Aktuelle Technik-Nachrichten » digitalweek.de
Der Online-Passwort Service LastPass hat die am gestrigen Tage bekannt gewordene OpenSSL Sicherheitslücke „Heartbleed“ geschlossen. Laut Angaben von LastPass hätte dennoch zu keinem Zeitpunkt eine Gefahr für die Nutzer bzw. deren hinterlegten Passwörter bestanden.
Wie LastPass weiter ausführte, werden die Passwörter bereits vor der Übertragung über OpenSSL verschlüsselt. Auf diesen Sicherheitsschlüssel hätte LastPass keinen Zugriff, sondern ausschließlich nur die Anwender.
Weiterhin setzt das Unternehmen auf „Perfect Forward Secrecy“, wodurch sichergestellt wird, dass von einem geheimen Langzeitschlüssel keine Rückschlüsse auf einem temporären Schlüssel möglich sind. Zudem hat LastPass inzwischen neu ausgestellte SSL-Zertifikate in Betrieb genommen.
Betroffen sind übrigens die OpenSSL-Versionen 1.0.1 bis 1.0.1f. Mit Version 1.0.1, die erst heute veröffentlicht wurde, sei die Lücke inzwischen geschlossen worden.
OpenSSL-Sicherheitslücke betrifft viele Systeme
Aktuelle Statistiken besagen, dass in etwa zweidrittel aller Server-Systeme im Internet von der Sicherheitslücke betroffen sind, da diese in der Regel OpenSSL zur verschlüsselten Kommunikation einsetzen. Mithilfe der Sicherheitslücke haben allerdings Angreifer die Möglichkeit geheime Schlüssel abzugreifen und dadurch Zugriff auf vertrauliche bzw. personenbezogene Daten zu erhalten.
Weiterhin empfehlen Sicherheitsexperten die Zugangsdaten für relevante Websites zu ändern. Dies sollte logischerweise erst dann erfolgen, wenn der betreffende Dienst seine Systeme mithilfe eines Patches, wie bei LastPass, geschützt hat und ebenfalls auch die neuen SSL-Zertifikate eingespielt hat.
Nach Heartbeat folgt Heartbleed
Benannt wurde die Sicherheitslücke Heartbleed nach der vor zwei Jahren veröffentlichten OpenSSL Erweiterung Heartbeet. Diese wurde in OpenSSL 1.0.1 eingebunden und sollte den Umgang mit langlebigen TSL-Verbindungen verbessern. Die Erweiterung wird von den meisten Diensten allerdings nicht wirklich eingesetzt, läuft allerdings stets im Hintergrund mit und ist somit aktiv. Auch Steam aus dem Hause von Valve ist von der Sicherheitslücke betroffen.
Entdeckt wurde die Sicherheitslücke übrigens von den finnischen Sicherheitsexperten von Codenomicon und Neel Mehta die in Zusammenarbeit mit Google Security die Sicherheitslücke erfolgreich ausnutzen konnten.
Wer in Zukunft seine Passwörter lieber auf dem heimischen Computer ablegen möchte, aber einen identischen Komfort wie mit LastPass haben möchte, für den könnte 1Password eine Alternative darstellen. 1Password steht für Mac wie auch Windows zur Verfügung. Für eigentlich jeden Browser gibt es inzwischen eine Extension.
