Als letzte Woche die OpenSSL-Sicherheitslücke Heartbleed auftauchte, war das meiner Meinung nach ein (wenn nicht sogar der) Super-GAU. Seitdem liest man auch in den Mainstream-Medien fast jeden Tag davon. Und deshalb bin ich ein wenig über die Reaktionen der nicht-computer-affinen Menschen in meinem Umfeld erschrocken: Die reagieren nämlich überhaupt nicht darauf. Das erlebe ich in Gesprächen immer wieder wenn ich denen sage, das sie ihre Passwörter ändern sollen und sie mich dann ganz erstaunt anschauen. Vielleicht ist genau das ja das Problem. Es hat ihnen niemand gesagt, oder die Nachricht ist bei diesen Menschen nicht angekommen.
Denn die Unternehmen kommunizieren fast überhaupt nicht. Ich habe bei fast allen großen Diensten ein Konto: Google, Facebook, Twitter, Amazon usw. usf. Nur IFTTT und LastPass haben eine Mail geschickt, in der ich aufgefordert wurde mein Passwort zu ändern. Bei der Wikipedia zum Beispiel wurde wenigstens ein Hinweis prominent platziert. Was aber nicht viel bringt, wenn man nur alle paar Wochen mal auf Seiten mit so einer passiven Nachricht aktiv ist.
Also Leute, ändert eure Passwörter! Alle. Ausnahmslos.
Na ja. Die Änderung des Passwortes auch schwierig, wenn die Seiten überprüfen lässt, wo man seinen Account hat, dass es eine 50 – 50 Chance gibt, ob die Seite openSSL einsetzt oder nicht.
Außerdem weiß man gar nicht, für wie lange man das neue Passwort noch behalten kann, denn Anfang der letzten Woche kam die Meldung mit dem Klau der Zugangsdaten der E-Mailpostfächer und dann noch am Mittwoch halt das mit openSSL. Wenn man am Montag alle seine Passwörter geändert hätte, hätte man am Mittwoch dies wieder machen müssen. Und wer weiß, wie oft man seine Passwörter noch einmal in den nächsten Wochen wechseln müsste.
Die meisten Menschen sitzen nicht den ganzen Tag vor dem PC (zu Hause) und haben Zeit dies immer wieder zu machen. Löcher gibt jeden Tag zu sehen.
Ständig werden seit Wochen bei uns Weltkriegsbomben entschärft, ständig finden Leute alte Bergwerksstollen (ständig sind irgendwelche wichtigen Verkehrswege gesperrt) und ständig gibt neue Löcher in der Software (obwohl man wie verrückt alle Updates – auch openSSL einspielt – man ist sowieso als erstes dabei, wenn man den Rechner hochgefahren hat, zu schauen, welche neuen Updates gibt es). Nicht Linuxer müssen ihre Antiviren-Software auf aktuellen Stand bringen und dann muss man noch alle 2 bis 3 Tage sämtliche Passwörter auf sämtlichen Webseiten ändern, nur weil es dort auch noch Probleme gibt.
Die ständige Gefahr von der NSA und die Schnüffelei anderer Geheimdienste werden auf allen möglichen Kanälen verbreitet
Ich kann die Leute gut verstehen, wenn nicht bei jeder Alarmmeldung in den Medien sofort alles umstellen und oft stellen die Medien auch als super gefährlich dar (siehe Schweinegippe / Vogelgrippe und es ist doch nichts großartiges – Pandemie – passiert).
Ich selber auch nur ein Passwort umgestellt. Würde ich alle umstellen, stellt sich vielleicht heraus dass nur zwei oder drei Webseiten openSSL eingesetzt haben und ich hätte mir die ganze Arbeit umsonst gemacht.
Ich glaube, das Du das ein wenig zu locker siehst. Der Heartbleed-Bug ist wirklich mit nichts zu vergleichen und die gefundene Datenbank mit 18 Mio. Mail-Adressen mit Passwörtern ist ein Fliegenschiss dagegen.
Ich kann Deinen Einwand aber auch verstehen. Es ist einfach nur mühselig alle Passwörter zu ändern. Wenn man dann auch noch für jeden Dienst ein anderes, sicheres Passwort verwenden will, wie es Sicherheitsexperten dringend raten, ist man mit der ganzen Aktion locker einen ganzen Tag beschäftigt – und dann muss man sich die zig Passwörter auch noch merken. Ich verwende dafür mittlerweile einen Passwortmanager.
Ich habe für jeden Account oder sagen wir mal für 99 % der Account jeweils ein anderes 8 stelliges Passwort mit Sonderzeichen, Klein-/ Großbuchstaben, Zahlen erstellt (bzw. ich erfinde mir ein Passwort aus dem Kopf – Passwortmanager traue ich nicht so recht über den Weg). Dabei verwende ich keine deutschen Sonderzeichen wie öüä, weil wenn man im Ausland ist und die dortigen Tastaturen verwendet, nützt das einem sehr wenig.
Sich jetzt wieder neue 8 stellige Passwörter zu erstellen, mit allen möglichen Sonderzeichen, Klein-/Großbuchstaben, Zahlen ist doch recht mühsam. Außerdem so eine Seite wie einer deutschen internationalen Airline die gestern geweigert hatte, das neue Passwort anzunehmen, machen es noch viel schwieriger.
Ich hatte schon einmal eine Seite, wo ich ein Sonderzeichen eingeben wollte und die Seite hat sich strikt geweigert, das Sonderzeichen anzunehmen (war bei meiner Bank). Die Seite hat erst das Passwort angenommen, als ich die Sonderzeichen weg gelassen hatte, vielleicht ist es bei meiner Airline ja genauso. Muss ich mal nachfragen.
Die wichtigsten Passwörter habe ich im Kopf, die anderen habe ich mir zu Hause aufgeschrieben. Diese Konten benutze ich nur, wenn ich zu Hause bin (und ich bin Single und an meinem Monitor gibt es keine Webcam).