Am Puls von Microsoft

Zwischenablage-Verlauf in Windows 10 zeigt Passwörter im Klartext an

Zwischenablage-Verlauf in Windows 10 zeigt Passwörter im Klartext an

Am Mittwoch hat Microsoft mit der Build 17666 eine neue Vorabversion des Redstone 5 Updates für Insider im Fast Ring veröffentlicht. Sie enthält viele neue Funktionen unter anderem auch das lange erwartete Cloud-Clipboard, das später mal plattformübergreifend funktionieren soll, für den Moment aber auf Windows 10 beschränkt bleibt.

Die neue Zwischenablage synchronisiert sich zwischen allen beteiligten Geräten und legt außerdem einen Verlauf an, den man mit der Tastenkombination Windows+V aufrufen kann. Standardmäßig sind beide Optionen – Verlauf und Synchronisation – deaktiviert, man muss sie also explizit einschalten.

Wie unseren Lesern aufgefallen ist, werden in die Zwischenablage kopierte Passwörter im Klartext sichtbar, wenn man den Verlauf öffnet. Der folgende Screenshot zeigt einen aus Enpass kopierten Testeintrag.

Windows 10 Cloud Clipboard

Enpass bietet wie viele andere Passwort-Manager die Möglichkeit, die Zwischenablage nach einer bestimmten Zeit oder manuell zu löschen, auf den gespeicherten Verlauf hat das aber keine Auswirkungen, dort bleibt der Eintrag stehen.

Das riecht nach einer Sicherheits-Katastrophe, auf den zweiten Blick funktioniert aber eigentlich alles nur so, wie es soll. Der Zwischenablage wird ein String zugeworfen, den sie brav speichert, denn sie “weiß” in diesem Moment nicht, dass es sich um ein Passwort handelt. Grundsätzlich wird auch davon abgeraten, ein Passwort auf diesem Weg zu transportieren.

Wenn ich also die Cloud-Zwischenablage sowie die Synchronisation aktiviere und die Zwischenablage anschließend mit Passwörtern füttere, dann funktioniert im Grunde eigentlich alles nur genau so, wie ich das haben will. Ich bezweifle allerdings, dass sich das plausibel verkaufen lässt. Spätestens wenn die ersten Clickbaiter darauf anspringen, geht die Party los.

Mögliche Lösungen? Windows erkennt ja sehr wohl, was zum Beispiel ein Passwort-Feld in einem Browser ist. Man könnte der neuen Zwischenablage eine Intelligenz verpassen, so dass sie Einträge automatisch aus dem Verlauf löscht, sobald erkannt wird, dass sie in ein Passwort-Feld eingefügt wurden. Programme wie Passwort-Manager sollten sich ebenfalls leicht erkennen lassen und man könnte Einträge aus solchen Programmen automatisch von der Speicherung im Verlauf sowie der Synchronisation ausschließen. Auch wenn man im Grunde sagen kann “works as designed”, so dürfte dennoch auf der Hand liegen, dass es so nicht bleiben kann.

 

Artikel im Forum diskutieren (53)

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige
Anzeige