Heartbleed Explained Miért kell most megváltoztatnia a jelszavát
Amikor utoljára figyelmeztettünk Önöket egy jelentős biztonsági megszegésre, akkor az Adobe jelszavas adatbázisa veszélybe került, és több millió felhasználót (különösen gyenge és gyakran ismételten használt jelszóval rendelkező felhasználók) veszélyeztettek. Ma egy sokkal nagyobb biztonsági problémáról, a Heartbleed Bug-ról értesítjük Önt, amely potenciálisan veszélyeztette a biztonságos weboldalak kétharmadát az interneten. Meg kell változtatnia a jelszavát, és most meg kell kezdeni.
Fontos megjegyzés: A hiba nem befolyásolja a Geek-t.
Mi az a szív és miért olyan veszélyes?
A tipikus biztonsági megszegés esetén egyetlen vállalat felhasználói nyilvántartása / jelszava jelenik meg. Ez szörnyű, amikor megtörténik, de ez egy elszigetelt ügy. Az X-es vállalatnak biztonsági megsértése van, figyelmeztetést adnak a felhasználóknak, és az emberek, mint mi, emlékeztetnek mindenkinek, hogy ideje elkezdeni a jó biztonsági higiéniát és frissíteni a jelszavát. Azok, akik sajnos tipikusan megsértik, elég rosszak. A Heartbleed Bug valami sok, sokkal, rosszabb.
A Heartbleed Bug aláássa a titkosítási rendszert, amely megvéd minket, miközben e-mailben, bankban vagy más módon kommunikálunk a biztonságos webhelyekkel. Itt egy egyszerű angol nyelvű leírás a Codenomicon biztonsági réséről, amely a nyilvánosságot a hibához felfedezte és figyelmeztette:
A Heartbleed Bug komoly sérülékenység a népszerű OpenSSL kriptográfiai szoftverkönyvtárban. Ez a gyengeség lehetővé teszi a normál körülmények között védett információk ellopását az internet biztonságát szolgáló SSL / TLS titkosítással. Az SSL / TLS kommunikációs biztonságot és adatvédelmet biztosít az interneten olyan alkalmazásokhoz, mint a web, e-mail, azonnali üzenetküldés (IM) és néhány virtuális magánhálózat (VPN).
A Heartbleed hiba lehetővé teszi, hogy bárki az interneten olvashassa az OpenSSL szoftver sérülékeny változatai által védett rendszerek memóriáját. Ez veszélyezteti a szolgáltatók azonosításához használt titkos kulcsokat és a forgalom titkosítását, a felhasználók nevét és jelszavát és a tényleges tartalmat. Ez lehetővé teszi, hogy a támadók meghallgassák a kommunikációt, ellopják az adatokat közvetlenül a szolgáltatásokból és a felhasználóktól, és személyre szabják a szolgáltatásokat és a felhasználókat.
Ez elég rossznak hangzik, igen? Ez még rosszabbnak tűnik, ha az SSL-t használó weboldalak mintegy kétharmadát használja az OpenSSL sérülékeny változata. Nem beszélünk kis időhelyekről, mint a forró rúd fórumokról vagy gyűjthető kártyajáték-csere oldalakról, beszélünk bankokról, hitelkártya-társaságokról, nagyobb e-kereskedőkről és e-mail szolgáltatókról. Még ennél is rosszabb, hogy ez a sebezhetőség körülbelül két évig a vadonban volt. Két év múlva a megfelelő ismeretekkel és készségekkel rendelkezők valaha is használhatnák az Ön által használt szolgáltatás bejelentkezési adatait és privát kommunikációját (és a Codenomicon által végzett vizsgálat szerint nyomkövetés nélkül).
A Heartbleed hibáinak még jobb bemutatása. olvassa el ezt az xkcd képregényt.
Bár egyik csoport sem jött létre arra, hogy az összes hitelesítő adatot és információt kihasználja a kizsákmányolással kapcsolatban, a játék ezen a pontján feltételeznie kell, hogy a gyakran használt webhelyek bejelentkezési hitelesítő adatai sérültek.
Mi a teendő a Post Heartbleed Bug
Bármilyen többségi biztonsági megszegés (és ez minden bizonnyal nagyszabású), megköveteli, hogy értékelje a jelszókezelési gyakorlatokat. Tekintettel a Heartbleed Bug széleskörű elérhetőségére, ez egy tökéletes lehetőség arra, hogy áttekintjük a már futó jelszókezelő rendszert, vagy ha már húztad a lábadat, állítsd fel.
Mielőtt bemerül a jelszavak azonnal megváltoztatására, vegye figyelembe, hogy a biztonsági rés csak akkor javítható, ha a vállalat frissítette az OpenSSL új verzióját. A történet hétfőn megtört, és ha elindult, hogy azonnal megváltoztassa a jelszavát minden webhelyen, a legtöbbjük még mindig az OpenSSL sebezhető verzióját futtatta volna.
Most, a hét közepén, a legtöbb webhely megkezdte a frissítés folyamatát, és hétvégén indokolt feltételezni, hogy a magas színvonalú webhelyek többsége átvált.
Itt a Heartbleed Bug ellenőrző segítségével ellenőrizheti, hogy a biztonsági rés nyitva van-e, vagy ha a webhely nem válaszol a fent említett ellenőrző kérésére, akkor a LastPass SSL dátumának ellenőrzőjével ellenőrizheti, hogy a kérdéses kiszolgáló frissítette-e Az SSL-tanúsítvány a közelmúltban (ha a frissítést 2014. július 4-én frissítették, jó jelzés, hogy javították a biztonsági rést.) Jegyzet: ha a howtogeek.com-ot a hibakeresőn keresztül futtatja, akkor hibaüzenet jelenik meg, mert nem használunk SSL titkosítást, és azt is meggyőződtük arról, hogy szervereink nem futnak az érintett szoftverekkel.
Azonban úgy tűnik, hogy ez a hétvége jó hétvégé alakul, hogy komolyan vegye fel a jelszavai frissítését. Először is szükség van egy jelszókezelő rendszerre. Tekintse meg útmutatót a LastPass használatával kapcsolatban, hogy az egyik legbiztonságosabb és rugalmasabb jelszókezelési lehetőséget hozza létre. Nem kell használnia a LastPass-ot, de szüksége van valamilyen rendszerre, amely lehetővé teszi, hogy nyomon követhesse és kezelje az egyedi és erős jelszót minden látogatott webhelyen.
Másodszor, meg kell kezdeni a jelszavak megváltoztatását. A válságkezelés vázlata az útmutatónkban, hogyan lehet helyreállítani az e-mail jelszó megrongálódása után nagyszerű módja annak, hogy ne hagyja ki a jelszavakat; ez is kiemeli a jó jelszóhigiénia alapjait:
- A jelszavaknak mindig hosszabbnak kell lenniük, mint amit a szolgáltatás engedélyez. Ha a szóban forgó szolgáltatás 6-20 karakteres jelszót tesz lehetővé, akkor a leghosszabb jelszót adja meg.
- Ne használjon szótárszavakat a jelszó részeként. A jelszavának meg kell felelnie soha annyira egyszerű, hogy egy szókincsfájdalmas átkeresés feltárja. Soha ne tüntesse fel a nevét, a bejelentkezés vagy az e-mail részét, vagy más könnyen azonosítható elemeket, például a cég nevét vagy az utcanevet. A jelszó részeként ne használjon olyan közös billentyűzet-kombinációkat, mint a „qwerty” vagy az „asdf”.
- Jelszavak helyett jelszavakat használjon. Ha nem használ jelszókezelőt arra, hogy emlékezzen a valóban véletlenszerű jelszavakra (igen, rájöttünk, hogy valóban a jelszókezelő használatára gondolunk), akkor jobban emlékszel a jelszavakra, ha jelszavakat váltunk. Az Amazon-fiókodhoz például létrehozhatod a „Emlékszem a könyvek olvasására”, és aztán a „! Luv2ReadBkz” jelszót tartalmazó, könnyen emlékezhető jelszót. Könnyű emlékezni, és meglehetősen erős.
Harmadszor, lehetőség szerint engedélyezzük a kétfaktoros hitelesítést. A két faktorú hitelesítésről itt többet olvashat, de röviden lehetővé teszi, hogy egy további azonosító réteget adjon hozzá a bejelentkezéshez.
A Gmail használatával például a kétfaktoros hitelesítéshez nem csak a bejelentkezési név és a jelszó szükséges, hanem a Gmail-fiókjához regisztrált mobiltelefonhoz való hozzáférés, így elfogadhat egy szöveges üzenet kódot, amely egy új számítógépből történő bejelentkezéskor adható meg..
A kétfaktoros hitelesítés lehetővé teszi, hogy valaki, aki hozzáférést kapott a bejelentkezési névhez és a jelszavához (mint például a Heartbleed Bug-hoz), valóban hozzáférhessen fiókjához.
A biztonsági rések, különösen olyanok, amelyek ilyen messzire hatnak, soha nem szórakoznak, de lehetőséget nyújtanak számunkra, hogy szigorítsuk a jelszavakat, és biztosítsuk, hogy az egyedi és erős jelszavak megtartsák a kárt, ha ez bekövetkezik.