Startseite » wie man » Heartbleed erklärt, warum Sie Ihre Kennwörter jetzt ändern müssen

    Heartbleed erklärt, warum Sie Ihre Kennwörter jetzt ändern müssen

    Das letzte Mal, als wir Sie auf eine schwerwiegende Sicherheitslücke aufmerksam gemacht haben, war der Zeitpunkt, als die Kennwortdatenbank von Adobe gefährdet wurde. Millionen Benutzer (insbesondere Benutzer mit schwachen und häufig wiederverwendeten Kennwörtern) sind dadurch gefährdet. Heute warnen wir Sie vor einem viel größeren Sicherheitsproblem, dem Heartbleed Bug, das potenziell gefährliche 2/3 der sicheren Websites im Internet gefährdet hat. Sie müssen Ihre Passwörter ändern, und Sie müssen jetzt damit beginnen.

    Wichtiger Hinweis: How-To-Geek ist von diesem Fehler nicht betroffen.

    Was ist Heartbleed und warum ist es so gefährlich??

    Bei Ihrer typischen Sicherheitsverletzung werden die Benutzerdatensätze / Passwörter eines einzelnen Unternehmens angezeigt. Das ist schrecklich, wenn es passiert, aber es ist eine isolierte Angelegenheit. Unternehmen X hat eine Sicherheitsverletzung, es wird eine Warnung an seine Benutzer ausgegeben, und die Leute wie wir erinnern jeden daran, dass es an der Zeit ist, eine gute Sicherheitshygiene zu üben und ihre Kennwörter zu aktualisieren. Diese typischen Verstöße sind leider schlimm genug. Der Heartbleed Bug ist sehr viel, viel, schlechter.

    Der Heartbleed Bug untergräbt das Verschlüsselungsschema, das uns schützt, wenn wir E-Mails, Bankgeschäfte oder andere Interaktionen mit Websites durchführen, von denen wir glauben, dass sie sicher sind. Hier ist eine englische Beschreibung der Sicherheitsanfälligkeit von Codenomicon, der Sicherheitsgruppe, die die Öffentlichkeit auf den Fehler aufmerksam gemacht hat:

    Der Heartbleed Bug ist eine schwerwiegende Sicherheitsanfälligkeit in der beliebten kryptografischen OpenSSL-Softwarebibliothek. Diese Schwachstelle ermöglicht es, die Informationen zu stehlen, die unter normalen Bedingungen durch die SSL / TLS-Verschlüsselung geschützt werden, mit der das Internet geschützt wird. SSL / TLS bietet Kommunikationssicherheit und Datenschutz über das Internet für Anwendungen wie Web, E-Mail, Instant Messaging (IM) und einige virtuelle private Netzwerke (VPNs)..

    Mit dem Heartbleed-Fehler kann jeder im Internet den Speicher der Systeme lesen, die durch die anfälligen Versionen der OpenSSL-Software geschützt sind. Dies gefährdet die geheimen Schlüssel, die zur Identifizierung der Dienstanbieter und zur Verschlüsselung des Datenverkehrs, der Namen und Kennwörter der Benutzer und des tatsächlichen Inhalts verwendet werden. Dadurch können Angreifer die Kommunikation abhören, Daten direkt von den Diensten und Benutzern stehlen und sich als Dienste und Nutzer ausgeben.

    Das hört sich ziemlich schlecht an, ja? Noch schlimmer klingt es, wenn Sie feststellen, dass ungefähr zwei Drittel aller Websites, die SSL verwenden, diese anfällige Version von OpenSSL verwenden. Wir sprechen nicht über kleine Zeit-Websites wie Hot Rod-Foren oder Kartenspiel-Tausch-Websites, sondern über Banken, Kreditkartenunternehmen, große E-Retailer und E-Mail-Anbieter. Schlimmer noch: Diese Verwundbarkeit ist seit rund zwei Jahren in der Wildnis. Das sind zwei Jahre, in denen jemand mit den entsprechenden Kenntnissen und Fähigkeiten die Anmeldeinformationen und die private Kommunikation eines von Ihnen genutzten Dienstes genutzt hat (und gemäß den von Codenomicon durchgeführten Tests spurlos ausgeführt wurde)..

    Für eine noch bessere Darstellung der Funktionsweise des Heartbleed-Fehlers. Lesen Sie diesen xkcd-Comic.

    Obwohl sich keine Gruppe gemeldet hat, um alle Anmeldeinformationen und Informationen zur Verfügung zu stellen, die sie mit dem Exploit aufgesogen haben, müssen Sie an dieser Stelle im Spiel davon ausgehen, dass die Anmeldeinformationen für die Websites, die Sie häufig verwenden, gefährdet sind.

    Was Sie tun können Heartbleed Bug

    Bei Verstößen gegen die Mehrheit der Sicherheit (und dies ist zweifelsohne von großer Bedeutung), müssen Sie Ihre Kennwortverwaltungspraktiken überprüfen. Angesichts der großen Reichweite des Heartbleed Bug ist dies eine perfekte Gelegenheit, um ein bereits laufend laufendes Passwortverwaltungssystem zu überprüfen oder, wenn Sie Ihre Füße gezogen haben, eines einzurichten.

    Beachten Sie vor dem sofortigen Ändern Ihrer Kennwörter, dass die Sicherheitsanfälligkeit nur gepatcht wird, wenn das Unternehmen auf die neue Version von OpenSSL aktualisiert hat. Am Montag ging die Geschichte kaputt, und wenn Sie Ihre Passwörter auf jeder Website sofort ändern würden, hätten die meisten von ihnen immer noch die verwundbare Version von OpenSSL ausgeführt.

    Mittlerweile haben die meisten Websites Mitte der Woche mit dem Aktualisierungsprozess begonnen, und am Wochenende ist es vernünftig anzunehmen, dass die Mehrheit der bekannteren Websites umgestellt wird.

    Sie können das Heartbleed Bug-Prüfprogramm hier verwenden, um festzustellen, ob die Sicherheitsanfälligkeit noch offen ist. Wenn die Website nicht auf Anforderungen des zuvor genannten Prüfgeräts reagiert, können Sie das SSL-Datumsüberprüfungsprogramm von LastPass verwenden, um zu prüfen, ob der betreffende Server seine Updates aktualisiert hat SSL-Zertifikat vor kurzem (wenn es nach dem 07.04.2014 aktualisiert wurde, ist dies ein guter Indikator dafür, dass die Sicherheitsanfälligkeit behoben wurde.)  Hinweis: Wenn Sie howtogeek.com über die Fehlerprüfung ausführen, wird ein Fehler zurückgegeben, da wir anfangs keine SSL-Verschlüsselung verwenden. Außerdem haben wir überprüft, dass auf unseren Servern keine betroffene Software ausgeführt wird.

    Es sieht jedoch so aus, als würde sich dieses Wochenende zu einem guten Wochenende entwickeln, um sich ernsthaft mit der Aktualisierung Ihrer Passwörter zu befassen. Zunächst benötigen Sie ein Passwortverwaltungssystem. Lesen Sie unseren Leitfaden zum Einstieg in LastPass, um eine der sichersten und flexibelsten Kennwortverwaltungsoptionen einzurichten. Sie müssen LastPass nicht verwenden, aber Sie benötigen ein System, mit dem Sie ein eindeutiges und sicheres Kennwort für jede besuchte Website ermitteln und verwalten können.

    Zweitens müssen Sie Ihre Passwörter ändern. Die Übersicht über das Krisenmanagement in unserem Leitfaden „Wiederherstellen, nachdem Ihr E-Mail-Passwort beeinträchtigt wurde“ ist eine großartige Möglichkeit, um sicherzustellen, dass Sie keine Passwörter verpassen. Außerdem werden hier die Grundlagen der guten Passworthygiene erläutert:

    • Passwörter sollten immer länger sein als das Minimum, das der Dienst zulässt. Wenn der betreffende Dienst Passwörter mit 6 bis 20 Zeichen zulässt, wählen Sie das längste Passwort, das Sie sich merken können.
    • Verwenden Sie keine Wörterbuchwörter als Teil Ihres Kennworts. Dein Passwort sollte noch nie Seien Sie so einfach, dass ein flüchtiger Scan mit einer Wörterbuchdatei es enthüllen würde. Geben Sie niemals Ihren Namen, einen Teil des Logins oder der E-Mail oder andere leicht identifizierbare Elemente wie Ihren Firmennamen oder Ihren Straßennamen an. Vermeiden Sie auch die Verwendung gängiger Tastaturkombinationen wie "qwerty" oder "asdf" als Teil Ihres Passworts.
    • Verwenden Sie Passwörter anstelle von Passwörtern. Wenn Sie keinen Passwort-Manager verwenden, um sich an wirklich zufällige Passwörter zu erinnern (ja, wir erkennen an, dass wir die Idee, einen Passwort-Manager zu verwenden, wirklich harfen), können Sie sich an stärkere Passwörter erinnern, indem Sie sie in Passphrasen umwandeln. Für Ihr Amazon-Konto können Sie beispielsweise die leicht zu merkende Passphrase "Ich liebe Bücher lesen" erstellen und diese dann in ein Kennwort wie "! Luv2ReadBkz" einbinden. Es ist leicht zu merken und ziemlich stark.

    Drittens, wann immer möglich, möchten Sie die Zwei-Faktor-Authentifizierung aktivieren. Sie können hier mehr über die Zwei-Faktor-Authentifizierung lesen, aber kurz gesagt, Sie können Ihrem Login eine zusätzliche Identifikationsebene hinzufügen.

    Bei Google Mail zum Beispiel erfordert die Zwei-Faktor-Authentifizierung, dass Sie nicht nur Ihr Login und Ihr Kennwort haben, sondern auch Zugriff auf das in Ihrem Google Mail-Konto registrierte Mobiltelefon haben, damit Sie einen SMS-Code für die Eingabe akzeptieren können, wenn Sie sich von einem neuen Computer aus anmelden.

    Wenn die Zwei-Faktor-Authentifizierung aktiviert ist, ist es für jemanden, der Zugriff auf Ihr Login und Ihr Kennwort (wie dies bei Heartbleed Bug möglich ist), sehr schwierig, tatsächlich auf Ihr Konto zuzugreifen.

    Sicherheitslücken, insbesondere solche mit weitreichenden Folgen, sind nie lustig, aber sie bieten uns die Möglichkeit, unsere Passwortpraktiken zu verschärfen und sicherzustellen, dass eindeutige und sichere Passwörter den Schaden, wenn er auftritt, in Schach halten.

    Helfen Sie Kindern, online mit KidZui sicher zu sein
    Schützen Sie Ihren PC mit kostenlosen Tools von Trend Micro
    HDTV-Overscan Was es ist und warum Sie es (wahrscheinlich) deaktivieren sollten
    Nächste Artikel
    Computerbenutzer per Fernzugriff mit TeamViewer unterstützen
    Vorheriger Artikel
    Head Mounted Displays Was ist der Unterschied zwischen erweiterter und virtueller Realität?