molily: Frage zum "Heartbleed" Bug

Beitrag lesen

Hallo,

Frage 1: Stimmt das auch für Foren/Wikipedia-Accounts?

Wenn sie TLS verwenden und verwundbar waren: Ja.

Passwörter, die unverschlüsselt übertragen werden (wie in diesem Forum), können einfach mitgeschnitten werden. Wobei sie zumindest nicht so einfach von Remote mittels Heartbleed ausgelesen werden können, da TLS fehlte.

Für die Wikipedia: Ja, solltest du tun.

Wie mach ich das, logge ich mich mit meinem alten Passwort ein, ändere es/lasse mir ein neues per Mail (via SSL, ha-ha) zuschicken?

Idealerweise:
1. Der Serverbetreiber sorgt dafür, dass OpenSSL aktualisiert und das System sauber ist, also keine Schadsoftware läuft.
2. Der Serverbetreiber ändert den Secret Key bzw. aktiviert PFS und installiert ein neues Zertifikat.
3. Du besuchst die Seite mit HTTPS. Die Verbindung ist verschlüsselt. Angenommen die vorherigen Schritte waren erfolgreich, ist die Verbindung nun sicher (d.h. so sicher wie vor Heartbleed).
4. Du loggst dich mit deinem alten Passwort ein und änderst auf der Website dein Passwort. Die üblichen Formulare erfordern dazu das alte Passwort und die zweimalige Eingabe eines neuen sicheren Passworts.

E-Mail hat damit nichts zu tun. E-Mail ist in nahezu allen Fällen unverschlüsselt. Eine E-Mail wird höchstens zwischen einigen Mailservern verschlüsselt übertragen, aber der unverschlüsselte Inhalt ist einsehbar. Wie eine Postkarte, die mal sicherer (plombierter Container), mal unsicherer (Zusteller) zu einem gelangt.

Wenn sich da jemand schon reingehackt hat, kann der das nicht mitlesen?

Wenn der Server kompromittiert worden ist, ja. Dann sitzt der Angreifer an der Quelle und interessiert sich nicht mehr für einzelne Passwörter.

Frage 3: ich selbst verwende das Internet nicht zum bezahlen, was empfehle ich Bekannten, die das tun? Passwort wie unter 2 ändern?

Nachdem der Provider OpenSSL, Schlüssel und Zertifikate aktualisiert hat: Einloggen und Passwort ändern.

Kein sicherer Service verschickt Passwörter per E-Mail. Höchstens einmal verwendbare Token zum Zurücksetzen des Passworts.

Mathias