischen Bundesregierung produzierte und seine Aktivitäten über 240 Standorte auf allen bewohnbaren Kontinenten verteilt waren. Wir wurden ständig von den gruseligsten Abkürzungen der Welt ins Visier genommen, also mussten wir jederzeit auf der Hut sein. Im Laufe dieser Jahre begann ich, durch die ständige Auseinandersetzung mit Problemen in verschiedenen Bereichen der Cybersicherheit, Prinzipien für einen besseren Passwort-Manager zusammenzustellen.

Prinzip Nr. 0: Die gesamte Kryptografie ist kaputt oder wird irgendwann kaputt gehen

Dort, wo ich arbeitete, gab es ein Museum für diplomatische Kommunikation. Es war voll mit Codebüchern, gusseisernen Chiffriermaschinen, tragbaren Parabolantennen im Koffer, TELEX-Adaptern und einigen Exemplaren der berüchtigten C-52-Maschine der Crypto AG . Es war ein Schaufenster für eineinhalb Jahrhunderte geheimer Kommunikation zwischen dem Hauptquartier und den brasilianischen Botschaften und diplomatischen Vertretungen im Ausland. Sie alle verließen sich auf eine Art Krypto, um die Geheimnisse zu bewahren. Die ganze Krypto ist jetzt kaputt.

Wenn Sie über einen Passwort-Manager nachdenken, ist die Tatsache, dass alle Kryptos irgendwann kaputt gehen, nicht beängstigend. Nehmen wir an, es dauert durchschnittlich 15 Jahre, ein kryptografisches Protokoll zu knacken. Ändern Sie einfach alle paar Jahre Ihre Passwörter und alles wird gut. Ein guter Passwort-Manager sollte seine Krypto von Zeit zu Zeit aktualisieren, damit Sie immer einen Schritt voraus sind.

Das Erschreckende daran ist, dass es unmöglich ist zu wissen, ob ein Protokoll bereits gebrochen wurde. Oder schlimmer noch, wenn es mit einer absichtlichen, versteckten Schwachstelle entwickelt wurde, wie es bei der Maschine der Crypto AG der Fall war. Geheimdienste und Cyberkriminelle halten ihre Zero-Day-Angriffe so lange wie möglich unter dem Radar.

Je öfter ich sah, wie Sicherheitssysteme der letzten Generation für Unternehmen geheime Informationen preisgaben, manchmal auf katastrophal spektakuläre Weise, desto weniger vertraute ich dem Tresormodell, das von allen cloudbasierten Passwort-Managern verwendet wird.

Bis vor Kurzem waren diese Bedenken lediglich theoretischer Natur. Wie Hackernooner-Kollege @hossam26644 schrieb :

Es ist nichts Falsches daran, den Passwort-Manager von Google, Microsoft, Apple, 1password, Bitwarden oder was auch immer zu verwenden. Die Leute benutzen sie schon lange und hatten bis jetzt keinerlei Probleme.

Am 25. Juli 2022 hatte er Recht. Er vertraute jedoch keinem von ihnen und hatte wieder Recht. Ein Jahr später gab es überzeugende Beweise dafür, dass die berüchtigten LastPass-Lecks dazu führten, dass einige Tresore mit hohem Wert geknackt wurden und Menschen Geld verloren. Über 150 Menschen, über 35 Millionen Dollar an Geld.

Ein häufiges Missverständnis besteht darin, dass der AES-Algorithmus selbst kompromittiert werden muss, damit ein verschlüsselter Tresor geknackt werden kann. LastPass hat uns daran erinnert, wie viel einfacher es ist, die Verschlüsselung zu knacken. AES ist stark, aber LastPass hat schlechte Implementierungsentscheidungen getroffen: zu kurze Hauptschlüsselanforderungen, zu wenige Iterationen und einige Benutzer blieben mit Tresoren zurück, die mit roher Gewalt leicht zu knacken waren.

Grundsatz Nr. 1: Die Logistik ist oft das schwächste Sicherheitsglied

Kryptoanalytiker der Regierung kannten Prinzip Nr. 0 nur zu gut. Sie gehören zu den intelligentesten Menschen, die ich je getroffen habe, und nur wenige von ihnen würden Geld für etwas ausgeben, das allein durch Kryptographie geschützt ist.

Die vorsichtigsten unter ihnen bestanden auf der Verwendung eines One-Time-Pads (OTP) für eine äußerst sichere Kommunikation. Tatsächlich schreiben sie diese Anforderung in den Vorschriften zur Übermittlung und Aufbewahrung streng geheimer Dokumente fest.

Grundsätzlich kann eine OTP-Verschlüsselung nicht gebrochen werden. Es handelt sich um eine einfache XOR-Operation des Klartextes (der Daten) und eines Puffers mit Zufallswerten derselben Länge wie die Daten (der OTP-Schlüssel). Durch erneutes XOR-Verknüpfen der Chiffre mit demselben Schlüssel wird der Klartext wiederhergestellt.

Obwohl das OTP aus kryptoanalytischer Sicht unzerbrechlich ist, weist es mehrere Nachteile auf:

• Jeder OTP-Schlüssel kann niemals wiederverwendet werden;
• Ein OTP-Schlüssel muss mindestens so lang sein wie der Klartext;
• Der Schlüssel ist symmetrisch und muss vorab zwischen der sendenden und der empfangenden Partei geteilt werden.

Für eine weltweite Organisation ist die Versorgung jedes Büros mit OTP-Schlüsseln ein großer, laufender logistischer Vorgang. Schlimmer noch, es ist die Achillesferse des gesamten Sicherheitsmodells! Denn damit die ganze Kryptowährungs-Genialität von OTP erhalten bleibt, benötigen Sie eine perfekte Logistik, sowohl während des Transports als auch im Ruhezustand.

Sollte Eve Ihre OTP-Schlüssel auf dem Weg zum Ziel abfangen? Von diesem Zeitpunkt an ist Ihre gesamte Kommunikation gefährdet.

Sollte Eve Ihren sicheren Raum physisch knacken und Ihre OTP-Schlüsselmedien stehlen? Von diesem Zeitpunkt an sind alle Ihre Kommunikationen gefährdet, möglicherweise sogar Ihre vorherigen, wenn verwendete Teile des Schlüssels nicht ordnungsgemäß vom Medium gelöscht wurden.

Wenn Sie OTP-Schlüssel als 1-GB-Blöcke zufälliger Bytes implementieren, die beim Senden von Informationen verbraucht werden, mangelt es eindeutig sowohl an der Vorwärts- als auch an der Rückwärtsgeheimhaltung.

Letztendlich ist die perfekte Krypto eine Möglichkeit, die Verantwortung vom Cybersicherheitsteam auf das physische Sicherheitsteam zu verlagern.

Und ein ähnliches Problem betrifft Offline-Passwortmanager: Sie tauschen Verfügbarkeit gegen Vertraulichkeit ein, sodass Sie ein logistisches Durcheinander haben, das gelöst werden muss.

Wie jeder weiß, der eine lokale Kopie von KeePass betreibt, müssen Sie Ihren Tresor sichern. Dieses Backup sollte besser extern sein, für den Fall, dass der Speicher Ihres Computers ausfällt. Sie müssen Ihr Backup auf dem neuesten Stand halten. Und stellen Sie sicher, dass niemand Zugriff darauf hat. Und behalte sie nicht alle in deinem Haus, damit sie nicht der Flut und dem Feuer zum Opfer fallen. Und laden Sie sie nicht auf Google Drive hoch; Andernfalls verwenden Sie keinen Offline-Passwort-Manager mehr. Und…

Prinzip Nr. 2: Wenn ein Benutzergerät kompromittiert wird, ist das Spiel vorbei

Eines Tages rief mich mein Chef an. Sie wollte ein PDF mit zehn Leuten aus der oberen Führungsebene teilen. Diese Informationen sollten nur drei Tage lang in ihren Augen bleiben. Sie wusste, dass sie Anreize hatten, dieses Dokument mit ihren jeweiligen Teams zu teilen, um sich einen Vorsprung zu verschaffen. Diese Art von Informationen sollten persönlich präsentiert werden, aber zwingend. Deshalb bat sie mich, dieses PDF so zu gestalten, dass es nicht mehr kopiert und weitergegeben werden kann.

„Das geht nicht“, antwortete ich.

Mein Chef war ein Botschafter. Dies ist das diplomatische Äquivalent eines Generals. Botschafter sind es nicht gewohnt, ein „Nein“ als Antwort zu hören.

Ich habe geduldig erklärt, dass man in der Informatik jemandem, der eine Leseberechtigung für eine Ressource erteilt, implizit auch die Erlaubnis zum Kopieren und Verteilen erteilt. Informationszugriffsrechte unterliegen nicht den gesetzlichen Rechten. Selbst wenn wir es irgendwie umständlich machten, die Datei zu teilen, konnten sie einfach mit ihren Handys Fotos von ihren Bildschirmen machen und diese über WhatsApp teilen. Wenn sie das Dokument auf dem Bildschirm sehen können, können das auch ihre Kameras.

Justin Schuh hatte recht. Wenn jemand vollen Zugriff auf Ihren Computer (oder Ihr Telefon) erhält, hat er vollen Zugriff auf die Informationen, auf die Sie als Benutzer über dieses Gerät zugreifen können. Er hat recht, aber das entschuldigt ihn nicht dafür, einen so miesen Passwort-Manager in Chrome zu implementieren.

Für einen Passwort-Manager bedeutet das, dass der Schutz des Geräts des Benutzers immer von entscheidender Bedeutung ist. Wenn der Server ein Leck hat, müssen sich die Angreifer immer noch der Herausforderung stellen, die Tresore zu knacken. Wenn ein Hacker jedoch die vollständige Kontrolle über den Computer erlangt, auf dem der Passwort-Manager-Client läuft, hindert ihn nichts daran, alle Passwörter zu stehlen.

Dies kommt in der Krypto-Community recht häufig vor. Benutzerin Alice besitzt ein paar Dutzend BTC, was sie zur Millionärin macht. Sie wurde gedoxxt oder hat ihre Identität nie verheimlicht. Sie speichert eine Kopie ihrer Startphrase in einem lokalen Passwort-Manager auf ihrem Desktop. „Dies ist kein Cloud-Passwort-Manager; Ich bin vor Lecks sicher“, denkt sie. Hacker finden einen Weg, sie dazu zu bringen, eine Hintertür auf ihrem Computer zu installieren. Wenn sie wirklich gut sind, können sie dies ohne Benutzerinteraktion tun. Am nächsten Morgen wacht sie mit einer leeren Brieftasche auf.

Bei all dem Unheil und der Düsternis über die Kompromittierung von Benutzergeräten gibt es einen Lichtblick: Der Schutz unserer eigenen Geräte als Benutzer liegt in unserer Kontrolle. Ein Serverleck liegt nicht vor. Die über 150 Menschen, die durch das LastPass-Serverleck Millionen verloren haben, tragen keine Verantwortung für die Lecks oder dafür, dass LastPass unzureichende Verschlüsselungsstandards implementiert hat.

Wenn die Kompromittierung von Benutzergeräten unabhängig vom Sicherheitsmodell des Passwort-Managers ein katastrophaler Angriffsvektor ist und wir als Benutzer unsere Geräte sowieso schützen müssen, wäre es dann nicht schön, wenn dies der einzige Angriffsvektor wäre? Wenn wir einen Online- Passwort-Manager entwickeln könnten, bei dem keine Geheimnisse jemals die Benutzergeräte verlassen, sodass sich Benutzer keine Sorgen um Dinge machen müssen, die außerhalb ihrer Kontrolle liegen, wie Serversicherheit und AES-Implementierungsdetails?

Die Zutaten liegen auf dem Tisch

Mitautor @hossam26644 fuhr in seinem Artikel fort: „Vielleicht bin ich ein Sicherheitsfreak, aber ich möchte meine Passwörter keiner Entität anvertrauen, unabhängig von deren Versprechen und/oder Ruf.“ Er hat wieder recht. Cybersicherheit soll nachgewiesen und überprüfbar sein und nicht auf Vertrauen und Reputation basieren.

Die drei oben dargelegten Prinzipien leiteten mich bei der Entwicklung des Neulock Password Managers . Ich brauchte drei Jahre der Ideenfindung und Iterationen, um zu seiner jetzigen Form zu gelangen: ein überprüfbarer cloudbasierter Passwort-Manager, der durch Design und nicht durch Verschlüsselung Zero-Knowledge erreicht. Passwörter werden über die Cloud auf allen Benutzergeräten synchronisiert, aber keine Geheimnisse verlassen diese Geräte. Durch die Kompromittierung von Cloud-Servern können keine Geheimnisse preisgegeben werden, da Geheimnisse niemals die Cloud erreichen.

Die drei Jahre der Entstehung von Neulock werden in Teil II dokumentiert.