Nicht kategorisiert

Was Sie über Heartbleed und das Ändern Ihrer Passwörter wissen müssen

Was Sie über Heartbleed und das Ändern Ihrer Passwörter wissen müssen

[Bildquelle:Herzblut]

Vielleicht haben Sie in letzter Zeit von Heartbleed gehört und alle Ihre Freunde sagen Ihnen möglicherweise, dass Sie alle Ihre Passwörter ändern sollen. Bevor Sie jedoch Ihre Passwörter ändern, müssen Sie wissen, dass die betreffende Website übernommen wurde alles die notwendigen Schritte, um sich vor Heartbleed zu schützen, sonst bleibt Ihr neues Passwort genauso anfällig. Einige Listen, die Ihnen mitteilen, dass Websites für Kennwortänderungen bereit sind, haben jedoch nicht alle erforderlichen Sicherheitsschritte überprüft. Lesen Sie weiter, um mehr zu erfahren:

P.S. Wir werden (versuchen) genau zu erklären, was die Heartbleed-Sicherheitsverletzung ist Jeder kann verstehen Außerdem teilen Sie Ihnen mit, wo und wann Sie Ihr Passwort ändern sollten.

Was ist der Heartbleed-Bug?

Der Webcomic xkcd hat einen kleinen Cartoon entworfen, der Heartbleed auf die einfachste Weise erklärt, die wir je gesehen haben:

Zunächst müssen Sie wissen, dass die Web-Sicherheit durch Software bereitgestellt wird, die als bekannt ist OpenSSL (Secure Sockets Layer), der die Daten verschlüsselt (verschlüsselt), die an und von dem Computer eines Benutzers und dem Website-Server (auf dem die Website gehostet / gespeichert wird) gesendet werden. Denken Sie also vor allem an Dinge wie Benutzernamen, Passwörter und sogar Kreditkarten- und Adressdaten dass Sie Online-Formulare senden, die von Ihrem Computer zum Website-Server übertragen werden.

Heartbleed nutzt etwas, das als bekannt ist "Herzschlag" zwischen dem Computer des Benutzers und dem Website-Server - Wenn Sie auf eine Website zugreifen, antwortet die Website Ihrem Computer, dass sie aktiv ist, und wartet mit einem Herzschlag auf Ihre Anforderungen. Der Herzschlag soll eine Antwort sein, die der Datenmenge entspricht, die Ihr Computer bei der Anforderung gesendet hat. Ein Fehler in der Software ermöglicht es Hackern jedoch, mehr Daten aus dem Serverspeicher anzufordern als die Gesamtdaten der ursprünglichen Anforderung bis zu 65.536 Byte. Diese zusätzlichen Informationen, die in der Anfrage erhalten wurden, können alles enthalten, von Passwörtern bis zu Kreditkartendaten, die andere Personen gesendet haben (siehe den obigen Cartoon).

Der Heartbleed-Fehler soll ein ehrlicher Fehler des Programmierers Robin Seggelmann gewesen sein, der am Silvesterabend 2011 die Open-Source-Software OpenSSL erweitert hat. Dies bedeutet, dass die Sicherheitslücke seit mehr als zwei Jahren besteht und die schlimmste ist Teil ist, dass es keine Möglichkeit gibt zu erkennen, ob ein Hacker zusätzliche Informationen aus dem Herzschlag angefordert hat. Mit anderen Worten, es gibt keine Möglichkeit festzustellen, ob jemand jemals Passwörter oder andere vertrauliche Informationen von einer Website gestohlen hat.

Wann sollte ich mein Passwort ändern?

Viele Websites bieten Listen mit Ratschlägen an, welche Websites Sie ändern sollten und ob Sie Ihr Passwort noch ändern sollten. Viele Sicherheitsexperten (wie Bruce Schneier, Troy Hunt und die Mitarbeiter von AgileBits) sagen jedoch, dass Sie drei Dinge überprüfen müssen:

  1. Die Website (oder Hardware / App, da Heartbleed mehr als Websites betrifft) verwendete eine Version von OpenSSL, die tatsächlich für Heartbleed anfällig war (Versionen 1.0.1 März 2012 bis 1.0.1f). Die Version mit dem Fix ist 1.0.1g, die am 7. April 2014 veröffentlicht wurde.
  2. Die Site hat den OpenSSL-Fehler behoben.
  3. Die Site erneuerte die Sicherheitsschlüssel und stellte dann ein neues Sicherheitszertifikat (SSL) aus.

Wenn Ihnen das alles etwas zu mumbo jumbo ist, wird berichtet, dass der Heartbleed-Checker von LastPass derzeit die zuverlässigste Überprüfungsmethode ist, wenn Sie sich nicht manuell überprüfen können. Weitere Informationen dazu, wie Sie sicherstellen können, dass eine Site für Kennwortänderungen bereit ist, finden Sie in ITWorld.

Einige Listen im Internet mit Websites, für die Sie Ihr Kennwort ändern müssen, haben nur überprüft, ob die Websites beispielsweise den OpenSSL-Fehler behoben haben, und nicht überprüft, ob neue Sicherheitszertifikate (SSL) ausgestellt wurden. Da nicht zu erkennen ist, ob ein Server Opfer eines Heartbleed-Angriffs geworden ist, ist unklar, ob ein Hacker möglicherweise Sicherheitsschlüssel heruntergeladen hat, wodurch die Website weiterhin verwundbar wird, wenn die drei oben genannten Schritte nicht ausgeführt wurden.

Ich habe gerade die Herausforderung von @CloudFlare geknackt: https://t.co/8ZPSxyKF4D. Ich frage mich, wann sie die Seite aktualisieren werden.

- Fedor Indutny (@indutny) 11 Nisan 2014

Vor kurzem hat das Content-Distributionsnetzwerk Cloudflare die Schwere des Fehlers untersucht, indem es seine Forscher dazu gebracht hat, Heartbleed zu verwenden, um SSL-Sicherheitsschlüssel zu erhalten, und fehlgeschlagen ist. Als sie die Herausforderung an die Öffentlichkeit stellten, konnte ein Hacker aus dem Node.js-Team namens Fedor die privaten SSL-Schlüssel erfolgreich abrufen.

Wir hoffen, dass dies Ihrem Verständnis von Heartbleed hilft und dass Sie die erforderlichen und zeitgesteuerten Kennwortänderungen vornehmen, um Ihre Sicherheit online zu gewährleisten. Abschließend möchten wir Sie daran erinnern nicht Das gleiche Passwort für alle Websites zu verwenden, da dies katastrophal sein könnte. Wenn Sie nicht so viele verschiedene Passwörter verfolgen können, empfehlen wir die Verwendung eines Programms wie LastPass.

Schauen Sie sich auch die Logme Once Kickstarter-Kampagne an, die einen Passwort-Manager, digitale Sicherheit sowie ein sicheres USB-Speichergerät und ein mobiles Ladegerät in einem Paket bietet:

LogmeOnce erfüllt einen alltäglichen Bedarf. Wer macht sich heutzutage keine Sorgen mehr darüber, gehackt zu werden, seine Passwörter zu vergessen oder einfach nur verwundbar zu sein, weil er schwache Passwörter hat? LogmeOnce bietet eine sichere, benutzerfreundliche Alternative zu diesen Problemen und hastig geschriebenen Passwörtern auf Papierfetzen


Schau das Video: Angriff auf SemperVideo (November 2021).