Heartbleed
Moderator: Moderatoren Forum 4
- garfield336
- Beiträge: 14071
- Registriert: Mo 25. Mär 2013, 21:05
- Wohnort: Luxemburg
Heartbleed
Oder wie sie das nennen.
Das Leck wird ja als Supergau des Internet bezeichnet. Dabei mus doch jedem klar sein dass das Internet per se unsicher ist.
Und warun wird nun auf diversen Internetseiten behauptet dass man jetzt dringend sein passwort aendern muesste wo doch spaetestens jetzt klar sein jedem klar sein muesste dass das passwort 1234 genau so sicher oder unsicher ist wie ein paswort mit 30zeichen inklusive sonderzeichen zahlen und gross und kleinschreibung
Das Leck wird ja als Supergau des Internet bezeichnet. Dabei mus doch jedem klar sein dass das Internet per se unsicher ist.
Und warun wird nun auf diversen Internetseiten behauptet dass man jetzt dringend sein passwort aendern muesste wo doch spaetestens jetzt klar sein jedem klar sein muesste dass das passwort 1234 genau so sicher oder unsicher ist wie ein paswort mit 30zeichen inklusive sonderzeichen zahlen und gross und kleinschreibung
-
- Beiträge: 38094
- Registriert: Mi 18. Jan 2012, 21:57
Re: Heartbleed
Das hängt davon ab, wie oft man ein Passwort eingeben darf. Wenn man nur drei Versuche zur Verfügung hat, dann reicht auch ein Passwort mit 4 Zeichen aus. Ein Beispiel dafür wären die Bankautomaten.
Das ist Kapitalismus:
Die ständige Wahl der Bürger bestimmt das Angebot.
Die ständige Wahl der Bürger bestimmt das Angebot.
- garfield336
- Beiträge: 14071
- Registriert: Mo 25. Mär 2013, 21:05
- Wohnort: Luxemburg
Re: Heartbleed
Bei der SSL sicherheitsluecke genannt Heartbleed wussten die Angreifer das Passwort. Sie konnten es auslesen. Da ist es unerheblich wie lang es ist.Adam Smith » Sa 12. Apr 2014, 07:48 hat geschrieben:Das hängt davon ab, wie oft man ein Passwort eingeben darf. Wenn man nur drei Versuche zur Verfügung hat, dann reicht auch ein Passwort mit 4 Zeichen aus. Ein Beispiel dafür wären die Bankautomaten.
Und man mus davon ausgehen dass etwas was waehrend einem Jahrzehnt unsicher war auch nach einem Update immer noch unsicher ist
Zuletzt geändert von garfield336 am Sa 12. Apr 2014, 08:56, insgesamt 2-mal geändert.
- garfield336
- Beiträge: 14071
- Registriert: Mo 25. Mär 2013, 21:05
- Wohnort: Luxemburg
Re: Heartbleed
SSL mus in Zukunft als unsicher gelten.
-
- Beiträge: 38094
- Registriert: Mi 18. Jan 2012, 21:57
Re: Heartbleed
Solange die NSA darauf zugriff hat wäre das in der Tat unsicher. Das Problem bei langen Passwörtern ist, dass die NSA bei diesen Passwörtern sehr viele Versuche bei einer Website starten muss. Und jeder Versuch dauert seine Zeit. Weil die Webseiten langsam die Eingaben der falschen Passwörter verarbeiten. Und das bringt der NSA schon Probleme, weil so viel Zeit haben die nicht.garfield336 » Sa 12. Apr 2014, 08:53 hat geschrieben:
Und man mus davon ausgehen dass etwas was waehrend einem Jahrzehnt unsicher war auch nach einem Update immer noch unsicher ist
Das ist Kapitalismus:
Die ständige Wahl der Bürger bestimmt das Angebot.
Die ständige Wahl der Bürger bestimmt das Angebot.
- garfield336
- Beiträge: 14071
- Registriert: Mo 25. Mär 2013, 21:05
- Wohnort: Luxemburg
Re: Heartbleed
Man braucht nur ein Versuch wenn man das richtige password kennt.Adam Smith » Sa 12. Apr 2014, 08:18 hat geschrieben: Solange die NSA darauf zugriff hat wäre das in der Tat unsicher. Das Problem bei langen Passwörtern ist, dass die NSA bei diesen Passwörtern sehr viele Versuche bei einer Website starten muss. Und jeder Versuch dauert seine Zeit. Weil die Webseiten langsam die Eingaben der falschen Passwörter verarbeiten. Und das bringt der NSA schon Probleme, weil so viel Zeit haben die nicht.
-
- Beiträge: 38094
- Registriert: Mi 18. Jan 2012, 21:57
Re: Heartbleed
Wobei laut Snowden nur die E-Mail-Adresse dazu ausreicht. Die brauchen anscheinend auch noch die Passwörter.
http://www.heise.de/newsticker/meldung/ ... 25560.htmlGegenteiliges zu Protokoll: Snwoden hatte etwa bekräftigt, als NSA-Analyst sehr wohl zielgerichtet Personen überwachen zu können, auch den US-Präsidenten. Dazu bräuchte er nur eine persönliche E-Mail-Adresse.
Zuletzt geändert von Adam Smith am Sa 12. Apr 2014, 09:31, insgesamt 1-mal geändert.
Das ist Kapitalismus:
Die ständige Wahl der Bürger bestimmt das Angebot.
Die ständige Wahl der Bürger bestimmt das Angebot.
-
- Beiträge: 38094
- Registriert: Mi 18. Jan 2012, 21:57
Re: Heartbleed
Die NSA hätte so etwas schon gerne. Große Schwierigkeiten würde die NSA bekommen, wenn sie erstens die E-Mail-Adresse nicht kennt und zweitens das Passwort der E-Mail-Adresse lang ist und nicht von einem Programm erzeugt worden ist. Dann ärgern die sich so richtig.Eigentlich sollte der Einsatz eines Passwort-Managers so selbstverständlich sein wie das Schreiben einer E-Mail.
http://www.spiegel.de/netzwelt/web/hear ... 63953.html
Zuletzt geändert von Adam Smith am Sa 12. Apr 2014, 09:43, insgesamt 1-mal geändert.
Das ist Kapitalismus:
Die ständige Wahl der Bürger bestimmt das Angebot.
Die ständige Wahl der Bürger bestimmt das Angebot.
- lobozen
- Beiträge: 9962
- Registriert: Mo 2. Jun 2008, 23:22
- user title: fugitive
- Wohnort: Where women glow and men plunder
Re: Heartbleed
Du kapierst es einfach nicht, oder? Falls der NSA Heartbleed bekannt war und falls sie die Luecke (was dann ziemlich wahrscheinlich waere) ausgenutzt hat, ist es voellig unerheblich, wie lang und womit erzuegt dein Passort ist.Adam Smith » Sa 12. Apr 2014, 09:40 hat geschrieben:
"what you call love was invented by guys like me, to sell nylons"
-
- Beiträge: 38094
- Registriert: Mi 18. Jan 2012, 21:57
Re: Heartbleed
Es geht mir darum zu zeigen, warum die NSA neue Wege geht.lobozen » Sa 12. Apr 2014, 10:00 hat geschrieben:Du kapierst es einfach nicht, oder? Falls der NSA Heartbleed bekannt war und falls sie die Luecke (was dann ziemlich wahrscheinlich waere) ausgenutzt hat, ist es voellig unerheblich, wie lang und womit erzuegt dein Passort ist.
Das ist Kapitalismus:
Die ständige Wahl der Bürger bestimmt das Angebot.
Die ständige Wahl der Bürger bestimmt das Angebot.
Re: Heartbleed
Sie kannten nur ihr eigenes Passwort. Andere Passworte konnten nicht gezielt abgefischt werden. Man konnte nur das sehen, was zufällig gerade in den benachbarten 16 KByte des Arbeitsspeichers lag.garfield336 » Sa 12. Apr 2014, 07:53 hat geschrieben: Bei der SSL sicherheitsluecke genannt Heartbleed wussten die Angreifer das Passwort. Sie konnten es auslesen.
Der Anarchist ist kein Feind der Ordnung. Er liebt die Ordnung so sehr, daß er ihre Karikatur nicht erträgt.
Re: Heartbleed
Darunter können zwar Passwörter gewesen sein, aber dass die NSA nun alle Passwörter kenne, ist unsinnig. Zudem betraf HB nur bestimmte openssl-Versionen. GnuTLS und ältere openssl-Versionen, wie sie in Enterprise-Linuxsystemen (RHEL, OEL, SUSE) eingesetzt werden, sind gar nicht betroffen.MoOderSo » Sa 12. Apr 2014, 11:10 hat geschrieben: Sie kannten nur ihr eigenes Passwort. Andere Passworte konnten nicht gezielt abgefischt werden. Man konnte nur das sehen, was zufällig gerade in den benachbarten 16 KByte des Arbeitsspeichers lag.