F-Secure gibt Tipps zum Thema Heartbleed
Unabhängig von der aktuell brisanten Sicherheitslücke in OpenSSL bieten Passwort Manager generell zusätzlichen Schutz
München – 14. April 2014: Der aktuell für Schlagzeilen sorgende Heartbleed Exploit ist eine kritische Sicherheitslücke in der OpenSSL-Bibliothek. Der Fehler betrifft den https-Schutz, der verwendet wird, um höchst vertrauliche Online-Sitzungen, wie Online-Banking und -Bezahlung, den Log-in für den E-Mail-Account und andere Online-Dienste, zu ermöglichen. Die Sicherheitslücke erlaubt einem Angreifer möglicherweise völlig unbemerkt Daten aus dem Speicher eines Servers herauszulesen.
Mit den erbeuteten Informationen könnten Angreifer einen Web-Dienst perfekt imitieren. Der Benutzer würde nicht mitbekommen, dass er sich auf einer nicht legitimen Website anmeldet. Das Heikle an Heartbleed ist, dass Hacker und Cyber-Kriminelle bei der Ausnutzung dieser Sicherheitslücke keine Spuren hinterlassen.
Was lässt sich gegen Heartbleed unternehmen? „Server-Administratoren sollten schnellstmöglich mit dem erforderlichen Patch diese erhebliche Sicherheitslücke schließen. Benutzern ist geraten, vorsorglich ihr Passwort sofort zu ändern und sicherheitshalber noch ein zweites Mal in den nächsten Wochen, nachdem hoffentlich alle Web-Dienste den Patch aufgespielt und die Sicherheitslücke geschlossen haben“, erklärt Rüdiger Trost, Sicherheitsexperte bei F-Secure.
Trotz Heartbleed: Passwort bleibt wichtiger Schutzmechanismus
Abgesehen vom Heartbleed Bug, der OpenSSL verwundbar gemacht hat, bleibt das Passwort eines der wichtigsten Mechanismen zum Schutz vertraulicher Daten im Internet. Dies erfordert entweder den eigenverantwortlichen und durchdachten Umgang mit dem Thema Passwort oder – als komfortablere Variante – die Unterstützung durch einen Passwort-Manager.
Nimmt der Benutzer die Passwortverwaltung selbst in die Hand, ist Folgendes zu beachten: Je länger und komplexer das Passwort, desto sicherer ist es. Ein Code aus beliebig gemischten Buchstaben, Zahlen und Sonderzeichen ist Kombinationen aus Begriffen oder Namen, wie z.B. „sabine2014“, in jedem Fall vorzuziehen. Ebenso wichtig ist es, für jeden Web-Dienst ein eigenes Passwort anzulegen, damit im Fall eines Passwort-Diebstahls nicht sämtliche genutzten Dienste gefährdet oder betroffen sind.
Anwender stehen damit vor dem Problem, sich mehrere Passwörter, die zwar besonders sicher sind, kaum noch merken zu können. Das ungesicherte Speichern von Passwörtern auf dem eigenen Gerät, das Notieren auf Zetteln oder das Versenden von Passwörtern zwischen verschiedenen Mail-Accounts birgt jedoch erhebliche Sicherheitsrisiken.
Komfortable Passwort-Verwaltung mit Passwort-Manager
Unabhängig von der aktuellen Brisanz bezüglich Heartbleed können sich Benutzer mit einem Passwort-Manager wie F-Secure Key besser und ohne großen Aufwand schützen. F-Secure Key generiert dabei für alle E-Mail-, Social-Media, Shopping- und Banking-Dienste sichere Passwörter, ohne dass sich der Benutzer um die richtige Zusammensetzung kümmern muss, und verwaltet diese. Der Passwort-Manager von F-Secure verwaltet alle Login-Daten, füllt Formularfelder zur Anmeldung automatisch aus und generiert bei Bedarf neue, sichere Passwörter. Alle Daten werden lokal auf dem Gerät verschlüsselt und gespeichert. Die Verschlüsselung erfolgt nach dem Advanced Encryption Standard (AES-256). Jedes Passwort wird mit einem separaten Schlüssel chiffriert, der vom Hauptschlüssel abgeleitet wird. Das Master-Passwort und der daraus abgeleitete Hauptschlüssel werden zu keinem Zeitpunkt irgendwo gespeichert. Alle Passwörter stehen somit dem Benutzer jederzeit zur Verfügung zur Anmeldung bei den favorisierten Diensten im Internet.
Ergänzung: F-Secure hat im eigenen Weblog noch eine einfache grafische Erklärung präsentiert, wie der Heartbleed Bug funktioniert:
F-Secure – Switch on freedom
F-Secure ist ein Online-Sicherheits- und Datenschutz-Unternehmen aus Finnland. Wir bieten Millionen von Menschen rund um den Globus die Macht, unsichtbar zu surfen, Inhalte zu speichern und zu teilen, sicher vor Online-Bedrohungen. Wir sind hier, um für die digitale Freiheit zu kämpfen. Schließen Sie sich der Bewegung an und schalten Sie um auf Freiheit. F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.