Heartbleed

Moderator: Moderatoren Forum 4

Antworten
Benutzeravatar
garfield336
Beiträge: 14071
Registriert: Mo 25. Mär 2013, 21:05
Wohnort: Luxemburg

Heartbleed

Beitrag von garfield336 »

Oder wie sie das nennen.

Das Leck wird ja als Supergau des Internet bezeichnet. Dabei mus doch jedem klar sein dass das Internet per se unsicher ist.

Und warun wird nun auf diversen Internetseiten behauptet dass man jetzt dringend sein passwort aendern muesste wo doch spaetestens jetzt klar sein jedem klar sein muesste dass das passwort 1234 genau so sicher oder unsicher ist wie ein paswort mit 30zeichen inklusive sonderzeichen zahlen und gross und kleinschreibung
Adam Smith
Beiträge: 38094
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitrag von Adam Smith »

Das hängt davon ab, wie oft man ein Passwort eingeben darf. Wenn man nur drei Versuche zur Verfügung hat, dann reicht auch ein Passwort mit 4 Zeichen aus. Ein Beispiel dafür wären die Bankautomaten.
Das ist Kapitalismus:

Die ständige Wahl der Bürger bestimmt das Angebot.
Benutzeravatar
garfield336
Beiträge: 14071
Registriert: Mo 25. Mär 2013, 21:05
Wohnort: Luxemburg

Re: Heartbleed

Beitrag von garfield336 »

Adam Smith » Sa 12. Apr 2014, 07:48 hat geschrieben:Das hängt davon ab, wie oft man ein Passwort eingeben darf. Wenn man nur drei Versuche zur Verfügung hat, dann reicht auch ein Passwort mit 4 Zeichen aus. Ein Beispiel dafür wären die Bankautomaten.
Bei der SSL sicherheitsluecke genannt Heartbleed wussten die Angreifer das Passwort. Sie konnten es auslesen. Da ist es unerheblich wie lang es ist.

Und man mus davon ausgehen dass etwas was waehrend einem Jahrzehnt unsicher war auch nach einem Update immer noch unsicher ist
Zuletzt geändert von garfield336 am Sa 12. Apr 2014, 08:56, insgesamt 2-mal geändert.
Benutzeravatar
garfield336
Beiträge: 14071
Registriert: Mo 25. Mär 2013, 21:05
Wohnort: Luxemburg

Re: Heartbleed

Beitrag von garfield336 »

SSL mus in Zukunft als unsicher gelten.
Adam Smith
Beiträge: 38094
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitrag von Adam Smith »

garfield336 » Sa 12. Apr 2014, 08:53 hat geschrieben:
Und man mus davon ausgehen dass etwas was waehrend einem Jahrzehnt unsicher war auch nach einem Update immer noch unsicher ist
Solange die NSA darauf zugriff hat wäre das in der Tat unsicher. Das Problem bei langen Passwörtern ist, dass die NSA bei diesen Passwörtern sehr viele Versuche bei einer Website starten muss. Und jeder Versuch dauert seine Zeit. Weil die Webseiten langsam die Eingaben der falschen Passwörter verarbeiten. Und das bringt der NSA schon Probleme, weil so viel Zeit haben die nicht.
Das ist Kapitalismus:

Die ständige Wahl der Bürger bestimmt das Angebot.
Benutzeravatar
garfield336
Beiträge: 14071
Registriert: Mo 25. Mär 2013, 21:05
Wohnort: Luxemburg

Re: Heartbleed

Beitrag von garfield336 »

Adam Smith » Sa 12. Apr 2014, 08:18 hat geschrieben: Solange die NSA darauf zugriff hat wäre das in der Tat unsicher. Das Problem bei langen Passwörtern ist, dass die NSA bei diesen Passwörtern sehr viele Versuche bei einer Website starten muss. Und jeder Versuch dauert seine Zeit. Weil die Webseiten langsam die Eingaben der falschen Passwörter verarbeiten. Und das bringt der NSA schon Probleme, weil so viel Zeit haben die nicht.
Man braucht nur ein Versuch wenn man das richtige password kennt.
Adam Smith
Beiträge: 38094
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitrag von Adam Smith »

Wobei laut Snowden nur die E-Mail-Adresse dazu ausreicht. Die brauchen anscheinend auch noch die Passwörter.
Gegenteiliges zu Protokoll: Snwoden hatte etwa bekräftigt, als NSA-Analyst sehr wohl zielgerichtet Personen überwachen zu können, auch den US-Präsidenten. Dazu bräuchte er nur eine persönliche E-Mail-Adresse.
http://www.heise.de/newsticker/meldung/ ... 25560.html
Zuletzt geändert von Adam Smith am Sa 12. Apr 2014, 09:31, insgesamt 1-mal geändert.
Das ist Kapitalismus:

Die ständige Wahl der Bürger bestimmt das Angebot.
Adam Smith
Beiträge: 38094
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitrag von Adam Smith »

Eigentlich sollte der Einsatz eines Passwort-Managers so selbstverständlich sein wie das Schreiben einer E-Mail.
Die NSA hätte so etwas schon gerne. Große Schwierigkeiten würde die NSA bekommen, wenn sie erstens die E-Mail-Adresse nicht kennt und zweitens das Passwort der E-Mail-Adresse lang ist und nicht von einem Programm erzeugt worden ist. Dann ärgern die sich so richtig.

http://www.spiegel.de/netzwelt/web/hear ... 63953.html
Zuletzt geändert von Adam Smith am Sa 12. Apr 2014, 09:43, insgesamt 1-mal geändert.
Das ist Kapitalismus:

Die ständige Wahl der Bürger bestimmt das Angebot.
Benutzeravatar
lobozen
Beiträge: 9962
Registriert: Mo 2. Jun 2008, 23:22
user title: fugitive
Wohnort: Where women glow and men plunder

Re: Heartbleed

Beitrag von lobozen »

Du kapierst es einfach nicht, oder? Falls der NSA Heartbleed bekannt war und falls sie die Luecke (was dann ziemlich wahrscheinlich waere) ausgenutzt hat, ist es voellig unerheblich, wie lang und womit erzuegt dein Passort ist.
"what you call love was invented by guys like me, to sell nylons"
Adam Smith
Beiträge: 38094
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitrag von Adam Smith »

lobozen » Sa 12. Apr 2014, 10:00 hat geschrieben:Du kapierst es einfach nicht, oder? Falls der NSA Heartbleed bekannt war und falls sie die Luecke (was dann ziemlich wahrscheinlich waere) ausgenutzt hat, ist es voellig unerheblich, wie lang und womit erzuegt dein Passort ist.
Es geht mir darum zu zeigen, warum die NSA neue Wege geht.
Das ist Kapitalismus:

Die ständige Wahl der Bürger bestimmt das Angebot.
Benutzeravatar
MoOderSo
Beiträge: 8424
Registriert: Mo 2. Jun 2008, 23:54
user title: (•̀ᴗ•́)و

Re: Heartbleed

Beitrag von MoOderSo »

garfield336 » Sa 12. Apr 2014, 07:53 hat geschrieben: Bei der SSL sicherheitsluecke genannt Heartbleed wussten die Angreifer das Passwort. Sie konnten es auslesen.
Sie kannten nur ihr eigenes Passwort. Andere Passworte konnten nicht gezielt abgefischt werden. Man konnte nur das sehen, was zufällig gerade in den benachbarten 16 KByte des Arbeitsspeichers lag.
Der Anarchist ist kein Feind der Ordnung. Er liebt die Ordnung so sehr, daß er ihre Karikatur nicht erträgt.
HugoBettauer

Re: Heartbleed

Beitrag von HugoBettauer »

MoOderSo » Sa 12. Apr 2014, 11:10 hat geschrieben: Sie kannten nur ihr eigenes Passwort. Andere Passworte konnten nicht gezielt abgefischt werden. Man konnte nur das sehen, was zufällig gerade in den benachbarten 16 KByte des Arbeitsspeichers lag.
Darunter können zwar Passwörter gewesen sein, aber dass die NSA nun alle Passwörter kenne, ist unsinnig. Zudem betraf HB nur bestimmte openssl-Versionen. GnuTLS und ältere openssl-Versionen, wie sie in Enterprise-Linuxsystemen (RHEL, OEL, SUSE) eingesetzt werden, sind gar nicht betroffen.
Antworten