DAPI-Encription: Outlook-Passwörter sind unsicher
Quelle: Depositphotos

DAPI-Encription: Outlook-Passwörter sind unsicher

Die Verschlüsselung von Outlook-Passwörtern ist lückenhaft. Mit einer einfachen API-Abfrage lassen sich die Kennwörter im Klartext auslesen.
24. Oktober 2022

     

Die von Outlook in der Windows-Registry abgelegten Passwörter für IMAP-Konten sind nicht wirklich sicher, wie aus einem Beitrag auf "Borncity" hervorgeht, der sich auf einen Tweet von Mariusz Banach, Red Team Operator bei ING Tech Poland, bezieht. Das Problem: Die Kennwörter in der Registry sind zwar DAPI-verschlüsselt (Data-Protection-API), können mit einem API-Aufruf jedoch entschlüsselt und im Klartext ausgelesen werden. In der Folge könnten etwa schadhafte Applikationen das E-Mail-Passwort auslesen und an Cyberkriminelle weitergeben. Die passende Lösung scheint im Moment zu sein, als Nutzer seine Passwörter selbst – etwa in einem sicheren Passwort-Manager – zu verwalten (via "Winfuture").


Bereits Anfang Oktober wurde ein weiteres Verschlüsselungsproblem innerhalb von Office 356 bekannt: Die Die Verschlüsselung von Office (Office 365 Message Encryption, OME) ist offenbar ebenfalls nicht sicher genug. Mit dem genutzten ECB-Modus (Electronic Code Book Mode) können zumindest Teile von verschlüsselten Objekten recht einfach wiederhergestellt werden ("Swiss IT Magazine" berichtete). (win)


Weitere Artikel zum Thema

Office-365-Verschlüsselung nutzt unsicheren Electronic Code Book Mode

18. Oktober 2022 - Office 365 nutzt für seine Office 365 Message Encryption den als unsicher geltenden Electronic Code Book Mode. Handlungsbedarf sieht man in Redmond aber offenbar nicht.

Chrome- und Edge-Browser leaken Passwörter

20. September 2022 - Wer die erweiterte Rechtschreibeprüfung in Chrome oder den Microsoft Editor in Edge verwendet, läuft Gefahr, unfreiwillig hochsensible Daten an die Softwareriesen abzudrücken.

Mit dem Internet verbundene Anwendungen dienen als Einfallstor für Cyberangriffe

7. September 2022 - Nebst schädlichen E-Mails und kompromittierten Konten wurden 2021 bei mehr als der Hälfte der Cyberangriffe mit dem Internet verbundene Anwendungen ausgenutzt.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER