Die Heartbleed-Sicherheitslücke hat einen großen Teil des als sicher geltenden, verschlüsselten Internets zwei Jahre offen für Angriffe gelassen. Über die Lücke war es theoretisch möglich Benutzernamen und Passwörter zu ergaunern. Selbst populäre Webseiten wie Google oder Yahoo! waren gefährdet. Inzwischen haben sie das Leck gestopft.
Auch wenn man Hacker nicht davon abhalten kann, Webseiten zu knacken, so kann man doch einiges für die eigene Sicherheit unternehmen. Der erste Schritt sind unterschiedliche Passwörter für jeden Dienst, den man nutzt. Das Problem: Wie erinnert man sich an all die verschiedenen Kombinationen aus Zahlen, Zeichen, Klein- und Großbuchstaben? Die Antwort: mit einem Passwort-Manager.
Wie funktioniert ein Passwort-Manager?
Passwort-Manager generieren, speichern und verschlüsseln Passwörter. Man muss sich nur an ein Master-Passwort erinnern, mit dem man Zugang zur Passwörter-Datenbank erhält.
Es ist sinnvoll, für jedes Account ein eigenes Passwörter mit Buchstaben, Zahlen und Zeichen zu erstellen. Damit verhindert man, dass ein Hacker alle Accounts auf einmal knackt, wenn er das eine, für alle Accounts gültige Passwort klaut.
Brute-Force-Attacken knacken in Windeseile schwache Passwörter, die nur aus Buchstaben und Zahlen bestehen. Je kürzer ein Passwort ist, umso leichter hat es ein Hacker mit einer Brute-Force-Attacke.
Anwendungen wie zum Beispiel 1Password oder LastPass bieten nicht nur einen Passwort-Manager. Sie speichern auch sensible Dokumente, Kreditkarteninformationen oder Software-Lizenzen.
Was passiert, wenn das Master-Passwort gestohlen wird?
Experten halten das für sehr unwahrscheinlich. Passwort-Manager erschweren zudem das Knacken des Master-Passworts. Softonic sprach mit 1Password-Mitarbeiter Jeffrey Goldberg, dessen Jobtitel nicht Manager sondern Verteidiger gegen die schwarzen Künste lautet. “1Password verschlüsselt die Passwort-Datenbank mit Schlüsseln, die aus diesem Master-Passwort generiert werden. Niemand hat zu dieser Verschlüsselung oder zum Master-Passwort Zugang. Wenn jemand die Datenbank klaut, kann er sie ohne das Master-Passwort nicht entschlüsseln.”
Genauso arbeitet auch LastPass. Obwohl LastPass die Passwort-Datenbank mit den eigenen Servern synchronisiert, speichert oder versendet der Anbieter keine Verschlüsselungsdaten. Alle Verschlüsselungsdaten generiert LastPass aus dem Master-Passwort. Diese Daten werden lokal auf dem Computer des Nutzers gespeichert.
“Wir nutzen SSL nur in einer zweiten Sicherheitsstufe. Das Herzstück unserer Sicherheit besteht darin, die Verschlüsselungsdaten lokal zu speichern”, erklärt LastPass-CEO Joe Siegrist.
Muss man all seine Passwörter ändern?
Bevor man dran geht alle Passwörter zu ändern, sollte man kontrollieren, welche benutzten Webseiten von Heartbleed betroffen sind. Dabei versichert man sich, dass die Betreiber der Seiten die Sicherheitslücke mit einem Patch geschlossen haben. Mashable veröffentlichte eine umfangreiche Liste mit den populärsten Webseiten und ihren Reaktionen auf Heartbleed. Bevor man das Passwort ändert, geht man sicher, dass die Sicherheitslücke durch den Anbieter geschlossen wurde. Andernfalls riskiert man, dass die Passwortänderung von Hackern mitverfolgt wird. Trotz einiger Mitteilungen, dass die Heartbleed-Sicherheitslücke in den Medien übertrieben dargestellt wird, sollte man lieber auf Nummer Sicher gehen.
Der Netzwerkspezialist Cloudflare präsentiert in seinem Blog eine Aufgabe, bei der man einen privaten Schlüssel mit Hilfe von Heartbleed klauen kann. Es dauerte nur einige Stunden, bis die ersten Nutzer erfolgreich die Aufgabe erfüllten und private Verschlüsselungsdaten entwendeten. Die Bedrohung ist real.
“[Heartbleed] ist keine Übertreibung”, sagt Siegrist. “Cloudflare hat bewiesen, wie man den Bug nutzt. Es ist durchaus möglich, hierüber Nutzernamen und Passwörter zu klauen.”
Mit einem Passwort-Manager ändert man seine Passwörter in wenigen Schritten. Softonic-Redakteur Tim Vüllers änderte nach dem Heartbleed-Desaster die 14 wichtigsten Passwörter in 19 Minuten. Der Manager speichert die neuen Passwörter und erinnert sich auf diese Weise an sie. LastPass besitzt sogar eine Alarmfunktion, die Nutzer vor Webseiten warnt, die für Heartbleed anfällig sind. Der Anbieter betreibt eine öffentliche Webseite, auf der man URLs eintippt. Die Seite prüft die Adresse, ob sie von der Sicherheitslücke betroffen ist. Mashable hat zusätzlich eine Liste zusammengestellt, die die Reaktionen verschiedenen Anbieter auf die Bedrohung aufführt.
Noch gibt es keine Automatisierungs-Tools. 1Password und LastPass arbeiten aber daran.
“Noch muss man das Formular für die Passwortänderung selbst suchen. 1Password assistiert dem Nutzer dabei, ein neues, starkes Passwort zu generieren. Wir arbeiten ständig daran, diesen Prozess zu verbessern”, sagt Goldberg.
Ein wenig Arbeit verhindert aber vielleicht den Supergau in der Zukunft.
Was kann man für den eigenen Schutz noch tun?
Der Passwort-Manager ist der erste Schritt für mehr Schutz im Internet. Darüber hinaus sollte man bei Sicherheits-News genau hinsehen und sich darüber im Klaren sein, welche Webseiten man besucht.
Phishing-Attacken sind sehr populär. Dabei gaukeln Webseiten vor, sie wären eine andere Seite, die der Nutzer kennt. Sobald er jedoch seine Daten auf eine Phishing-Seite einträgt, werden sie einem Hacker zugeleitet. Daher sollte man nie auf ungewöhnliche Links klicken, die man per E-Mail bekommt.
Passwort-Manager unterstützen den Nutzer dadurch, indem sie ihn direkt auf die korrekte Webseite führen. Manchmal ist es nur ein Zeichen in der Adresse, die den Nutzer anstatt auf die korrekte auf eine Phishing-Seite führt, ohne dass er den Trick bemerkt.
“Nutzer sollten in ihren Browser SSL/TLS-Warnungen ernster nehmen”, fordert Goldberg. Das Schloss-Symbol in der Adresszeile weist darauf hin, welche Webseiten eine Verschlüsselung nutzen. Die meisten Browser warnen den Nutzer vor verdächtigen Seiten. Dennoch schadet Aufmerksamkeit beim Surfen nicht.
Zwei-Wege-Authorisierung für mehr Sicherheit
Einige Webseiten bieten bereits eine Zwei-Wege-Authorisierung an. Eine Zwei-Wege-Authorisierung besteht aus dem Passwort und einem zufällig generierten Code. Sobald man das Passwort eingegeben hat, muss man den Code eintippen, den man per SMS oder über ein Authentifizierungs-Tool wie zum Beispiel den Google Authenticator erhält. Diese Codes besitzen nur für einen kurzen Zeitraum Gültigkeit und verfallen danach.
Facebook, Google, Twitter, Evernote und viele andere Anbieter verwenden bereits eine Zweifach-Authentifizierung. Sie bedeutet zwar ein bisschen mehr Arbeit beim Einloggen, aber sie erhöht die Sicherheit gegen Passwortdiebstahl.
Zuletzt sollte man darauf achten, dass alle Computer, Smartphones und Tablets immer auf dem aktuellen Stand sind. Sicherheitslücken werden meistens über Patches oder Updates geschlossen.
Anwendungen wie Avast! alarmieren den Nutzer, wenn eine Software veraltet ist. Auch Softonic für Windows unterstützt den Nutzer dabei, seine Software aktuell zu halten.
Weitere Informationen über Heartbleed und wie man sich gegen Sicherheitslücken schützt, gibt es unter den folgenden Links:
Lastpass:
1Password:
Mehr zum Thema Heartbleed
Merken kann ich mir die Fülle an Zugangsdaten schon lange nicht mehr, daher ist KeePass Password Safe mein treuer Begleiter seit vielen Jahren.
KeePass Password Safe bietet viele Möglichkeiten für die Organisation von Passwörtern.
Apps, Smartphones, Statistik und das Internet of Things sind Themen, mit denen ich auch meine Freizeit verschwende. Bei Softonic schreibe ich hauptsächlich über Smartphone-Apps und E-Mail-Sicherheit. Meine neuste Leidenschaft: Der Datenjournalismus.
