Habt ihr eure Kunden darum gebeten, dass sie ihre Passwörter ändern?
Damit Passwörter auslesbar sind bedarf es einer von 2 Voraussetzungen:
-- Fall A--
1. Der Angreifer hat den Server Privatekey über den Exploit zusammengebaut
2. Der Angreifer kann erfolgreich einen MitM Angriff durchführen
=> Der Angreifer braucht physikalischen Zugriff auf dein Netzwerk oder Datentransport im Internet
-- Fall B--
1. Der Angreifer hat den Server Privatekey über den Exploit zusammengebaut
2. Der Angreifer kann Traffic mitlesen
3. Der Server verwendet kein Perfect forward secrecy
=> Der Angreifer braucht einen Mitschnitt eines Zeitpunktes mit sensiblen Daten - also zu einem vergangenen Zeitpunkt muss die Einschränkung von (A) gegolten haben.
Aufgrund dieser Einschränkungen sehe ich das Problem zwar durchaus als bestehend aber keineswegs als so panikartig kritisch wie in den Medien momentan dargestellt. Onlinezeitungen leben von Klicks, Klicks kommen von Panikmache.
Das ganze Passwort-Problem würde übrigens nicht bestehen wenn mindestens mal die Großen auf best-practice Standards setzen würden. Clientseitige Passwortverschlüsslung vor Übertragung? Pfff... wer braucht das denn?
mittels Bestätigungs-Code via E-Mail
Sehr sicher, wenn man so die Konfiguration von Otto-Normalverbraucher ansieht. Kein Verschlüsselter Email-Verkehr, Verbindung zu jedem öffentlichen Hotspot. Hier ersetzt man ein Problem mit einem anderen das im genau gleichen Umfeld funktioniert. Bestätigungscode per SMS? A5/1 GSM-Verschlüsslung ist mit niedrigem Aufwand crackbar.
Ich empfehle eine persönliche Überbringung an alle Kunden!
ber lieber so herum als hinterher aufgrund von Missbrauchsfällen sich mit der Staatsanwaltschaft beschäftigen zu müssen.
Meine Kundschaft sträubt sich noch immer dagegen dass deren Computer über secure USB-Sticks gebootet werden müssen bevor sie ins CP einloggen dürfen. Aber das ist halt die einzige Methode die üblichen Missbrauchfälle durch Trojaner zu umgehen...