If-Koubou

Heartbleed Explained: Miksi sinun täytyy vaihtaa salasanasi nyt

Heartbleed Explained: Miksi sinun täytyy vaihtaa salasanasi nyt (Miten)

Viime kerralla, kun hälyttimme sinua merkittävälle tietoturvauhinnalle, Adoben salasanatietokanta vaarantui, ja miljoonat käyttäjät (erityisesti heikot ja usein uudelleenkäytettävät salasanat) joutuivat vaaraan. Tänään me varoitamme paljon suuremmasta turvallisuusongelmasta, Heartbleed-bugista, joka on vaarantanut hämmästyttävän 2 / kolmanneksen turvallisista verkkosivustoista internetissä. Sinun täytyy vaihtaa salasanasi, ja sinun on aloitettava tekemällä se nyt.

Tärkeä huomautus: Tämä vika ei vaikuta How-To Geek -ohjelmaan.

Mikä on sydämen vajaatoiminta ja miksi se on niin vaarallista?

Tyypillisessä tietoturvaloukkauksessasi yksittäisen yrityksen käyttäjätunnukset / salasanat ovat alttiina. Se on kauheaa, kun se tapahtuu, mutta se on yksittäinen asia. Yrityksellä X on tietoturva, he antavat käyttäjälleen varoituksen ja ihmiset, kuten me, muistuttavat kaikille, että on aika aloittaa hyvää tietoturvahygienia ja päivittää heidän salasanansa. Valitettavasti tyypilliset rikkomukset ovat valitettavasti niin pahoja. Heartbleed-bugi on jotain paljon,paljon, huonompi.

Heartbleed-bugi heikentää hyvin salausmenetelmää, joka suojaa meitä samalla, kun lähetämme sähköpostia, pankkia ja muuten toimivat vuorovaikutuksessa sivustojen kanssa, joiden uskomme olevan turvallisia. Tässä on selkeä englanninkielinen kuvaus Codenomiconin, tietoturvaryhmän haavoittuvuudesta, joka havaitsi ja ilmoitti yleisölle virheestä:

Heartbleed-bugi on vakava haavoittuvuus suositussa OpenSSL-salausohjelmakirjastokirjastossa. Tämä heikkous mahdollistaa SSL / TLS-salauksen turvaamisen tavanomaisissa oloissa suojatun tiedon varastamisen. SSL / TLS tarjoaa tietoliikenneturvallisuuden ja yksityisyyden Internetin kautta esimerkiksi web-, sähköposti-, pikaviestit (IM) ja eräät virtuaaliset yksityiset verkot (VPN).

Heartbleed-bugi sallii kenenkään Internetissä olevan lukemassa OpenSSL-ohjelmiston haavoittuvista versioista suojaamia järjestelmiä. Tämä vaarantaa palveluntarjoajien tunnistamiseen käytettävät salaiset avaimet ja salaa liikenteen, käyttäjien nimet ja salasanat sekä varsinaisen sisällön. Tämän ansiosta hyökkääjät voivat salakuunnella viestinnän, varastaa tietoja suoraan palveluista ja käyttäjistä sekä esitellä palveluita ja käyttäjiä.

Se kuulostaa melko huonolta, kyllä? Tuntuu vielä pahempaa, kun ymmärrät, että noin kaksi kolmasosaa kaikista SSL: stä käyttävistä verkkosivustoista käyttää tätä haavoittuvaa OpenSSL-versiota. Emme puhu pienistä aikapaikoista, kuten hot rod -foorumeista tai keräilevistä korttipelaamisen sivustoista, puhumme pankkeja, luottokorttiyhtiöitä, suuria verkkokauppiaita ja sähköpostin tarjoajia. Mikä pahempaa, tämä haavoittuvuus on ollut luonnossa noin kaksi vuotta. Kahden vuoden aikana joku, jolla on tarvittavat tiedot ja taidot, olisi voinut napauttaa käyttämäsi palvelun kirjautumistunnuksia ja yksityisviestintää (ja Codenomiconin suorittamassa testauksessa sen tekeminen ilman jälkiä).

Parempi kuva siitä, miten Heartbleed-virhe toimii. lue tämä xkcd sarjakuva.

Vaikka mikään ryhmä ei ole esittänyt kaikkia tunnistetietoja ja tietoja, joita he käyttivät hyväkseen, pelin tässä vaiheessa olettaa, että usein käyttämäsi verkkosivustot ovat vaarantuneet.

Mitä tehdä lähetä Heartbleed Bug

Jokainen enemmistön tietoturvan rikkominen (ja tämä varmasti täyttää suuressa mittakaavassa) edellyttää, että arvioit salasanan hallintatapasi. Koska Heartbleed-bugi on laaja, tämä on täydellinen tilaisuus tarkistaa jo sileästi käynnissä oleva salasananhallintajärjestelmä tai, jos olet vetänyt jalkasi, aseta se ylös.

Ennen kuin sukellat salasanasi välittömästi vaihtamalla, ota huomioon, että haavoittuvuus on vain tarkistettu, jos yritys on päivittänyt uuden OpenSSL-version. Tarina murtui maanantaina, ja jos rynnistyit salasanasi välittömästi muuttamaan jokaisella sivustolla, useimmat heistä olisivat silti suorittaneet OpenSSL: n heikossa versiossa.

Nyt keskellä viikkoa useimmat sivustot ovat alkaneet päivittää ja viikonloppuna on kohtuullista olettaa, että suurin osa korkean profiilin verkkosivustoista on siirtynyt.

Voit käyttää Heartbleed-bugitarkistusta täällä nähdäksesi, onko haavoittuvuus avoinna tai vaikka sivusto ei vastannut edellä mainitun tarkistimen pyyntöihin, voit käyttää LastPassin SSL-päivämäärälukijaa nähdäksesi, onko kyseinen palvelin päivittänyt SSL-sertifikaatti äskettäin (jos ne päivittivät sen 4. 7. 2014 jälkeen, se on hyvä osoitus siitä, että he ovat korjattaneet haavoittuvuuden.)Huomautus: jos suoritat bugitekijän kautta howtogeek.com -palvelun, se palauttaa virheen, koska emme käytä SSL-salausta ensisijaisesti, ja olemme myös varmistaneet, että palvelimistamme ei ole käytössä ohjelmistoa.

Se sanoi, että näyttää siltä, ​​että tämä viikonloppu on hyvää viikonloppua muuttamaan salasanasi päivittämisestä. Ensinnäkin tarvitset salasanan hallintajärjestelmän. Tutustu viimeisimpään LastPass-oppaaseen ja asenna yksi turvallisimmista ja joustavimmista salasanasuojausvaihtoehdoista. Sinun ei tarvitse käyttää LastPassia, mutta tarvitset jonkinlaisen järjestelmän, jonka avulla voit seurata ja hallita ainutkertaista ja vahvaa salasanaa jokaiselle sivustollemme.

Toiseksi, sinun on aloitettava salasanojen vaihtaminen. Kriisinhallinnan pääpiirteet oppaassamme, Kuinka palauttaa sähköpostisi salasanan jälkeen, on erinomainen tapa varmistaa, ettet unohda salasanoja; se myös korostaa hyvän salasanasuojauksen perusteet, joita mainitaan täällä:

  • Salasanojen tulee aina olla pidempiä kuin minimi, jonka palvelu mahdollistaa. Jos kyseinen palvelu mahdollistaa 6-20 merkin salasanojen, voit valita pitimmän salasanan.
  • Älä käytä sanakirjoja osana salasanaasi. Salasanasi pitäisiei koskaanolla niin yksinkertainen, että selektiivinen skannaus sanakirjatiedosto paljastaa sen. Älä koskaan lisää nimesi, osaa kirjautumis- tai sähköpostiosoitteeseen tai muita helposti tunnistettavia kohteita, kuten yrityksen nimi tai kadunnimi. Älä myöskään käytä yhteisiä näppäimistöyhdistelmiä, kuten "qwerty" tai "asdf", osana salasanaasi.
  • Käytä salasanoja salasanojen sijaan. Jos et käytä salasanojen hallintaa muistan oikeasti satunnaisia ​​salasanoja (kyllä, ymmärrämme, että emme todellakaan harpeita ajatuksesta käyttää salasanakehitystä), voit muistaa vahvemmat salasanat kääntämällä ne salasanoiksi. Esimerkiksi Amazon-tilillesi voit luoda helposti muistettavaa salasanaa "Rakastan lukea kirjoja" ja sitten murskata salasanaksi, kuten "! Luv2ReadBkz". Se on helppo muistaa ja se on melko voimakas.

Kolmanneksi, kun mahdollista, haluat ottaa käyttöön kaksitasoisen todennuksen. Voit lukea lisää kaksitasoisesta todennuksesta täällä, mutta lyhyesti voit lisätä tunnistetietojasi kirjautumissosi.

Gmailin kanssa esimerkiksi kaksitasoinen todennus vaatii, että sinulla ei ole pelkästään kirjautumistunnusta ja salasanaa vaan pääsy Gmail-tilillesi rekisteröityyn matkapuhelimeen, jotta voit hyväksyä tekstiviestikoodin syötettäessä, kun kirjaudut uudesta tietokoneesta.

Kun kaksitasoinen todentaminen on käytössä, se on erittäin vaikeaa jollekin käyttäjälle, joka on saanut käyttäjätunnuksesi ja salasanasi (kuten he voivat saada Heartbleed-bugilla) pääsyn tilillesi.

Turvallisuushaavoittuvuudet, varsinkin sellaiset, joilla on kauaskantoisia vaikutuksia, eivät ole koskaan hauskoja, mutta tarjoavat meille mahdollisuuden kiristää salasanakäytäntöjä ja varmistaa, että ainutlaatuiset ja vahvat salasanat pitävät sisällään vahingon.