Heartbleed vysvetlil: Prečo potrebujete zmeniť svoje heslá teraz

Obsah:

Heartbleed vysvetlil: Prečo potrebujete zmeniť svoje heslá teraz
Heartbleed vysvetlil: Prečo potrebujete zmeniť svoje heslá teraz

Video: Heartbleed vysvetlil: Prečo potrebujete zmeniť svoje heslá teraz

Video: Heartbleed vysvetlil: Prečo potrebujete zmeniť svoje heslá teraz
Video: How To Make Your PDF Files Smaller - YouTube 2024, Marec
Anonim
Naposledy vás upozorňujeme na závažné narušenie bezpečnosti, keď bola ohrozená databáza hesiel spoločnosti Adobe, čo ohrozuje milióny používateľov (najmä tých, ktorí používajú slabé a často opakovane používané heslá). Dnes vás upozorňujeme na oveľa väčší problém s bezpečnosťou - Heartbleed Bug, ktorý potenciálne ohrozil ohromujúci 2 / 3r zabezpečených webových stránok na internete. Musíte zmeniť svoje heslá a musíte začať robiť to teraz.
Naposledy vás upozorňujeme na závažné narušenie bezpečnosti, keď bola ohrozená databáza hesiel spoločnosti Adobe, čo ohrozuje milióny používateľov (najmä tých, ktorí používajú slabé a často opakovane používané heslá). Dnes vás upozorňujeme na oveľa väčší problém s bezpečnosťou - Heartbleed Bug, ktorý potenciálne ohrozil ohromujúci 2 / 3r zabezpečených webových stránok na internete. Musíte zmeniť svoje heslá a musíte začať robiť to teraz.

Important note: How-To Geek is not affected by this bug.

Čo je srdce a prečo je to tak nebezpečné?

Vo vašom typickom narušení bezpečnosti sú vystavené iba jednotlivé záznamy používateľov / heslá. Je to hrozné, keď sa to stane, ale je to ojedinelá záležitosť. Spoločnosť X porušila bezpečnostné opatrenia, vydáva varovanie svojim užívateľom a ľudia ako my všetci pripomínajú, že je čas začať vykonávať dobrú bezpečnostnú hygienu a aktualizovať svoje heslá. Tieto, bohužiaľ, typické porušenia sú dosť zlé ako to je. The Heartbleed Bug je niečo veľa,moc, horšie.

The Heartbleed Bug podkopáva schému šifrovania, ktorá nás chráni, keď sme e-mailom, bankou a inak komunikovali s webovými stránkami, o ktorých veríme, že sú bezpečné. Tu je jednoduchý anglický popis zraniteľnosti od Codenomicon, bezpečnostnej skupiny, ktorá objavila a upozornila verejnosť na chybu:

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.

To znie dosť zle, áno? Znie to ešte horšie, keď si uvedomíte, že zhruba dve tretiny všetkých webových stránok používajúcich protokol SSL používajú túto zraniteľnú verziu OpenSSL. Nehovoríme o miestach s malým časom, ako sú fóra s horúcimi tyčami alebo stránkami na výmenu kartových hier, hovoríme o bankách, spoločnostiach s kreditnými kartami, veľkých e-maloobchodoch a poskytovateľoch elektronickej pošty. Ešte horšie je, že táto zraniteľnosť bola vo voľnej prírode približne dva roky. To je dva roky, kto by s vhodnými vedomosťami a zručnosťami mohol využiť svoje prihlasovacie poverenia a súkromnú komunikáciu služby, ktorú používate (a podľa testov vykonaných Codenomiconom to robí bez stopy).

Pre lepšiu ilustráciu toho, ako funguje chyba srdca. prečítajte si tento xkcd komiks.

Hoci sa žiadna skupina nepokúsila obhájiť všetky poverenia a informácie, ktoré poskytli s exploitom, v tomto bode hry musíte predpokladať, že prihlasovacie údaje pre webové stránky, ktoré často ste boli ohrozené.
Hoci sa žiadna skupina nepokúsila obhájiť všetky poverenia a informácie, ktoré poskytli s exploitom, v tomto bode hry musíte predpokladať, že prihlasovacie údaje pre webové stránky, ktoré často ste boli ohrozené.

Čo robiť Post Heartbugged Bug

Akékoľvek porušenie bezpečnosti väčšiny (a to určite spĺňa podmienky vo veľkom meradle) vyžaduje, aby ste zhodnotili svoje postupy na správu hesiel. Vzhľadom na široký dosah súboru Heartbleed Bug je to perfektná príležitosť na preskúmanie už hladko fungujúceho systému na správu hesiel, alebo ak ste pretiahli nohy, nastavte ho.

Než sa ponoríte do okamžitej zmeny hesiel, uvedomte si, že zraniteľnosť je len patchom, ak spoločnosť inovovala na novú verziu OpenSSL. Príbeh sa rozpadol v pondelok a ak ste sa ponáhľali, aby ste okamžite zmenili svoje heslá na každej stránke, väčšina z nich by stále používala zraniteľnú verziu OpenSSL.

Teraz, v polovici týždňa, väčšina stránok začala proces aktualizácie a o víkendu je rozumné predpokladať, že väčšina vysoko-profilových webových stránok bude prechádzať.

Ak chcete zistiť, či je táto chyba stále otvorená, alebo či lokalita nereaguje na požiadavky vyššie uvedeného kontrolóra, môžete použiť kontrolný súbor dátumu SSL spoločnosti LastPass a zistiť, či daný server aktualizoval svoje SSL certifikát nedávno (ak ho aktualizovali po 4. 7. 2014, je to dobrý ukazovateľ toho, že túto chybu zabezpečili.) Poznámka: ak spustíte modul howtogeek.com prostredníctvom kontroly chýb, vráti chybu, pretože na prvom mieste nepoužívame šifrovanie SSL a tiež sme overili, že na našich serveroch nie je spustený žiadny ovplyvnený softvér.

To znamená, že sa zdá, že tento víkend sa zvykne byť dobrým víkendom, aby ste sa vážne oboznámili s aktualizáciou hesiel. Najskôr potrebujete systém správy hesiel. Pozrite sa na našu príručku, ako začať s programom LastPass, aby ste nastavili jednu z najbezpečnejších a najpružnejších možností správy hesiel. Nemusíte používať službu LastPass, ale potrebujete nejaký systém, ktorý vám umožní sledovať a spravovať jedinečné a silné heslo pre všetky webové stránky, ktoré navštívite.

Po druhé, musíte začať meniť svoje heslá. Kríza-riadenie obrys v našom sprievodcovi, ako obnoviť po vašom e-mailovom hesle je kompromitovaný, je skvelý spôsob, ako zabezpečiť, aby ste si nenechali ujsť žiadne heslá; tiež zdôrazňuje základy dobrej hygieny hesla, ktoré sú tu uvedené:

  • Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
  • Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
  • Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.

Po tretie, vždy, keď je to možné, chcete povoliť dvojfaktorové overovanie. Viac informácií o dvojfaktorovej autentifikácii nájdete tu, ale v krátkosti vám umožňuje pridať ďalšiu vrstvu identifikácie do vášho prihlásenia.

Napríklad v službe Gmail vyžaduje dvojfaktorové overenie, aby ste nemali len svoje prihlasovacie meno a heslo, ale prístup k mobilnému telefónu registrovanému na vašom účte Gmail, aby ste mohli pri prihlasovaní z nového počítača prijať kód textovej správy.

Pri dvojfaktorovej autentifikácii je veľmi ťažké, aby niekto, kto získal prístup k vášmu prihlasovaciemu údaju a heslu (ako to mohli s programom Heartbleed Bug), skutočne pristupoval k vášmu účtu.

Bezpečnostné zraniteľnosti, najmä tie, ktoré majú také ďalekosiahle dôsledky, nie sú nikdy zábavné, ale ponúkajú našim príležitosťam sprísniť naše postupy v oblasti hesiel a zabezpečiť, aby unikátne a silné heslá zachránili škody, keď k nim dôjde.

Odporúča: