Heartbleed vysvětlil, proč potřebujete nyní změnit hesla
Naposledy vás upozorňujeme na závažné narušení zabezpečení, kdy byla ohrožena databáze hesel společnosti Adobe, což ohrožuje miliony uživatelů (zejména těch, kteří mají slabá a často opakovaně používaná hesla). Dnes vás upozorňujeme na mnohem větší bezpečnostní problém - Heartbleed Bug, který potenciálně ohrožuje ohromující 2 / 3r ze zabezpečených internetových stránek na internetu. Musíte změnit hesla a musíte začít dělat to nyní.
Důležitá poznámka: Jak-To Geek není touto chybou ovlivněn.
Co je srdce a proč je to tak nebezpečné?
Při vašem typickém narušení zabezpečení jsou vystaveny uživatelské záznamy / hesla jedné společnosti. To je hrozné, když se to stane, ale je to ojedinělý záležitost. Společnost X má bezpečnostní porušení, vydává varování svým uživatelům a lidé jako my všem připomínají, že je čas začít pracovat s dobrou bezpečnostní hygienou a aktualizovat jejich hesla. Ty, bohužel, typické porušení jsou tak špatné, jak to je. The Heartbleed Bug je něco moc, hodně, horší.
The Heartbleed Bug podkopává šifrovací schéma, která nás chrání, když jsme e-mailem, bankou a jinak komunikovali s webovými stránkami, které považujeme za bezpečné. Zde je jednoduchý anglický popis zranitelnosti od Codenomicon, bezpečnostní skupiny, která objevila a upozornila veřejnost na chybu:
Heartbleed Bug je vážná zranitelnost v populární knihovně kryptografického softwaru OpenSSL. Tato slabost umožňuje kradit chráněné informace za normálních podmínek pomocí šifrování SSL / TLS, které slouží k zabezpečení internetu. SSL / TLS poskytuje komunikační zabezpečení a soukromí přes internet pro aplikace jako web, e-mail, chat a některé virtuální privátní sítě (VPN).
Chyba Heartbleed umožňuje komukoliv na Internetu číst paměť systémů chráněných zranitelnými verzemi softwaru OpenSSL. To kompromisuje tajné klíče používané k identifikaci poskytovatelů služeb a k šifrování provozu, jména a hesla uživatelů a skutečný obsah. To umožňuje útočníkům odposlouchávat komunikace, ukrást data přímo od poskytovatelů služeb a uživatelů a předstírat služby a uživatele.
To zní docela špatně, ano? Zní to ještě horší, když si uvědomíte, že zhruba dvě třetiny všech webů používajících SSL používají tuto zranitelnou verzi OpenSSL. Nemluvíme o malých časových místech, jako jsou fóra s horkými tyčemi nebo výměnné weby s kartami pro sběratelské karty, mluvíme s bankami, společnostmi s kreditními kartami, hlavními e-maloobchodníky a poskytovateli e-mailů. Ještě horší je, že tato zranitelnost byla ve volné přírodě po dobu přibližně dvou let. To je dva roky, kdy někdo s odpovídajícími znalostmi a dovednostmi mohl využít znalosti o přihlášení a soukromé komunikace služby, kterou používáte (a podle testů prováděných společností Codenomicon to dělá bez stopy).
Pro ještě lepší představu o tom, jak funguje chyba srdce. přečtěte si tento xkcd komiks.
Přestože žádná skupina nevycházela k tomu, aby se chtěla pochlubit všemi pověřeními a informacemi, které s využitím využívají, musíte v tomto okamžiku hry předpokládat, že přihlašovací údaje pro časté webové stránky byly ohroženy.
Co dělat Post srdce Bug
Jakékoli většinové narušení bezpečnosti (a to jistě platí ve velkém měřítku) vyžaduje, abyste posoudili své postupy správy hesel. Vzhledem k širokému dosahu programu Heartbleed Bug je to perfektní příležitost k přezkoumání již hladce fungujícího systému správy hesel, nebo pokud jste přetáhli nohy, nastavte si jeden.
Než se ponoříte do okamžité změny hesel, uvědomte si, že tato chyba zabezpečení je opravována pouze v případě, že společnost upgradovala na novou verzi OpenSSL. Příběh se rozpadl v pondělí a pokud jste vyrazili, abyste okamžitě změnili hesla na všech stránkách, většina z nich by stále provozovala zranitelnou verzi OpenSSL.
Nyní, v polovině týdne, většina webových stránek začala proces aktualizace a o víkendu je rozumné předpokládat, že většina vysoce profilovaných webových stránek bude přešla.
Kontrola Heartbleed Bug můžete použít zde, abyste zjistili, zda je tato chyba stále otevřená, nebo dokonce i když web neodpovídá na požadavky výše uvedené kontroly, můžete použít Kontrola data SSL LastPass, abyste zjistili, zda daný server aktualizoval své SSL certifikát nedávno (pokud ho aktualizovali po 4. 7. 2014, je to dobrý ukazatel, že tuto chybu zabezpečení opravil.) Poznámka: pokud spustíte howtogeek.com prostřednictvím kontroly chyb, vrátí se chyba, protože nejprve používáme šifrování SSL a také jsme ověřili, že na našich serverech není spuštěn žádný dotčený software.
To znamená, že se zdá, že tento víkend se vyvíjí jako dobrý víkend, aby se vážně zabýval aktualizací vašich hesel. Nejprve potřebujete systém správy hesel. Podívejte se na náš průvodce, jak začít s aplikací LastPass nastavit jednu z nejbezpečnějších a nejsnadnějších možností správy hesel. Nemusíte používat LastPass, ale potřebujete nějaký systém, který vám umožní sledovat a spravovat jedinečné a silné heslo pro všechny webové stránky, které navštívíte.
Za druhé, je třeba začít se změnou hesla. Struktura krizového řízení v našem průvodci, jak obnovit heslo po e-mailu, je kompromisní, je skvělý způsob, jak zajistit, abyste nenechali žádné heslo; to také zdůrazňuje základy dobré hygieny hesel, citované zde:
- Hesla by měla být vždy delší než minimální, kterou služba povoluje. Pokud daná služba umožňuje hesla o délce 6 až 20 znaků, vyhledejte nejdelší heslo, které si můžete zapamatovat.
- Nepoužívejte slova slovníku jako součást hesla. Vaše heslo by mělo být nikdy být tak jednoduché, že by to zjistilo zkreslené skenování se slovníkovým souborem. Nikdy nezahrnujte své jméno, část přihlašovacího jména nebo e-mail nebo jiné snadno identifikovatelné položky, jako je název vaší firmy nebo název ulice. Vyhněte se také používání běžných kombinací kláves, jako je "qwerty" nebo "asdf", jako součást vašeho hesla.
- Používejte přístupová hesla namísto hesel. Pokud nepoužíváte správce hesel k zapamatování si opravdu náhodných hesel (ano, uvědomujeme si, že skutečně tvrdíme, že používáme správce hesel), můžete si zapamatovat silnější hesla tak, že je změníte na heslo. Například pro váš Amazonský účet můžete vytvořit snadno přístupnou přístupovou frázi "Mám rád číst knihy" a pak ji zkreslit do hesla jako "! Luv2ReadBkz". Je snadné si je pamatovat a je to poměrně silné.
Za třetí, kdykoli je to možné, chcete povolit dvoufaktorovou autentizaci. Více informací o dvoufaktorové autentizaci si můžete přečíst zde, ale zkrátka vám umožní přiřadit další identifikační vrstvu vašemu přihlašování.
V Gmailu například dvoufaktorové ověřování vyžaduje, abyste neměli pouze své přihlašovací jméno a heslo, ale přístup k mobilnímu telefonu, který je registrován na váš účet Gmail, abyste mohli přijmout kód textové zprávy, který chcete zadat při přihlašování z nového počítače.
Při dvoufaktorové autentizaci je pro někoho, kdo získal přístup k vašemu přihlašování a heslo (stejně jako oni s Heartbleed Bug), velmi obtížné skutečně přistupovat k vašemu účtu.
Zranitelnosti zabezpečení, zejména ty, které mají tak dalekosáhlé důsledky, nejsou nikdy zábavné, ale nabízejí nám příležitost zpřísnit naše postupy v oblasti hesel a zajistit, aby jedinečné a silné hesla vedly k poškození,.