Der Online-Passwort-Manager LastPass hat die gestern bekannt gewordene Heartbleed-Lücke in OpenSSL geschlossen. Zu keinem Zeitpunkt habe eine Gefahr für die von Nutzern hinterlegten Passwörter bestanden, da diese vor dem Transport über OpenSSL verschlüsselt werden, kommentiert es. Auf den Schlüssel hat LastPass keinen Zugriff, sondern nur der Nutzer.

Das Unternehmen hat bereits neu ausgestellte Zertifikate in Betrieb genommen. Außerdem arbeiten die LastPass-Server mit „Perfect Forward Secrecy„, womit sichergestellt ist, dass aus einem aufgedeckten geheimen Langzeitschlüssel nicht auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals geschlossen werden kann.

Etwa zwei Drittel aller Websites, die SSL zur verschlüsselten Kommunikation nutzen, verwenden dafür OpenSSL. Durch die Heartbleed-Lücke können Angreifer geheime Schlüssel für die mit OpenSSL genutzten X.509-Zertifikate stehlen und erhalten damit Zugriff auf vertrauliche Daten wie Usernamen, Passwörter, Instant Messages, E-Mails und geschäftskritische Dokumente.

Da allerdings die meisten Server, die OpenSSL zur Verschlüsselung nutzen, Passwörter nicht wie Lastpass verschlüsseln, empfiehlt das Unternehmen Anwendern, die Zugangsdaten für kritische Websites zu ändern. Das sollte aber erst passieren, nachdem die betreffende Site den Patch für die Heartbleed-Lücke nutzt und neue Zertifikate in Betrieb sind. Hierfür stellt Lastpass einen Heartbleed-Checker zur Verfügung, der überprüft, ob Websites mit OpenSSL arbeiten, und informiert über den Installationszeitpunkt des Zertifikats. Eine Liste von der Heartbleed-Lücke betroffene Server steht auf Github zur Verfügung.

Lastpass-Heartbleed-Checker: Das Online-Tool informiert darüber, ob eine Webseite mit OpenSSL arbeitet und wann neue Zertifikate installiert wurden. Für Webseiten, die OpenSSL nicht oder eine andere SSL-Lösung verwenden, erscheint eine Fehlermeldung.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Ohne Passwort-Management keine IT-Sicherheit

Neben hochentwickelten Firewalls und Authentifizierungsverfahren spielt eine möglichst hohe Passwortsicherheit eine entscheidende Rolle für die…

23 Stunden ago

Starke Leistung im kompakten Desktop-PC | MSI Business & Productivity Desktop-PCs für vielseitige Anwendungen

Ein klassischer Desktop-PC im Tower-Format ist nicht für jeden geeignet, besonders bei begrenztem Arbeitsraum. MSI…

1 Tag ago

Silicon Security Day Europe

Wie kann Künstliche Intelligenz helfen, den Krieg gegen Ransomware und "Nukleare" Ransomware 3.0 zu gewinnen?

1 Tag ago

Silicon Security Day Austria

Beim Silicon Security Day in Österreich am 2. Juni 2022 ab 9:45 Uhr dreht sich…

1 Tag ago

ONLYOFFICE kündigt umfangreiches Update für Kollaborationsplattform und Dokumenten-Editoren an

Die quelloffene Online-Office-Lösung ONLYOFFICE kündigt ein umfangreiches Update für ihre Kollaborationsplattform (ONLYOFFICE Workspace 12.0) und…

1 Tag ago

VeeamON: Veeam wird Marktführer bei Data Protection

Auf der Konferenz VeeamON zeigt sich Veeam sehr optimistisch. Die Zahlen unabhängiger Marktforscher bestätigen den…

2 Tagen ago