Heartbleed – what to do now?

354099-heartbleed-bug

 

Heartbleed hat das geschafft, was unzählige password leaks, die gefühlte 2.863.867.932 kritische Sicherheitslücke sowie der NSA Skandal nicht bewerkstelligen konnten:

Es hat auch den 08/15 Usern eindrucksvoll vermittelt, wie unabdingbar die Einhaltung grundlegender Sicherheitsregeln ist. Der Schuss ist gefallen, was ist zu tun:

 

  • An erster Stelle steht hier die ausschließlich einmalige (!!!) Verwendung von Email/Username und Passwort, dies verhindert die Kompromittierung multipler accounts, die alle  aus Bequemlichkeit die selben login Daten nutzen.
  • Auch die Länge des gewählten Zugangs ist essentiell, verlängert sie die benötigte Zeit zum knacken der Passphrase exponential:
    1. Minimum 8 Zeichen
    2. Wechselnde Gross-/Kleinschreibung
    3. Zahlen
    4. Symbole / Sonderzeichen
    5. Keine „realen“ Passwörter, die in einem Wörterbuch einer beliebigen Sprache zu finden sind

Um die ganze Geschichte so einfach wie möglich zu halten, empfiehlt sich auch der Einsatz eines Passwortmanagers  wie lastpass.

Neben der Verwaltung (Import aller gängigen Browser Pw-manager) besteht auch die Möglichkeit, direkt Zufallskombinationen in beliebiger Länge zu erzeugen, welche wie beschrieben einen weiteren Vorteil gegenüber Klartextpasswörtern bieten. Final lassen sich alle verwendeten accounts auf potentielle heartbleed Verwundbarkeit testen, indem die Verwendung von OpenSSL beim jeweiligen Anbieter mit dem letzen Aktualisierungszeitpunkt des betreffenden Passworts abgeglichen werden.

Die theoretisch benötigte Zeit zum Cracken eines Passworts berechnet anonsphere.com.

Wer sich für die technischen Aspekte der fehlerbehafteten OpenSSL libraries intereessiert, der findet alles relevante auf heartbleed.com.

Mashable hat auch eine sehr schöne Übersicht der gängigsten Webdienste im Bezug auf deren Verwundbarkeit durch heartbleed.