Heartbleed Bug: SSL offen

  • Mal ganz konkret gefragt ... was muss ich denn nun eigentlich beachten wenn ich in einem Internet-Shop einkaufe oder wenn ich eine Überweisung per Online-Banking tätigen will?


    Und was ist im Hinblick auf die SSL-Verschlüsselung beim Online-Banking sicherer, das "SMS-Tan-Verfahren" oder das "Chip-Tan-Verfahren"? Und wie hängen diese beiden "Tan-Verfahren" eigentlich mit der SSL-Verschlüsselung genau zusammen?

  • Mal ganz konkret gefragt ... was muss ich denn nun eigentlich beachten wenn ich in einem Internet-Shop einkaufe oder wenn ich eine Überweisung per Online-Banking tätigen will?


    Und was ist im Hinblick auf die SSL-Verschlüsselung beim Online-Banking sicherer, das "SMS-Tan-Verfahren" oder das "Chip-Tan-Verfahren"? Und wie hängen diese beiden "Tan-Verfahren" eigentlich mit der SSL-Verschlüsselung genau zusammen?


    Weder noch und du kannst als Kunde quasi nichts machen um SSL sicherer zu machen.
    Du (dein Browser) muss mit dem Server Zertifikat leben. Das Problem ist ja nicht das Zertifikat, sondenrn der "Treiber" auf dem Server, der für die Verschlüsselung zuständig ist.
    Dieser ist angreifbar (gewesen).


    Was musst du jetzt im Nachgang beachten? - Jeder Server der Angreifbar war, muss potentiell als gehackt angesehen werden. Es lässt sich nicht rausfinden, wer wirklich gehackt wurde.
    Das heisst, dass z.B. deine Login Daten anderen bekannt sein könnten.
    Was wäre möglich: Betroffen waren Dienste wie Yahoo oder Google.
    Da die recht gross sind, ist das Interesse der Hacker ja sehr gross, da geringer Aufwand viele Daten bringt.
    Du hast dort ein Account. Also hat der Hacker nun deine Zugangsdaten.
    Auf diesem Account bekommst du die Zugangsdaten von einem Online Shop.
    Selbst wenn du dort ein anderes Passwort hast, kann man mit der Passwortvergessen Funktion ja ein neues bekommen.
    Und schon kann jemand auf ein von dir schon benutztes Konto Sachen bestellen. Viele Shop lassen das dann ja auch auf Rechnung zu, wenn der Kunde vorher schon was bestellt hat.



    Was kannst du nun tun?
    Passwörter ändern! Leider finde ich die TOP 10.000 Liste nicht mehr. Aber hier sind aus US sicht wichtige Dienste, die betroffen waren http://mashable.com/2014/04/09…fcjJkbzlkdjNlc2l1Z2djdiJ9


    Was hat das ganze mit Onlinebacking zu tun:
    Dein Passwort ist ja nur eine Verifizierung beim Login. Daher ist deine Bank recht sicher, da die ja immer einen zweiten Weg nehmen.
    Hat also damit gar nichts zu tun, da SSL nur dafür da ist, dass in einer Session der Austausch deinene Browsers mit dem Server verschlüsselt wird.
    Grundsätzlich ist SMS-Tan aber gehackt. Bei Chip-Tan ist mir das noch nicht bekannt.

    the0bone


    Wissen ist Macht, nichts Wissen macht nichts! Doch auch wenn man es nicht besser weiss, sollte man beim Erstellen einer Webseite auf Tabellen verzichten.