Heartbleed je pojasnil, zakaj morate zdaj spremeniti gesla
Zadnjič, ko smo vas opozorili na večjo varnostno kršitev, je bila ogrožena baza podatkov za gesla podjetja Adobe, kar je ogrozilo milijone uporabnikov (zlasti tistih s šibkimi in pogosto ponovno uporabljenimi gesli). Danes vas opozarjamo na veliko večji varnostni problem, Heartbleed Bug, ki je potencialno ogrozil osupljive 2/3 varnih spletnih strani na internetu. Spremeniti morate gesla in začeti jih morate zdaj.
Pomembna opomba: Ta napaka ne vpliva na funkcijo How-To Geek.
Kaj je Heartbleed in zakaj je tako nevarno?
V vaši tipični kršitvi varnosti so izpostavljeni uporabniški zapisi / gesla posameznega podjetja. To je grozno, ko se zgodi, toda to je osamljena zadeva. Podjetje X ima varnostne kršitve, izdajajo opozorilo svojim uporabnikom in ljudje, kot smo mi, opozarjajo vse, da je čas, da začnejo izvajati dobro varnostno higieno in posodabljajo gesla. Tiste, žal, tipične kršitve so dovolj slabe. Heartbleed Bug je nekaj veliko, veliko, slabše.
Heartbleed Bug spodkopava zelo šifrirno shemo, ki nas ščiti, medtem ko pošiljamo e-pošto, banko ali kako drugače sodelujemo s spletnimi stranmi, za katere menimo, da so varne. Tu je opis v angleščini o ranljivosti podjetja Codenomicon, varnostne skupine, ki je odkrila in opozorila javnost na napako:
Heartbleed Bug je resna ranljivost v priljubljeni knjižnici programske opreme OpenSSL. Ta slabost omogoča krajo informacij, zaščitenih pod normalnimi pogoji, s šifriranjem SSL / TLS, ki se uporablja za zaščito interneta. SSL / TLS zagotavlja varnost komunikacij in zasebnost prek interneta za aplikacije, kot so splet, e-pošta, takojšnje sporočanje (IM) in nekatera navidezna zasebna omrežja (VPN).
Orodje Heartbleed omogoča vsakomur na internetu, da prebere pomnilnik sistemov, zaščitenih z ranljivimi različicami programske opreme OpenSSL. To ogroža tajne ključe, ki se uporabljajo za identifikacijo ponudnikov storitev in šifriranje prometa, imena in gesla uporabnikov ter dejansko vsebino. To napadalcem omogoča prisluškovanje komunikacijam, krajo podatkov neposredno iz storitev in uporabnikov ter predstavljanje storitev in uporabnikov.
Zveni zelo slabo, da? Zveni še slabše, ko ugotovite, da približno dve tretjini vseh spletnih mest, ki uporabljajo SSL, uporabljajo to ranljivo različico OpenSSL. Ne govorimo o majhnih časovnih mestih, kot so forumi z vročimi palicami ali mesta za zamenjavo kartic, govorimo o bankah, podjetjih s kreditnimi karticami, večjih e-prodajalcih in ponudnikih elektronske pošte. Še huje, ta ranljivost je v divjini približno dve leti. To je dve leti, nekdo z ustreznim znanjem in veščinami bi lahko izkoristil podatke za prijavo in zasebne komunikacije storitve, ki jo uporabljate (in v skladu s testiranjem, ki ga je izvedel Codenomicon, brez sledenja).
Za še boljšo ilustracijo, kako deluje Heartbleed bug. preberite ta strip xkcd.
Čeprav se nobena skupina ni javila, da bi navdihovala vse poverilnice in informacije, ki so jih prenesli z izkoriščanjem, na tej točki v igri morate domnevati, da so bile prijavne poverilnice za spletna mesta, ki jih pogosto uporabljate, ogrožene..
Kaj početi Postati Heartbeed Bug
Vsaka večja kršitev varnosti (in to vsekakor velja za velik obseg) zahteva, da ocenite svoje prakse upravljanja z gesli. Zaradi širokega dosega programa Heartbleed Bug je to odlična priložnost za pregled že delujočega sistema za upravljanje gesel ali, če ste vlekli noge, da ga nastavite.
Preden se potopite v takojšnje spreminjanje gesel, se zavedajte, da je ranljivost le popravljena, če je podjetje nadgradilo na novo različico OpenSSL. Zgodba se je zgodila v ponedeljek in če ste odhiteli, da boste takoj spremenili gesla na vsaki strani, bo večina še vedno uporabljala ranljivo različico OpenSSL..
Zdaj, sredi tedna, je večina spletnih mest začela s procesom posodabljanja in do konca tedna je smiselno domnevati, da se bo večina pomembnih spletnih mest preusmerila.
Tu lahko preverite, ali je ranljivost še vedno odprta, ali pa, če se spletno mesto ne odziva na zahteve omenjenega pregledovalnika, lahko uporabite kontrolnik datumov SSL za LastPass, da preverite, ali je zadevni strežnik posodobil svoje Potrdilo SSL pred kratkim (če so ga posodobili po 4. 7. 2014 je dober pokazatelj, da so popravili ranljivost.) Opomba: če zaženete howtogeek.com prek programa za preverjanje napak, bo prišlo do napake, ker najprej ne bomo uporabljali šifriranja SSL, prav tako pa smo preverili, da naši strežniki ne delujejo s programsko opremo, na katero se nanaša.
To je dejal, izgleda, da se ta vikend dobro pripravi na posodobitev gesel. Prvič, potrebujete sistem za upravljanje gesel. Oglejte si naš vodnik za začetek uporabe programa LastPass za nastavitev ene najbolj varnih in prilagodljivih možnosti upravljanja gesel. Ni vam treba uporabiti LastPass, vendar potrebujete nekakšen sistem, ki vam bo omogočil sledenje in upravljanje edinstvenega in močnega gesla za vsako spletno mesto, ki ga obiščete..
Drugič, morate začeti spreminjati gesla. Načrt kriznega upravljanja v našem vodniku, Kako se obnoviti, ko je geslo ogroženo, je odličen način, da zagotovite, da ne boste zamudili nobenega gesla; poudarja tudi osnove dobre higiene gesel, ki so navedene tukaj:
- Gesla morajo biti vedno daljša od najnižje dovoljene storitve. Če zadevna storitev omogoča gesla z znaki 6-20, glejte najdaljše geslo, ki ga lahko zapomnite.
- Ne uporabljajte besed slovarja kot del gesla. Vaše geslo naj bo nikoli biti tako preprost, da ga bo razkril površno skeniranje s slovarsko datoteko. Nikoli ne vključite svojega imena, dela prijave ali e-pošte ali drugih elementov, ki jih je mogoče enostavno prepoznati, kot je ime vašega podjetja ali ime ulice. Izogibajte se tudi uporabi običajnih kombinacij tipkovnice, kot je “qwerty” ali “asdf” kot del gesla.
- Uporabite gesla namesto gesel. Če ne uporabljate upravitelja gesel, da bi si zapomnili resnično naključna gesla (da, ugotovimo, da resnično razmišljamo o uporabi upravljalnika gesel), si lahko zapomnite močnejša gesla, tako da jih pretvorite v gesla. Za vaš Amazon račun, na primer, lahko ustvarite preprost geslo za branje »Rad imam branje knjig« in ga nato preberete v geslo, kot je »! Luv2ReadBkz«. To je enostavno zapomniti in je precej močna.
Tretjič, če je le mogoče, želite omogočiti preverjanje pristnosti z dvema faktorjema. Več o preverjanju pristnosti z dvema faktorjema si lahko preberete tukaj, vendar vam na kratko omogoča dodajanje dodatne ravni identifikacije vaši prijavi.
Gmail, na primer, za preverjanje pristnosti z dvema faktorjema zahteva, da imate ne le podatke za prijavo in geslo, ampak tudi dostop do mobilnega telefona, ki je registriran v vašem Gmailovem računu, tako da lahko sprejmete kodo besedilnega sporočila, ki jo želite vnesti, ko se prijavite iz novega računalnika.
Če je omogočeno preverjanje pristnosti z dvema faktorjema, je za nekoga, ki je pridobil dostop do vaših prijavnih in geselnih podatkov (kot pri Heartbleed Bug), zelo težko dostopati do vašega računa..
Varnostne ranljivosti, zlasti tiste s tako daljnosežnimi posledicami, nikoli niso zabavne, vendar ponujajo priložnost, da zaostrimo prakse gesel in zagotovimo, da edinstvena in močna gesla ohranijo škodo, kadar se pojavi.