Het ingrijpende lek in de versleutelingstechniek OpenSSL, in gebruik bij honderdduizenden websites en online diensten, blijkt nog ingrijpender. 

Afgelopen weekeinde bleek dat niet alleen wachtwoorden en inlognamen van gebruikers kunnen lekken, maar ook de persoonlijke encryptiesleutels van de sitebeheerder. Met die informatie is het mogelijk om nepsites te bouwen die niet van echt te onderscheiden zijn. Cybercriminelen kunnen op die manier nog veel meer wachtwoorden achterhalen dan met het gewone Heartbleed-lek, dat redelijk willekeurig informatie uit het geheugen van de server oplepelt.

Inmiddels zijn cybercriminelen massaal op de Heartbleed-fout gedoken. om misbruik te voorkomen is het aan te raden je wachtwoorden te wijzigen. Maar dat heeft geen zin als de kwetsbare website nog niet is aangepast.

De beste bescherming is inloggen met extra authenticatie, bijvoorbeeld met een sms’je of een extra code. Wie nieuwe wachtwoorden aanmaakt, kan het beste een wachtwoordmanager gebruiken die zelf lukrake en gecompliceerde letter- en cijferreeksen verzint – voor elke site anders. Dat beperkt de schade als een wachtwoord in verkeerde handen valt.

Alles bij de bron; NRC [Thnx-2-Niek]