Pagrindinis » kaip » „Heartbleed Explained“ Kodėl reikia dabar pakeisti savo slaptažodžius

    „Heartbleed Explained“ Kodėl reikia dabar pakeisti savo slaptažodžius

    Paskutinį kartą jus įspėjome apie didelį saugumo pažeidimą, kai buvo pažeista „Adobe“ slaptažodžių duomenų bazė, keliant grėsmę milijonams vartotojų (ypač tų, kurių slaptažodžiai yra silpni ir dažnai pakartotinai naudojami). Šiandien mes jus įspėjame apie daug didesnę saugumo problemą, „Heartbleed Bug“, kuri galėjo pakenkti stulbinančiam 2/3 trečdaliui saugių interneto svetainių. Jūs turite pakeisti savo slaptažodžius, ir jūs turite tai padaryti dabar.

    Svarbi pastaba: ši klaida nepaveiks „Geek“.

    Kas yra širdis ir kodėl taip pavojinga?

    Jūsų tipiškame saugumo pažeidime atskleidžiami vienos įmonės naudotojų įrašai / slaptažodžiai. Tai baisu, kai tai atsitinka, bet tai yra atskiras reikalas. X kompanija turi saugumo pažeidimą, įspėja savo vartotojus, o žmonės, kaip ir mes, primena visiems, kad atėjo laikas pradėti taikyti gerą saugumo higieną ir atnaujinti savo slaptažodžius. Šie, deja, tipiški pažeidimai yra pakankamai blogi, kaip yra. „Heartbleed Bug“ yra kažkas daug, daug, dar blogiau.

    „Heartbleed Bug“ kenkia šifravimo schemai, kuri apsaugo mus, kai mes siunčiame el. Paštą, banką ir kitaip bendraujame su svetainėmis, kurios, mūsų manymu, yra saugios. Čia pateikiamas paprastas anglų kalbos kodo „Codenomicon“, saugumo grupės, kuri aptiko ir įspėjo visuomenę į klaidą, aprašymas:

    „Heartbleed Bug“ yra rimtas pažeidžiamumas populiarioje OpenSSL kriptografinės programinės įrangos bibliotekoje. Šis silpnumas leidžia pavogti informaciją, apsaugotą įprastomis sąlygomis, naudojant SSL / TLS šifravimą, naudojamą apsaugoti internetą. SSL / TLS teikia ryšių saugumą ir privatumą internetu tokioms programoms kaip žiniatinklis, el. Paštas, momentiniai pranešimai (IM) ir kai kurie virtualūs privatūs tinklai (VPN).

    „Heartbleed“ klaida leidžia visiems internete skaityti sistemų, apsaugotų pažeidžiamomis OpenSSL programinės įrangos versijomis, atmintį. Tai kompromituoja slaptus raktus, naudojamus paslaugų teikėjų identifikavimui ir srauto šifravimui, naudotojų vardus ir slaptažodžius bei faktinį turinį. Tai leidžia užpuolikams pasiklausyti ryšių, pavogti duomenis tiesiogiai iš paslaugų ir vartotojų, taip pat paversti paslaugas ir vartotojus.

    Tai skamba gana blogai, taip? Tai dar blogiau, kai suvokiate, kad maždaug du trečdaliai visų SSL naudojamų svetainių naudoja šią pažeidžiamą OpenSSL versiją. Mes nekalbame apie mažas laiko vietas, pvz., Karštų strypų forumus ar kolekcionuojamus kortų žaidimo apsikeitimo tinklalapius, mes kalbame apie bankus, kredito kortelių bendroves, pagrindinius elektroninės prekybos atstovus ir el. Pašto teikėjus. Dar blogiau, šis pažeidžiamumas buvo laukinių aplinkoje maždaug dvejus metus. Tai buvo dveji metai, kai žmogus, turintis reikiamų žinių ir įgūdžių, galėjo panaudoti jūsų naudojamo paslaugos prisijungimo duomenis ir asmeninius ryšius (ir pagal „Codenomicon“ atliktą bandymą, atlikdamas be jokių pėdsakų).

    Dar geriau parodyti, kaip veikia „Heartbleed“ klaidos. perskaitykite šį komiksą „xkcd“.

    Nors nė viena grupė nepateikė jokių šansų ir informacijos, kurią jie suaktyvino naudodamiesi, šiame žaidimo taške jūs turite manyti, kad jūsų dažnai lankomų tinklalapių prisijungimo duomenys yra pažeisti.

    Ką daryti „Post Heartbleed Bug“

    Bet koks daugumos saugumo pažeidimas (ir tai tikrai atitinka didelio masto) reikalauja, kad įvertintumėte savo slaptažodžių valdymo praktiką. Atsižvelgiant į tai, kad „Heartbleed Bug“ yra labai platus, tai yra puiki galimybė peržiūrėti jau sklandžiai veikiančią slaptažodžių valdymo sistemą arba, jei jūs vilkite kojas, nustatyti.

    Prieš nardydami nedelsdami keisti savo slaptažodžius, atkreipkite dėmesį, kad pažeidžiamumas yra tik pataisytas, jei bendrovė atnaujino naują „OpenSSL“ versiją. Istorija prasidėjo pirmadienį ir, jei skubėjote iš karto pakeisti savo slaptažodžius kiekvienoje svetainėje, dauguma jų vis dar veikė pažeidžiamą OpenSSL versiją.

    Dabar, savaitės viduryje, dauguma svetainių pradėjo atnaujinimo procesą, o savaitgalį pagrįstai manyti, kad dauguma didelio profilio svetainių bus perjungtos.

    Čia galite naudoti „Heartbleed Bug“ tikrintuvą, kad pamatytumėte, ar pažeidžiamumas yra atidarytas, arba net jei svetainė neatsako į pirmiau minėto tikrintojo užklausas, galite naudoti „LastPass“ SSL datų tikrintuvą, kad pamatytumėte, ar atitinkamas serveris atnaujino savo SSL sertifikatas neseniai (jei jis atnaujintas po 2014-07-04, tai geras rodiklis, kad jie pataisė pažeidžiamumą.)  Pastaba: jei paleisite „howtogeek.com“ per klaidos tikrintuvą, jis sugrąžins klaidą, nes pirmiausia nenaudojame SSL šifravimo, ir taip pat patikrinome, kad mūsų serveriai neveikia jokios susijusios programinės įrangos.

    Beje, atrodo, kad šis savaitgalis yra geras savaitgalis, kad galėtumėte rimtai atnaujinti savo slaptažodžius. Pirma, jums reikia slaptažodžių valdymo sistemos. Išsiaiškinkite mūsų vadovą, kaip pradėti naudotis „LastPass“, kad sukurtumėte vieną iš saugiausių ir lankstiausių slaptažodžių valdymo parinkčių. Jums nereikia naudoti „LastPass“, tačiau jums reikia tam tikros sistemos, kuri leis jums stebėti ir valdyti unikalų ir tvirtą slaptažodį kiekvienai jūsų lankomai svetainei.

    Antra, turite pradėti keisti slaptažodžius. Mūsų vadovo, kaip susigrąžinti po el. Pašto slaptažodžio, krizės valdymo metodas yra puikus būdas užtikrinti, kad nepraleisite jokių slaptažodžių; jame taip pat pabrėžiami geros slaptažodžio higienos pagrindai, pateikiami čia:

    • Slaptažodžiai visada turi būti ilgesni už minimalią paslaugą. Jei aptariama paslauga leidžia 6-20 simbolių slaptažodžius, eikite į ilgiausią slaptažodį, kurį galite prisiminti.
    • Nenaudokite žodyno žodžių kaip slaptažodžio dalies. Jūsų slaptažodis turėtų būti niekada būti taip paprasta, kad pagrindinė skenavimas su žodyno failu atskleistų jį. Niekada neįrašykite savo vardo, prisijungimo ar el. Pašto adreso ar kitų lengvai identifikuojamų elementų, pvz., Įmonės pavadinimo ar gatvės pavadinimo. Taip pat venkite naudoti įprastas klaviatūros kombinacijas, pvz., „Qwerty“ arba „asdf“, kaip savo slaptažodžio dalį.
    • Vietoj slaptažodžių naudokite slaptažodžius. Jei nenaudojate slaptažodžių valdytojo, kad prisimintumėte tikrai atsitiktinius slaptažodžius (taip, mes suprantame, kad mes tikrai prisirišame prie naudojimosi slaptažodžių valdytoju), tada galite prisiminti stipresnius slaptažodžius, juos paverčiant slaptafrazėmis. Pavyzdžiui, jūsų „Amazon“ paskyroje galite sukurti lengvai įsimenamą slaptafrazę „Man patinka skaityti knygas“ ir tada ištrūkti į slaptažodį, kaip „! Luv2ReadBkz“. Tai lengva prisiminti ir tai gana stiprus.

    Trečia, jei įmanoma, norite įgalinti dviejų veiksnių autentifikavimą. Čia galite skaityti daugiau apie dviejų faktorių autentifikavimą, tačiau trumpai tariant, galite prisijungti prie papildomo identifikavimo sluoksnio.

    Pvz., Naudojant „Gmail“, dviejų veiksnių autentifikavimas reikalauja ne tik savo prisijungimo vardo ir slaptažodžio, bet ir prieigos prie mobiliojo telefono, registruoto jūsų „Gmail“ paskyroje, kad galėtumėte priimti teksto pranešimo kodą, kurį norite įvesti prisijungdami iš naujo kompiuterio.

    Suaktyvinus dviejų veiksnių autentiškumą, kažkas, kuris gavo prieigą prie jūsų prisijungimo vardo ir slaptažodžio (pvz., Su „Heartbleed Bug“), labai sunku iš tikrųjų pasiekti paskyrą.


    Saugumo pažeidžiamumai, ypač tie, kurie turi tokį didelį poveikį, niekada nėra įdomūs, tačiau jie suteikia mums galimybę sugriežtinti savo slaptažodžių praktiką ir užtikrinti, kad unikalūs ir stiprūs slaptažodžiai išlaikytų žalą, kai ji atsiranda.