Wer in den letzten Wochen auf Nachrichtenseiten im Internet unterwegs war, dem ist des Öfteren sicher die Überschrift Heartbleed Bug über den Weg gelaufen. Auch ich habe mich mit der Thematik auseinandergesetzt und einige Konsequenzen daraus gezogen. Aber was ist nun dieser Heartbleed Bug genau und warum erregt er soviel Aufsehen in der Internet Community? Es gibt eine breit eingesetzte OpenSource Technologie OpenSSL deren Ziel es ist die Kommunikation mit Internetseitenseiten zu verschlüsseln. Unter anderem erkennt man eine verschlüsselte Kommunikation an dem vorangestellten HTTPS-Protokoll bei der besuchten URL. Im Hintergrund findet ein regelmäßiger kleiner Datenaustausch statt, dieser ist auch als Heartbeat bekannt. Mit Hilfe des Heartbeats kann man überprüfen, ob die Gegenseite noch da ist und daraus folgend, ob die Verbindung aufrechterhalten werden soll. In bestimmten SSL-Versionen war nun ein Fehler vorhanden, der es ermöglicht hat, bei diesem Datenaustausch zusätzliche Daten aus dem Arbeitsspeicher des Severs auszulesen, unter anderem die Keys der Zertifikate oder Usernamen und zugehörige Passwörter.
Vorsorglich habe ich aber für unsere Firma sämtliche Zertifikate getauscht. Ich möchte nun von meiner Seite noch die Empfehlung aussprechen, seine Passwörter zu überprüfen und zu ändern. Da die Maßnahmen immer mit einem gewissen Aufwand verbunden sind, entscheiden sich viele Leute gegen eine regelmäßige Aktualisierung. Wer aber Wert auf einen sicheren Umgang mit seinen persönlichen Daten legt, sollte selber aktiv werden.
Folgende Vorgehensweise ist eine gute Basis für einen sicheren Umgang mit Passwörtern im Internet:
Wie kommt man aber auf sichere Passwörter? Eine Möglichkeit ist es die Passwörter über Tools generieren zu lassen. Diese sind aber meist zu kompliziert um sie sich zu merken. Dazu ist es umständlich immer wieder die Passwörter über das Tool aufzurufen. Eine meiner Meinung nach bessere Möglichkeit ist es, sich Gedankenbrücken zur Hilfe zu nehmen. Dabei nimmt man z.B. Gegenstände in seinem Wohnzimmer und baut sich ein Passwort daraus. Um es sicherer zu gestalten ersetzt man Buchstaben mit Zahlen und verwendet Sonderzeichen als Trennzeichen. Dann werden aus schwachen Passwörtern wie passwort oder 123456, Varianten wie z.B. aus meinem Wohnzimmer hAvA33AColA!5Jahre!