Der Online-Passwort-Manager LastPass hat die gestern bekannt gewordene Heartbleed-Lücke in OpenSSL geschlossen. Zu keinem Zeitpunkt habe eine Gefahr für die von Nutzern hinterlegten Passwörter bestanden, da diese vor dem Transport über OpenSSL verschlüsselt werden, kommentiert es. Auf den Schlüssel hat LastPass keinen Zugriff, sondern nur der Nutzer.
Das Unternehmen hat bereits neu ausgestellte Zertifikate in Betrieb genommen. Außerdem arbeiten die LastPass-Server mit „Perfect Forward Secrecy„, womit sichergestellt ist, dass aus einem aufgedeckten geheimen Langzeitschlüssel nicht auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals geschlossen werden kann.
Etwa zwei Drittel aller Websites, die SSL zur verschlüsselten Kommunikation nutzen, verwenden dafür OpenSSL. Durch die Heartbleed-Lücke können Angreifer geheime Schlüssel für die mit OpenSSL genutzten X.509-Zertifikate stehlen und erhalten damit Zugriff auf vertrauliche Daten wie Usernamen, Passwörter, Instant Messages, E-Mails und geschäftskritische Dokumente.
Da allerdings die meisten Server, die OpenSSL zur Verschlüsselung nutzen, Passwörter nicht wie Lastpass verschlüsseln, empfiehlt das Unternehmen Anwendern, die Zugangsdaten für kritische Websites zu ändern. Das sollte aber erst passieren, nachdem die betreffende Site den Patch für die Heartbleed-Lücke nutzt und neue Zertifikate in Betrieb sind. Hierfür stellt Lastpass einen Heartbleed-Checker zur Verfügung, der überprüft, ob Websites mit OpenSSL arbeiten, und informiert über den Installationszeitpunkt des Zertifikats. Eine Liste von der Heartbleed-Lücke betroffene Server steht auf Github zur Verfügung.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…