Heartbleed und seine Folgen!

Veröffentlicht am 5. Mai 2014 von Jochen Stechert

Wer seine Passwörter noch nicht geändert hat, jetzt wäre ein guter Zeitpunkt dazu!

Wer in den letzten Wochen auf Nachrichtenseiten im Internet unterwegs war, dem ist des Öfteren sicher die Überschrift  Heartbleed  Bug über den Weg gelaufen.  Auch ich habe mich mit der Thematik auseinandergesetzt und einige Konsequenzen daraus gezogen. Aber was ist nun dieser Heartbleed Bug genau und warum erregt er soviel Aufsehen in der Internet Community?  Es gibt eine breit eingesetzte OpenSource Technologie OpenSSL deren Ziel es ist die Kommunikation mit  Internetseitenseiten zu verschlüsseln. Unter anderem erkennt man eine verschlüsselte Kommunikation an dem  vorangestellten HTTPS-Protokoll bei der besuchten URL.  Im Hintergrund findet ein regelmäßiger kleiner Datenaustausch statt, dieser ist auch als Heartbeat bekannt. Mit Hilfe  des Heartbeats kann man überprüfen, ob die Gegenseite noch da ist und daraus folgend, ob die Verbindung aufrechterhalten werden soll. In bestimmten SSL-Versionen war nun ein Fehler vorhanden,  der es ermöglicht hat, bei diesem Datenaustausch zusätzliche Daten aus dem Arbeitsspeicher des Severs auszulesen, unter anderem die Keys der Zertifikate oder Usernamen und zugehörige Passwörter.


News heartbleed

Vorsorglich habe ich aber für unsere Firma sämtliche Zertifikate getauscht.  Ich möchte nun von meiner Seite noch die Empfehlung aussprechen, seine Passwörter zu überprüfen und zu ändern. Da die Maßnahmen immer mit einem gewissen Aufwand verbunden sind, entscheiden sich viele Leute gegen eine regelmäßige Aktualisierung. Wer aber Wert auf einen sicheren Umgang mit seinen persönlichen Daten legt, sollte selber aktiv werden.

Folgende Vorgehensweise ist eine gute Basis für einen sicheren Umgang mit Passwörtern im Internet:

  1. Alte Accounts löschen, die nicht mehr benötigt werden
  2. Jeder Account sollte ein eigenes Passwort besitzen
  3. Passwörter niemals im Rein Text speichern oder niederschreiben. Für die Speicherung auf Tools wie KeePass zurückgreifen
  4. Passwörter sollten eine Länge von mind. 12 Zeichen haben. Es sollte aus einer Kombination von Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen
  5. Die Passwörter sollten nach Möglichkeit nicht in Wörterbüchern vorkommen
  6. Man sollte keine Wiederholungs- oder Tastaturmuster verwenden
  7. Passwörter regelmäßig ändern
  8. Passwörter nie an Dritte weitergeben oder verschicken

Wie kommt man aber auf sichere Passwörter? Eine Möglichkeit ist es die Passwörter über Tools generieren zu lassen. Diese sind aber meist zu kompliziert um sie sich zu merken. Dazu ist es umständlich immer wieder die Passwörter über das Tool aufzurufen.  Eine meiner Meinung nach bessere Möglichkeit ist es, sich Gedankenbrücken zur Hilfe zu nehmen. Dabei nimmt man z.B. Gegenstände in seinem Wohnzimmer und baut sich ein Passwort daraus. Um es sicherer zu gestalten ersetzt man Buchstaben mit Zahlen und verwendet Sonderzeichen als Trennzeichen. Dann werden aus schwachen Passwörtern wie passwort oder 123456, Varianten wie z.B. aus meinem Wohnzimmer hAvA33AColA!5Jahre!