Verbesserte Resilienz gegen Heartbleed-ähnliche Bugs durch Zwei-Faktor-Authentifizierung
Am Montag, den 7. April, wurde über die sogenannten Nachrichten berichtet Herzblut Fehler. Heartbleed ist ein Fehler in OpenSSL, einer Softwarebibliothek, die das TLS-Sicherheitsprotokoll (Transport Layer Security) implementiert. TLS wird häufig zum Schutz der Kommunikation über Websites, E-Mail, Instant Messaging usw. verwendet. Es kann am Präfix „https“ oder an einer Sperre in der Adressleiste eines Browsers erkannt werden.
Der Heartbleed-Bug
Der Heartbleed-Fehler ermöglicht es einem Gegner, einen Teil des Speichers eines betroffenen Servers abzurufen. In diesem Speicher werden vertrauliche Daten gespeichert und verarbeitet, darunter private TLS-Schlüssel, Kennwörter von Benutzern und Kreditkartendaten. Als solcher kann ein Gegner den Fehler verwenden, um vertrauliche Daten aus der Webanwendung eines Unternehmens abzurufen. Unter bestimmten Umständen ermöglicht der Fehler auch das Abrufen vertraulicher Daten, die in der Vergangenheit mit einem anfälligen TLS-Server ausgetauscht wurden. Darüber hinaus kann ein Gegner mithilfe des privaten TLS-Schlüssels einer betroffenen Webanwendung auch unerwünschte Server einrichten, die sich als echter Server ausgeben.
Heartbleed und seine Auswirkungen auf Konten, die mit statischen Passwörtern geschützt sind
Der Heartbleed-Fehler bestätigt erneut schmerzlich, dass die Zeiten, in denen Benutzernamen und statische Passwörter ein angemessenes Sicherheitsniveau boten, definitiv vorbei sind.
Webanwendungen, die vom Heartbleed-Fehler betroffen sind, müssen davon ausgehen, dass alle vertraulichen Daten, die in den letzten zwei Jahren über TLS ausgetauscht wurden, gefährdet sein können. Aufgrund von Heartbleed kann ein Gegner, der die Kommunikation mit einer betroffenen Webanwendung abgefangen hat, diese vertraulichen Daten jetzt entschlüsseln. Mit anderen Worten, ein solcher Gegner könnte die Benutzernamen und Passwörter der Benutzer der Webanwendung erhalten und sich mit ihnen anmelden, solange sie gültig sind.
Darüber hinaus können Webanwendungen betroffen sein, die nicht direkt von Heartbleed betroffen sind indirekt , da Benutzer dazu neigen, Passwörter zwischen mehreren Webanwendungen zu teilen. Kennwörter, die mit einer Webanwendung verwendet werden, die nicht von Heartbleed betroffen ist, können weiterhin gefährdet sein, wenn sie auch in einer von Heartbleed betroffenen Webanwendung verwendet werden. Mit anderen Worten, die Eigentümer von Webanwendungen, die sich auf statische Kennwörter verlassen, können die Sicherheit der Kennwörter ihrer Benutzer nicht mehr selbst kontrollieren. Sie unterliegen der (fehlenden) Sicherheit anderer Webanwendungen.
Nutzung der Zwei-Faktor-Authentifizierung zum Schutz vor Heartbleed- und Heartbleed-ähnlichen Fehlern
Webanwendungen mit Zwei-Faktor-Authentifizierung (2FA), um ihre Benutzer zu authentifizieren, mussten sich in den letzten Tagen nicht so viele Sorgen um Heartbleed machen.
Die Zwei-Faktor-Authentifizierung basierend auf Einmalkennwörtern (OTPs) stellt sicher, dass Kennwörter nur einmal verwendet werden können und nur für eine kurze Zeit gültig bleiben. Infolgedessen haben OTPs, die in den letzten zwei Jahren verwendet wurden und von einem Gegner wiederhergestellt werden, für diesen Gegner keinen Wert. Die Vergänglichkeit von OTPs macht sie für Gegner, die TLS-geschützte Kommunikation entschlüsseln, wertlos. Darüber hinaus stellt 2FA sicher, dass Benutzer keine Kennwörter für verschiedene Konten freigeben können, sodass sich Webanwendungsbesitzer keine Sorgen machen müssen, dass Benutzer Anmeldeinformationen mit anderen Anwendungen teilen, die möglicherweise von Heartbleed betroffen sind.
Der Heartbleed-Bug sorgte in der Online-Welt für großes Aufsehen. Es ist jedoch höchstwahrscheinlich nicht der letzte Fehler, den wir sehen werden. Um die Ausfallsicherheit gegen Heartbleed und zukünftige Heartbleed-ähnliche Fehler zu erhöhen, sollten Besitzer von Webanwendungen daher 2FA einführen.
