Heartbleed a explicat de ce trebuie să vă schimbați parolele acum
Ultima dată când v-am alertat la o încălcare majoră a securității a fost compromisă baza de date a parolei Adobe, punând în pericol milioane de utilizatori (mai ales cei cu parole slabe și frecvent reutilizate). Astăzi vă avertizăm cu privire la o problemă de securitate mult mai mare, Bugul Heartbleed, care a compromis potențial 2/3 rânduri de site-uri sigure de pe internet. Trebuie să-ți schimbi parolele și trebuie să începi să o faci acum.
Notă importantă: Cum-To Geek nu este afectat de această eroare.
Ce este Heartbleed și de ce este atât de periculos?
În cazul încălcării normale a securității, sunt afișate înregistrările utilizatorilor / parolele unei singure companii. Asta e groaznic când se întâmplă, dar eo afacere izolată. Compania X are o încălcare a securității, le emite un avertisment utilizatorilor lor și oamenii ca noi amintește tuturor că este timpul să începem să practicăm o igienă bună de securitate și să le actualizăm parolele. Din păcate, încălcările tipice sunt destul de rău așa cum este. Bugul inimii este ceva de genul, mult, mai rau.
Bug-ul Heartbleed subminează sistemul de criptare foarte care ne protejează în timp ce trimitem prin e-mail, bancă și interacționăm în alt mod cu site-urile pe care le considerăm sigure. Iată o descriere simplă în limba engleză a vulnerabilității de la Codenomicon, grupul de securitate care a descoperit și a alertat publicul asupra bug-ului:
Bug-ul Heartbleed este o vulnerabilitate serioasă în biblioteca populară de programe criptografice OpenSSL. Această slăbiciune permite furtul informațiilor protejate, în condiții normale, de criptarea SSL / TLS utilizată pentru a proteja Internetul. SSL / TLS asigură securitatea comunicării și confidențialitatea pe Internet pentru aplicații precum web, e-mail, mesagerie instant (IM) și unele rețele virtuale private (VPN).
Bug-ul Heartbleed permite oricui pe Internet să citească memoria sistemelor protejate de versiunile vulnerabile ale software-ului OpenSSL. Acest lucru compromite cheile secrete utilizate pentru a identifica furnizorii de servicii și pentru a cripta traficul, numele și parolele utilizatorilor și conținutul real. Acest lucru permite atacatorilor să asculte comunicările, să fure direct datele de la servicii și utilizatori și să se implice în servicii și utilizatori.
Sună destul de rău, da? Suna chiar și mai rău când realizați că aproximativ două treimi din toate site-urile care folosesc SSL utilizează această versiune vulnerabilă a OpenSSL. Nu vorbim de site-uri de mici dimensiuni, cum ar fi forumuri de jocuri de tip fierbinte sau site-uri swap de jocuri de colecție, vorbim de bănci, companii de cărți de credit, e-retaileri majori și furnizori de e-mail. Mai rău, această vulnerabilitate a fost în sălbăticie de aproape doi ani. Este vorba despre doi ani când cineva cu cunoștințe și abilități adecvate ar fi putut să acceseze acreditările de conectare și comunicările private ale unui serviciu pe care îl utilizați (și, conform testelor efectuate de Codenomicon, făcând-o fără urmă).
Pentru o ilustrare mai bună a modului în care funcționează eroarea Heartbleed. citiți acest comic xkcd.
Deși nici un grup nu sa prezentat pentru a arăta toate acreditările și informațiile pe care le-au transmis exploatării, în acest moment al jocului trebuie să presupunem că datele de autentificare pentru site-urile pe care le frecventați au fost compromise.
Ce să faci Post Bug cu inima
Orice încălcare a securității majoritare (și cu siguranță aceasta se califică pe o scară largă) vă impune să evaluați practicile de gestionare a parolelor. Având în vedere atingerea largă a Bug-ului Heartbleed, aceasta este o oportunitate perfectă de a revizui un sistem de gestionare a parolelor care funcționează deja fără probleme sau, dacă te-ai târât în picioare,.
Înainte de a vă scufunda în schimbarea imediată a parolelor, rețineți că vulnerabilitatea este doar patch-uri dacă compania a făcut upgrade la noua versiune a OpenSSL. Povestea a izbucnit luni și, dacă v-ați grăbit să vă schimbați imediat parolele pe fiecare site, majoritatea ar fi rulat versiunea vulnerabilă a OpenSSL.
Acum, la jumătatea săptămânii, majoritatea site-urilor au început procesul de actualizare și până la sfârșitul săptămânii este rezonabil să presupunem că majoritatea site-urilor web de înaltă profil vor fi trecut.
Puteți folosi verificatorul Heartbleed Bug aici pentru a vedea dacă vulnerabilitatea este încă deschisă sau, chiar dacă site-ul nu răspunde la solicitările de la checker-ul menționat mai sus, puteți utiliza verificatorul de date SSL al lui LastPass pentru a vedea dacă serverul în cauză și-a actualizat Certificat SSL recent (dacă l-au actualizat după 4/7/2014, este un bun indicator că au patch-uri vulnerabilitatea.) Notă: dacă rulați howtogeek.com prin verificarea erorilor de erori, va apărea o eroare deoarece nu folosim în primul rând criptarea SSL și am verificat, de asemenea, că serverele noastre nu rulează niciun software afectat.
Acestea fiind spuse, se pare că acest weekend se transformă într-un weekend bun pentru a vă îngrijora în legătură cu actualizarea parolelor. În primul rând, aveți nevoie de un sistem de gestionare a parolelor. Consultați ghidul nostru pentru a începe să utilizați programul LastPass pentru a configura una dintre cele mai sigure și mai flexibile opțiuni de gestionare a parolelor în jur. Nu trebuie să utilizați LastPass, dar aveți nevoie de un sistem care să vă permită să urmăriți și să gestionați o parolă unică și puternică pentru fiecare site pe care îl vizitați.
În al doilea rând, trebuie să începeți să schimbați parolele. Conceptul de gestionare a crizei din ghidul nostru, Cum de a recupera după parola dvs. de e-mail este compromis, este o modalitate excelentă de a vă asigura că nu pierdeți niciun parol; subliniază, de asemenea, elementele de bază ale igienei bune a parolei, citată aici:
- Parolele trebuie să fie întotdeauna mai lungi decât minimul pe care serviciul le permite. Dacă serviciul în cauză permite parole de 6-20 caractere, parcurgeți cea mai lungă parolă pe care o puteți aminti.
- Nu utilizați cuvinte ale dicționarului ca parte a parolei. Parola ar trebui să fie nu să fie atât de simplu încât o scanare sumară cu un fișier de dictionar să o dezvăluie. Nu includeți niciodată numele dvs., o parte din datele de conectare sau de e-mail sau alte elemente ușor de identificat, cum ar fi numele companiei sau numele străzii. Evitați, de asemenea, utilizarea combinațiilor comune de tastatură, cum ar fi "qwerty" sau "asdf", ca parte a parolei.
- Utilizați fraze de acces în locul parolelor. Dacă nu folosiți un manager de parole pentru a vă aminti parolele cu adevărat aleatoare (da, ne dăm seama că suntem cu adevărat pe ideea de a utiliza un manager de parole), atunci vă puteți aminti parole mai puternice transformându-le în parole de acces. Pentru contul tău Amazon, de exemplu, poți crea o expresie de acces ușor "îmi place să citesc cărțile" și apoi să creezi o parolă ca "! Luv2ReadBkz". Este ușor de reținut și este destul de puternic.
În al treilea rând, ori de câte ori este posibil, doriți să activați autentificarea cu două factori. Puteți citi mai multe despre autentificarea cu două factori aici, dar pe scurt vă permite să adăugați un strat suplimentar de identificare la datele de conectare.
Cu Gmail, de exemplu, autentificarea cu două factori necesită nu doar autentificarea și parola, ci accesul la telefonul mobil înregistrat în contul dvs. Gmail, astfel încât să puteți accepta un cod de mesaj text care să fie introdus când vă conectați de la un computer nou.
Cu ajutorul autentificării cu două factori, este foarte dificil pentru cineva care a obținut acces la datele de conectare și la parola dvs. (cum ar fi cu Heartbleed Bug) să vă acceseze efectiv contul.
Vulnerabilitățile de securitate, mai ales cele cu implicații atât de importante, nu sunt niciodată distractive, dar oferă o oportunitate pentru noi să ne strângem practicile de parolă și să ne asigurăm că parolele unice și puternice păstrează daunele atunci când apar,.