Heartbleed: Yahoo und Web.de raten zum Passwortwechsel
Nachdem sich zeigte, dass über die SSL-Lücke auch auf Klartext-Passwörter zugegriffen werden kann, haben die ersten prominenten Dienste ihre Nutzer zum Passwortwechsel aufgefordert. Viele weitere dürften diesem Beispiel folgen.
- Ronald Eikenberg
Nach dem SSL-Gau, der unter anderem bei zahllosen Diensten dazu geführt hat, dass Unbefugte auf Nutzerpasswörter zugreifen konnten, fordern die ersten Betreiber ihre Nutzer zum Passwortwechsel auf. "Wir empfehlen unseren Nutzern einen Passwortwechsel", erklärte etwa Yahoo gegenüber heise Security.
Das sind neue Töne, in der bisher veröffentlichten Stellungnahme hieß es nämlich lediglich, dass die Server inzwischen abgesichert seien und kontinuierlich daran gearbeitet werde, die Daten der Nutzer zu schützen. Dabei kursierten zum diesen Zeitpunkt schon Screenshots, die eindeutig belegen, dass durch die Lücke auf Login-Daten im Klartext zugegriffen werden konnte – und somit gleichzeitig auch, dass dies tatsächlich geschehen ist.
Dienste informieren ihre Nutzer
Auch Web.de will seinen Kunden empfehlen, ihre Passwörter zu ändern: "Unsere Nutzer informieren wir natürlich laufend über Passwort-Sicherheit und empfehlen Kunden regelmäßig, die Passwörter zu ändern. Diese Erinnerung werden wir nochmals an die Kunden geben", kündigte das Unternehmen an. Die Berliner Betreiber der Dienste Wunderlist und SoundCloud fordern ihre Nutzer ebenfalls zum Wechsel auf.
Ob ein Unternehmen seine Kunden zum Passwortwechsel auffordert, dürfte in erster Linie nicht von der Notwendigkeit, sondern von der Kommunikationspolitik der Einzelnen abhängen. Viele dürften sich noch den obigen Vorreitern anschließen. Mashable hat die bisherigen Stellungnahmen prominenter Dienste zusammengetragen und versucht daraus abzuleiten, wo überall eine Passwortänderung nötig ist. Das wäre demnach unter anderem bei Dropbox, Facebook, Google und LastPass und Tumblr nötig.
Wechseln oder nicht?
Die Anzahl der betroffenen Server ist endlos, das es fast jeden erwischt hat, der eine halbwegs aktuelle Version von OpenSSL eingesetzt hat. Ob ein Dienst verwundbar ist, lässt sich zum Beispiel mit dem Heardbleed Checker von LastPass herausfinden. Dieser ermöglicht, anders als die bisherigen Prüf-Tools, sogar einen Blick in die Vergangenheit, da er checkt, ob das SSL-Zertifikat des Server seit Bekanntwerden der Lücke erneuert wurde. Allerdings überprüft das LastPass-Tool ausschließlich Webserver, das Heartbleed-Problem betrifft aber auch Mailserver und Co. [Update vom 10. April, 19 Uhr: Anscheinend sind die Testergebnisse von LastPasst in vielen Fällen nicht plausibel. Eine Alternative, die ebenfalls das Alter von Zertifikaten auswertet, ist ssl-tools.net.]
Wer auf Nummer sich gehen will, muss bei allen Diensten seine Passwörter ändern. Ob das wirklich nötig ist, fragt sich heise-Security-Chefredakteur Jürgen Schmidt in seinem Kommentar Passwörter in Gefahr – was nun?. (rei)
