Norske myndigheter: "bytt alle passord"

[Delvis]

En katastrofepreget artikkel om et sikkerhetshull er hovedoppslag på VG akkurat nå.

 

Hva sier de skriftlærde her på huset, bør vi faktisk altså bytte alt vi har av passord i dette nuet?

 

Tenker med gru på den jobben jeg i såfall står overfor. Puh

Endret 10. april 2014 av Delvis

[Sampson]

Du kan løse passordfloken ved å lage deg et system, da er det ikke noe problem å bytte passord, og du vil nok komme til å gjøre det selv av og til også.

[Delvis]

Tror jeg har en anelse hva du vil fram til. Har alle passordene lagret i Firefox jeg, sånn at de legger seg inn automatisk når jeg har klikket et hovedpassord.

[Horrorbyte]

Det sikkerhetsfolk, meg inkludert, har vært bekymret for, er om det har vært mulig å hente ut såkalte private nøkler fra minnet til serverne. Passord til enkeltbrukere kan være alvorlig nok, men private nøkler er krise fordi det blant annet åpner for å kunne gi seg ut for å være noen andre og å kunne lese både fremtidig og tidligere kryptert trafikk. Er private nøkler på avveie, må det genereres nye nøkkelpar og så signeres nye sertifikat (og de gamle på trekkes tilbake) før det er naturlig å be brukere bytte passord. NTNU har valgt å vente med å be brukere bytte passord til nytt sertifikat er på plass.

 

Nå har eksperter verden over testet dette, og foreløpig har jeg ikke hørt om noen som har klart å hente ut private nøkler. Selskapet CloudFlare har uttalt at de ikke har klart det foreløpig, og at de tror det kanskje er umulig. I det minste ser det ut til å ikke være så enkelt som man fryktet. I så fall kan man relativt trygt bytte passord. Hvor viktig det er? Jeg ville nok byttet på kritiske tjenester om jeg var deg, men oppslagene i media har kanskje vært litt overdramatiske. Det er imidlertid liten tvil om at dette er en feil som er kritisk for svært mange systemer, og det blir verre og verre for de som ikke har tettet hullet i sine systemer. Noen systemer kan heller ikke oppgraderes på en enkel måte, og vil trolig forbli sårbare så lenge de er i bruk. Heldigvis har feilen kun eksistert i et par år, slik at det ikke er massevis av gammelt utstyr på markedet som aldri vil bli oppdatert.

 

Edit: Kan legge til at det er blitt bekreftet at det er mulig å stjele private nøkler. Derfor bør man endre passord når nytt sertifikat er utstedt og det gamle trukket tilbake.

Endret 22. april 2014 av Horrorbyte