Fragen? Antworten! Siehe auch: Alternativlos
Ja, äh, Leute, was habt ihr denn gedacht, was passiert, wenn ihr Anwendungen Passwörter speichern lasst? Dass da ein Angreifer nicht drankommen würden?
Fakt ist: Wenn ihr euch einloggt, und die Software kommt ohne dass ihr das Passwort nochmal eingeben müsst irgendwo dran, dann kommt auch andere Software oder ein Angreifer auf eurem System dran. Das ist simple Logik.
So und jetzt denken wir mal gemeinsam nach, was man da tun könnte. Lösung 1: Passwörter nicht speichern.
Lösung 2: DPAPI. Das ist Microsofts Standardlösung. Die speichert das auch verschlüsselt, aber mit eurem Login-Passwort verschlüsselt, nicht mit einem statischen Key.
So, ist das jetzt besser? Wir erinnern uns kurz daran, dass die Prämisse war, dass ihr einen Angreifer auf dem System habt. Der kann natürlich auch einfach eure Tastatureingaben mitschneiden. Und dann hat er sowohl im einen als auch im anderen Fall eure Passwörter.
Wenn die Annahme ist, dass jemand euren Rechner aufgehackt hat, dann habt ihr verloren, egal was Teamviewer tut.
Wir reden hier also über ein anderes Szenario, gegen das wir verteidigen wollen, nämlich dass euer Laptop geklaut wird.
Wenn ihr euch darüber Sorgen macht, dann macht ihr hoffentlich full disk encryption. Sowas wie Bitlocker unter Windows oder vielleicht Veracrypt oder LUKS oder so. Und dann ist es auch egal, wie oder ob Teamviewer die Passwörter verschlüsselt.
Wenn ich bei Teamviewer einen Audit machen sollte, hätte ich angekreidet, dass sie nicht DPAPI benutzen. Aber so zu tun als sei hier eine fette Sicherheitslücke gefunden worden, das ist absurd. Wichtiger als dass das in der Registry steht ist die Frage, wieso Teamviewer die Credentials per Default überhaupt abspeichert. Das Feature sollte wenn dann opt-in sein. Stattdessen findet man im Internet diverse Foren, in denen Leute fragen, wie sie das abgeschaltet kriegen. DAS ist der gültige Kritikpunkt an dieser Stelle. Nicht dass der Key statisch ist.