Passwort-Manager gehören zur Standardausrüstung bei der Verwendung des Internets. Wie in vielen Bereichen des Lebens ist es üblich, sich auch hier etwas Komfort einzugestehen und eine Browser-Erweiterung mit Autofill zu verwenden. Die Eingabefelder für Username und Passwort werden so automatisch erkannt und ausgefüllt.
Doch was ist, wenn eine Seite Passwortfelder enthält, die gar nicht zum eigenen Account gehören? In den Kommunikationsparametern in rotorsoft werden Anmeldedaten für Interfaces hinterlegt. Ein aktiviertes Autofill des Passwort-Managers kann unter Umständen die Anmeldeseite von rotorsoft erkennen und das eigene Passwort eintragen. Wenn diese Änderung unbemerkt gespeichert wird, sind Username und Passwort für das rotorsoft-System in der Änderungshistorie einsehbar — das ist ein ganz klares Sicherheitsrisiko.
Im besten Fall ist der Autofill des Passwort-Managers gar nicht aktiv, aber leider ist bei den meisten Browsern diese Funktion standardmäßig aktiviert. Um die Sicherheit eurer rotorsoft-Systeme zu erhöhen, haben wir einen Hintergrundprozess geschaffen, der überprüft, ob sich Anmeldedaten von rotorsoft-Usern in den Kommunikationsparametern befinden. Bei einem solchen erkannten Passwort-Leak wird der entsprechende User wöchentlich per E-Mail aufgefordert, das Passwort zu ändern. Falls das Passwort nicht innerhalb von 3 Wochen geändert wird, wird es durch rotorsoft zurückgesetzt.