Moin!

Passwörter, die unverschlüsselt übertragen werden (wie in diesem Forum), können einfach mitgeschnitten werden. Wobei sie zumindest nicht so einfach von Remote mittels Heartbleed ausgelesen werden können, da TLS fehlte.

Sie können EINFACHER mitgeschnitten werden, da keinerlei Verschlüsselung zu überwinden ist.

1. Der Serverbetreiber sorgt dafür, dass OpenSSL aktualisiert und das System sauber ist, also keine Schadsoftware läuft.
2. Der Serverbetreiber ändert den Secret Key bzw. aktiviert PFS und installiert ein neues Zertifikat.
3. Du besuchst die Seite mit HTTPS. Die Verbindung ist verschlüsselt. Angenommen die vorherigen Schritte waren erfolgreich, ist die Verbindung nun sicher (d.h. so sicher wie vor Heartbleed).
4. Du loggst dich mit deinem alten Passwort ein und änderst auf der Website dein Passwort. Die üblichen Formulare erfordern dazu das alte Passwort und die zweimalige Eingabe eines neuen sicheren Passworts.

Das bedeutet insbesondere, dass das Passwortändern noch nichts bringt, solange der Server nicht repariert ist.

E-Mail hat damit nichts zu tun. E-Mail ist in nahezu allen Fällen unverschlüsselt. Eine E-Mail wird höchstens zwischen einigen Mailservern verschlüsselt übertragen, aber der unverschlüsselte Inhalt ist einsehbar. Wie eine Postkarte, die mal sicherer (plombierter Container), mal unsicherer (Zusteller) zu einem gelangt.

EMail-Zugänge sind in der Regel TLS-gesichert. Auch hier kommt OpenSSL zum Einsatz. OpenSSL kann die besagte Lücke aufweisen. Folglich sind die Passworte zum Authentifizieren gegenüber dem Mailserver genauso betroffen.

Dass Mails an sich kaum geschützt übertragen werden, ist natürlich richtig.

- Sven Rautenberg