Entmutigt durch die Folgen von Heartbleed? Du bist nicht allein. Der winzige Fehler in der weltweit beliebtesten SSL-Bibliothek hat riesige Lücken in der Sicherheit unserer Website hinterlassen Kommunikation mit allen Arten von cloudbasierten Websites, Apps und Diensten – und die Lücken sind noch nicht einmal alle noch gepatcht.
Der Heartbleed-Bug ermöglichte es Angreifern, die schnüffelresistente Hülle von OpenSSL abzustreifen und einen Blick auf die Kommunikation zwischen Client und Server zu werfen. Dies gab Hackern einen Einblick in Dinge wie Passwörter und Sitzungscookies, bei denen es sich um kleine Datenstücke handelt, die die Der Server sendet Ihnen, nachdem Sie sich angemeldet haben, und Ihr Browser sendet jedes Mal, wenn Sie etwas tun, zurück, um dies zu beweisen Du. Und wenn der Fehler eine Finanzseite betraf, wurden möglicherweise andere vertrauliche Informationen, die Sie über das Internet übermittelten, wie Kreditkarten- oder Steuerinformationen, gesehen.
Empfohlene Videos
Wie kann sich das Internet am besten vor solchen katastrophalen Fehlern schützen? Wir haben ein paar Ideen.
Ja, Sie brauchen sicherere Passwörter: So erstellen Sie sie
Okay, bessere Passwörter würden das nächste Heartbleed nicht verhindern, aber sie könnten Sie eines Tages davor bewahren, gehackt zu werden. Viele Leute sind einfach schrecklich darin, sichere Passwörter zu erstellen.
Sie haben das alles schon einmal gehört: Verwenden Sie nicht „Passwort1“, „Passwort2“ usw. Den meisten Passwörtern fehlt die sogenannte Entropie – das ist definitiv der Fall nicht zufällig und sie Wille erraten werden, wenn ein Angreifer jemals die Gelegenheit bekommt, viele Vermutungen anzustellen, entweder indem er den Dienst attackiert oder (was wahrscheinlicher ist) Diebstahl der Passwort-Hashes – mathematische Ableitungen der Passwörter, die überprüft, aber nicht in das Original zurückverwandelt werden können Passwort.
Was auch immer Sie tun, verwenden Sie dasselbe Passwort nicht an mehr als einer Stelle.
Auch Passwortverwaltungssoftware oder Dienste, die Ende-zu-Ende-Verschlüsselung verwenden, können helfen. KeePass ist ein gutes Beispiel für Ersteres; LastPass buchstäblich. Schützen Sie Ihre E-Mails gut, da Sie damit die meisten Ihrer Passwörter zurücksetzen können. Und was auch immer Sie tun: Verwenden Sie nicht an mehr als einer Stelle dasselbe Passwort – Sie machen nur Ärger.
Websites müssen Einmal-Passwörter implementieren
OTP steht für „Einmalpasswort“ und Sie verwenden es möglicherweise bereits, wenn Sie eine Website/einen Dienst eingerichtet haben, der/die die Verwendung erfordert Google Authenticator. Die meisten dieser Authentifikatoren (einschließlich der von Google) verwenden einen Internetstandard namens TOTP oder Time-based One-Time Password. was hier beschrieben wird.
Was ist TOTP? Kurz gesagt: Die Website, auf der Sie sich befinden, generiert eine Geheimnummer, die einmal an Ihr Authentifizierungsprogramm übergeben wird, normalerweise über ein QR-Code. Bei der zeitbasierten Variante wird alle 30 Sekunden aus dieser Geheimzahl eine neue sechsstellige Zahl generiert. Die Website und der Client (Ihr Computer) müssen nicht erneut kommunizieren. Die Nummern werden einfach auf Ihrem Authentifikator angezeigt und Sie geben sie wie gewünscht zusammen mit Ihrem Passwort an die Website weiter, und schon sind Sie dabei. Es gibt auch eine Variante, bei der Ihnen dieselben Codes per SMS zugesandt werden.
Vorteile von TOTP: Selbst wenn Heartbleed oder ein ähnlicher Fehler dazu führen würde, dass sowohl Ihr Passwort als auch die Nummer auf Ihrem Authentifikator, der Website, auf der Sie sich befinden, offengelegt werden Die Interaktion mit hat diese Nummer mit ziemlicher Sicherheit bereits als verwendet markiert und kann nicht erneut verwendet werden – und sie wird ohnehin innerhalb von 30 Sekunden ungültig sein. Wenn eine Website diesen Dienst nicht bereits anbietet, kann sie dies wahrscheinlich relativ einfach tun, und wenn Sie praktisch jedes Smartphone haben, können Sie einen Authentifikator ausführen. Zugegebenermaßen ist es etwas umständlich, zum Anmelden Ihr Telefon zu konsultieren, aber der Sicherheitsvorteil für jeden Dienst, der Ihnen wichtig ist, lohnt sich.
Risiken von TOTP: Einbruch in einen Server a anders Dies könnte zur Offenlegung der Geheimnummer führen und es dem Angreifer ermöglichen, einen eigenen Authentifikator zu erstellen. Wenn Sie TOTP jedoch in Verbindung mit einem Passwort verwenden, das nicht von der Website gespeichert wird, speichern die meisten guten Anbieter ein Hash, der stark resistent gegen Reverse Engineering ist – dann ist Ihr Risiko zwischen den beiden sehr groß abgesenkt.
Die Leistungsfähigkeit von Client-Zertifikaten (und was sie sind)
Sie haben wahrscheinlich noch nie von Client-Zertifikaten gehört, aber tatsächlich gibt es sie schon seit sehr langer Zeit (natürlich seit der Zeit des Internets). Der Grund, warum Sie wahrscheinlich noch nie davon gehört haben, ist, dass es mühsam ist, sie zu bekommen. Da es weitaus einfacher ist, Benutzer einfach dazu zu bringen, ein Passwort auszuwählen, verwenden nur Websites mit hoher Sicherheit Zertifikate.
Was ist ein Client-Zertifikat? Kundenzertifikate beweisen, dass Sie die Person sind, für die Sie sich ausgeben. Sie müssen es lediglich in Ihrem Browser installieren (und eines funktioniert auf vielen Websites) und es dann verwenden, wenn eine Website eine Authentifizierung von Ihnen verlangt. Diese Zertifikate sind eng mit den SSL-Zertifikaten verwandt, mit denen Websites sich gegenüber Ihrem Computer identifizieren.
Der effektivste Weg, wie eine Website Ihre Daten schützen kann, besteht darin, sie gar nicht erst zu besitzen.
Vorteile von Client-Zertifikaten: Ganz gleich, bei wie vielen Websites Sie sich mit einem Client-Zertifikat anmelden, die Macht der Mathematik ist auf Ihrer Seite; Niemand wird in der Lage sein, dasselbe Zertifikat zu verwenden, um sich als Sie auszugeben, selbst wenn er Ihre Sitzung beobachtet.
Risiken von Client-Zertifikaten: Das Hauptrisiko eines Client-Zertifikats besteht darin, dass jemand einbrechen kann dein Computer und stehlen Sie ihn, aber es gibt Abhilfemaßnahmen für dieses Risiko. Ein weiteres potenzielles Problem besteht darin, dass typische Client-Zertifikate einige Identitätsinformationen enthalten, die Sie möglicherweise nicht jeder von Ihnen genutzten Website offenlegen möchten. Obwohl es Client-Zertifikate schon immer gibt und eine funktionierende Unterstützung im Webserver vorhanden ist Software gibt es sowohl auf Seiten der Dienstanbieter als auch auf Seiten der Browser noch viel zu tun sie funktionieren Also. Da sie so selten verwendet werden, wird ihnen in der Entwicklung kaum Beachtung geschenkt.
Am wichtigsten: Ende-zu-Ende-Verschlüsselung
Der effektivste Weg, wie eine Website Ihre Daten schützen kann, besteht darin, sie gar nicht erst zu besitzen – zumindest nicht in einer Version, die sie lesen kann. Wenn eine Website Ihre Daten lesen kann, kann ein Angreifer mit ausreichendem Zugriff Ihre Daten lesen. Aus diesem Grund bevorzugen wir die Ende-zu-Ende-Verschlüsselung (E2EE).
Was ist Ende-zu-Ende-Verschlüsselung? Das bedeutet, dass Sie Verschlüsseln die Daten auf Ihrer Seite, und es bleibt verschlüsselt, bis es die Person erreicht, für die Sie es bestimmt haben, oder es zu Ihnen zurückkehrt.
Vorteile von E2EE: Eine Ende-zu-Ende-Verschlüsselung ist bereits in einigen Diensten implementiert, beispielsweise in Online-Backup-Diensten. Es gibt auch schwächere Versionen davon in einigen Nachrichtendiensten, insbesondere solchen, die nach den Snowden-Enthüllungen aufgetaucht sind. Aus zwei Gründen ist es für Websites jedoch schwierig, eine Ende-zu-Ende-Verschlüsselung durchzuführen: Sie müssen möglicherweise Ihre Daten sehen, um ihren Dienst bereitzustellen, und Webbrowser sind bei der Durchführung von E2EE schlecht. Aber im Zeitalter der Smartphone-Apps kann und sollte eine Ende-zu-Ende-Verschlüsselung häufiger durchgeführt werden. Die meisten Apps verwenden E2EE heute nicht, aber wir hoffen, dass wir in Zukunft mehr davon sehen werden. Wenn Ihre Apps E2EE nicht für Ihre sensiblen Daten verwenden, sollten Sie sich beschweren.
Risiken von E2EE: Damit die Ende-zu-Ende-Verschlüsselung funktioniert, muss sie flächendeckend erfolgen – macht eine App oder Website sie nur halbherzig, kann das ganze Kartenhaus zusammenbrechen. Manchmal kann ein Teil unverschlüsselter Daten verwendet werden, um Zugriff auf den Rest zu erhalten. Sicherheit ist ein Spiel mit dem schwächsten Glied; Nur ein Glied der Kette darf nicht brechen.
Also, was nun?
Offensichtlich gibt es nicht viel, was Sie als Benutzer kontrollieren können. Sie werden Glück haben, einen Dienst zu finden, der Einmalpasswörter mit einem Authentifikator verwendet. Sie sollten jedoch unbedingt mit den von Ihnen genutzten Websites und Apps sprechen und ihnen mitteilen, dass Ihnen Fehler auffallen in der Software passieren, und Sie sind der Meinung, dass sie die Sicherheit ernster nehmen und sich nicht einfach nur darauf verlassen sollten Passwörter.
Wenn mehr Teile des Internets diese fortschrittlichen Sicherheitsmethoden nutzen, kommt es vielleicht das nächste Mal zu einer Softwarekatastrophe im Ausmaß von Heartbleed – und das ist der Fall Wille Irgendwann wird es so sein, dass wir nicht mehr so sehr in Panik geraten müssen.
[Bild mit freundlicher Genehmigung von Sense5/Shutterstock]