Ändern Sie alle Passwörter – jetzt!

„Hast du mitbekommen, was seit gestern in Sachen Internetsecurity los ist?“

„Ich hab’s auf Heise gelesen.“

„Und weißt du, was das für dich bedeuted?“

„Nö, was denn?“

„Kurz gesagt: Ändere alle Passwörter! Am besten sofort! Ich hab’s schon gestern Abend gemacht.“

So ungefähr lief das Telefonat heute Nachmittag zwischen Thomas Waldmann und mir. Thomas ist Informatiker, Linux-Kenner und hat, wie ich das in den letzten 12 Jahren beobachtet habe, so richtig den Plan.

Er hat mir noch eine E-Mail hinterhergeschickt und empfiehlt für die Änderung der Passwörter folgende Reihenfolge:

1a. email-Provider (wichtig, weil viele andere hierueber Password-Recovery ermoeglichen)

1b. „zeug mit geld“

2. wichtige Services

3. sonstiges

Ein paar weiterführende Links waren bei der E-Mail auch dabei:

  • Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL, heise.de vom 08.04.14
  • http://filippo.io/Heartbleed/ – Hier kann man testen, ob bestimmte Server noch verwundbar sind.
  • http://heartbleed.com – Ausführliche Beschreibung des Problems

Vielen Dank an Thomas für die eindringliche Warnung. Ich bin schon bei Nr. 2 der obigen Liste angelangt. Und ich freue mich eimal mehr über meinen Passwortmanager.

3 Antworten
  1. Philipp
    Philipp sagt:

    Bevor man die Passwörter ändert solte man bei dem entsprechendem Dienst nachfragen ob er von der Lücke betroffen ist/war. Wenn ja solte man warten bis die Lücke geschlossen ist und die Private-Keys ausgetauscht worden sind.

    Ein vorschneles Handeln kann dazu führen, dass das neue Passwort (auch) öffentlich wird.

  2. Thomas Waldmann
    Thomas Waldmann sagt:

    Beim „Dienst nachfragen“ stell ich mir schwierig vor. Man wird oft keine, unqualifizierte oder falsche Antworten erhalten.

    Man kann aber mit der oben verlinkten Test-Seite selbst ueberpruefen, ob wenigstens die SSL-Library durch eine fehlerbereinigte Version ersetzt wurde.

    Ausserdem kann man Datum und Fingerprint des SSL Certs der Seite checken – wenn das Datum nach dem 7.4.2014 liegt, hat der Betreiber als Reaktion auf Heartbleed moeglicherweise ein neues Schluesselpaar generiert und ein neues Cert dafuer erstellen lassen.

    Das alles aendert aber nichts dran, dass man sofort alle Passwoerter aendern sollte, sondern bedeutet nur, dass man sie spaeter (wenn der Dienstbetreiber SSL-Library UND Cert erneuert hat) NOCHMAL aendern muss.

    Angreifer hatten ja moeglicherweise bis zu 2J Zeit, diese Luecke auszunutzen. Sie koennen also bereits grossflaechig fleissig Usernamen, Passwoerter und private SSL-Keys eingesammelt haben und mit den Passwoertern sich ganz normal sich auf diesen Diensten einloggen.

    Selbst wenn der Dienst also weiter unsicher ist, kann man es mit einem neuen Passwort es dem Angreifer zumindest etwas erschweren. Er muesste dann erneut versuchen, die Luecke auszunutzen bzw. den aktuellen Netzwerkverkehr mit dem ihm bekannten private Key zu entschluesseln.

  3. Andreas Moser
    Andreas Moser sagt:

    Ich habe diesen Heartbleed ausgetrickst, indem ich so getan habe, wie wenn ich meine Passwörter ändere, aber einfach die alten erneut eingegeben habe. Clever!

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.