Windows-Sicherheitslücke entdeckt, Microsoft beschwichtigt

Sind Millionen Windows-PCs, wie es zur nun (wieder) entdeckten Lücke heißt, tatsächlich gefährdet oder nicht? Denn laut einer Schwachstelle, die das Sicherheitsunternehmen Cylance veröffentlicht hat, könne man damit Nutzernamen sowie Passwörter ... mehr... Sicherheit, Security, Verschlüsselung, schloss, Heartbleed, Tunnel Bildquelle: Softonic Sicherheit, Sicherheitslücke, Hacker, Hack, Security, Fingerabdruck, cyber security Sicherheit, Sicherheitslücke, Hacker, Hack, Security, Fingerabdruck, cyber security Russiancouncil.ru

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Zum einen klappt das nur im Netzwerk, dann mit einer "file://" URL und zum anderen nur mit einem schwachen Passwort... Wo ist da die Sicherheitslücke, der User vor dem PC?
 
@KingGozza: Nein, die Lücke ist der (unfähige) Admin, der zum einen schwache Passwörter kurz und ohne Sonderzeichen zulässt und zum anderen Angreifer im Netz hat, die Man-in-the-Middle-Angriffe ausführen können.
 
war doch klar das microsoft beschwichtigt. die geben doch erst was zu wenns wirklich eng wird.
 
@snoopi: Ja aber wo ist denn da die Sicherheitslücke? Wer ein schwaches Passwort verwendet, bewegt sich doch eh auf dünnem Eis. Ich bin der Meinung, da diese "Sicherheitslücke" nur mit einem schwachen Passwort ausgenutzt werden kann, ist dies keine Sicherheitslücke, denn es liegt in der Verantwortung des Users.
 
@KingGozza: Gegenfrage: Wenn du Dateien im Netzwerk freigibts und es nur du selbst bist der auf die Dateien zugreifen will, nutzt du dann ein Passwort? Und wenn du ein Passwort nutzt, nimmst du dann ein komplexes oder ein einfaches?

Ich stimme dir aber auch zu. Um die Logindaten abzufangen müsste er Zugriff auf einen der Rechner im Netzwerk haben und wenn er das hat, dann ist der Schaden bereits größer als nur der PW Diebstahl.
 
@Gispelmob: Ich glaube, ich bin kein gutes "allerwelts" beispiel, bei mir ist alles mit mindestens 256bit Passwörtern gesichert (KeePass machts möglich :D).
Das meine ich eben, dass es in der Verantwortung des Users ist. Sind mir die Daten wichtig genug, damit ich eine kleine Software bemühe, mir ein sicheres Passwort zu generieren oder bin ich so faul und nutze das alt hergebrachte "123456".

Und wie du schon sagtest, da gebe ich dir auch vollkommen recht, wenn der Angreifer schon im Netzwerk ist, dann lief doch eh etwas falsch und wenn er sich schon eingenistet hat, gibt es auch andere Möglichkeiten um an die gewünschten Daten zu kommen.
 
@KingGozza: Bring das den Menschen mal bei. Bei meinem Vater musste das Wlan Passwort neu eingegeben werden und er hat sich fürchterlich über meine 48 ASCII Zeichen aufgeregt.
 
@Paradise: Hatte dazu passend heute was geschrieben. :)
http://www.winfuture-forum.de/index.php?showtopic=210014
 
@KingGozza: Die Wlan Passwörter waren sogar länger aber ich konnte sie auf dem Lumia nicht eingeben. Das Feld zur Eingabe schließt sich nach einer gewissen Zeit und ich bin zu langsam :-(
Rein kopieren geht auch nicht.
 
@Paradise: Ich gehe mal davon aus, dass dein Router ab einer gewissen Anzahl von falsch Eingaben dicht macht, von daher ginge sicher auch ein Passwort was 8 Zeichen hat aber eben mit allen Sonderzeichen.
Eine bessere Idee hätte ich sonst auch nicht.
 
@KingGozza: Nun ja 48 ASCII ist gut genug. Router ist pfSense und auf 3 APs läuft DD-WRT.
 
@KingGozza: Aha? Also ganz ohne manuell erstelltes Kennwort? Oder ist es doch eher so: Die Datenbank ist durch einen Hauptschlüssel („Master Key“) gesichert, ohne diesen lässt sich die Datenbank nicht entschlüsseln. Das Hauptkennwort („Master Password“) muss manuell eingegeben werden, und es kann eine Schlüsseldatei („Key File“) verwendet werden, die beispielsweise auf einem mobilen Laufwerk, wie USB-Stick oder CD, liegt. Und da kann man nicht ran?
 
@Kiebitz: Natürlich aber auch hier habe ich ein 128bit Passwort. Wird also dennoch schwierig. Wenn du aber eine bessere, sinnvolle und für jedermann Methode hast, ich bin für alles offen. :)
 
@snoopi: Stimmt nicht, jeden Monat kommen Patches für Lücken raus, die nicht aktiv ausgenutzt werden.
 
@snoopi: Wenn ein "Man-In-The-Middle" notwendig ist damit Passwörter verschlüsselt abgefangen werden können, hat der oder die Betroffene weit grössere Probleme :D
 
Ein Man-in-the-Middle ist notwenidig. Da hat man ganz andere Probleme als Passwörter die Verschlüsselt abgefangen werden können. Verstehe die Aufregung nicht.
 
@psyabit: Zumal es ja immer noch Bruteforcing ist womit es geknackt werden soll. Was ja heißt, dass die Sicherheitskette intakt ist. Denn, das ist ja der Grund weshalb das Passwort verschlüsselt. Also ist in Wirklichkeit keine Lücke.

Das wäre ja so als wenn jemand eine Möglichkeit gefunden hat an mein Zahlenschloss zu kommen, ohne an meine Zahlenkombination zu kommen. Wobei es nach wie vor verschlossen ist und das Schloss seiner Funktion nachkommt.
 
@daaaani: Eben. Wenn jemand mein verschlüsseltes Passwort beim Facebook-Login abfängt, und entschlüsseln kann, weil ich nur 2 Zeichen Verwende... Dann ist das eine Facebook-Sicherheitslücke, klar ne?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen