Heartbleed Explained Miksi sinun täytyy vaihtaa salasanasi nyt
Viime kerralla, kun ilmoitimme sinulle merkittävälle tietoturvaloukkaukselle, Adobe-salasanan tietokanta vaarantui, jolloin miljoonat käyttäjät (varsinkin niille, joilla on heikko ja usein uudelleen käyttämä salasana) vaarantuvat. Tänään varoitamme paljon suuremmasta turvallisuusongelmasta, Heartbleed Bugista, joka on mahdollisesti vaarantanut huikean 2/3 kolmanneksen turvallisista Internet-sivustoista. Sinun täytyy vaihtaa salasanasi, ja sinun on aloitettava se nyt.
Tärkeä huomautus: Tämä vika ei vaikuta siihen, miten Geek-tiedostoa ei käytetä.
Mikä on sydäntä ja miksi se on niin vaarallista?
Tyypillisessä tietoturvarikkomuksessa paljastetaan yhden yrityksen käyttäjän tietueet / salasanat. Se on kauheaa, kun se tapahtuu, mutta se on yksittäinen asia. Yrityksellä X on turvallisuusrikkomus, he antavat varoituksen käyttäjilleen, ja meitä muistuttavat ihmiset muistuttavat kaikille, että on aika aloittaa hyvien turvallisuushygienioiden harjoittaminen ja päivittää salasanansa. Nämä valitettavasti ovat tyypillisiä rikkomuksia, jotka ovat tarpeeksi huonoja. Heartbleed Bug on jotain paljon, paljon, huonompi.
Heartbleed Bug heikentää hyvin salausjärjestelmää, joka suojaa meitä, kun lähetämme sähköpostia, pankki, ja muuten vuorovaikutuksessa verkkosivustojen kanssa, joiden mielestämme olemme turvallisia. Tässä on englanninkielinen kuvaus Codenomiconin haavoittuvuudesta, joka on suojaryhmä, joka löysi ja ilmoitti yleisölle virheestä:
Heartbleed Bug on vakava haavoittuvuus suositussa OpenSSL-salausohjelmistokirjastossa. Tämä heikkous sallii tavanomaisissa olosuhteissa suojatun tiedon varastamisen Internetin suojaamiseen käytetyn SSL / TLS-salauksen avulla. SSL / TLS tarjoaa viestinnän tietoturvaa ja yksityisyyttä Internetissä sellaisten sovellusten kuten web-, sähköposti-, pikaviestintä- ja joidenkin virtuaalisten yksityisten verkkojen (VPN) yhteydessä.
Heartbleed-vika sallii jokaisen Internetissä lukea OpenSSL-ohjelmiston haavoittuvien versioiden suojaamien järjestelmien muistin. Tämä vaarantaa salaiset avaimet, joita käytetään palveluntarjoajien tunnistamiseen ja liikenteen salaamiseen, käyttäjien nimet ja salasanat sekä todellinen sisältö. Näin hyökkääjät voivat kuunnella viestintää, varastaa tietoja suoraan palveluista ja käyttäjistä ja paljastaa palveluita ja käyttäjiä.
Se kuulostaa melko pahalta, kyllä? Se kuulostaa vieläkin huonommalta, kun ymmärrät, että noin kaksi kolmasosaa kaikista SSL-sivustoista käyttää tätä haavoittuvaa OpenSSL-versiota. Emme puhu pieniä ajankohtia, kuten hot rod -foorumeita tai keräilykorttien vaihtosivustoja, puhumme pankkeja, luottokorttiyhtiöitä, suuria verkkokauppiaita ja sähköpostipalveluntarjoajia. Mikä vielä pahempaa, tämä haavoittuvuus on ollut luonnossa noin kaksi vuotta. Se on kaksi vuotta, että joku, jolla on asianmukaiset tiedot ja taidot, olisi voinut hyödyntää käyttämäsi palvelun kirjautumistietoja ja yksityisiä viestejä (ja Codenomiconin suorittaman testauksen mukaan tekemättä sitä ilman jälkiä).
Parempi kuva siitä, miten Heartbleed-vika toimii. lue tämä xkcd-sarjakuvaa.
Vaikka mikään ryhmä ei ole esittänyt huutokauppaansa kaikkia tietoja, joita he käyttivät hyväkseen, pelin tässä vaiheessa sinun on oletettava, että usein käyttämäsi verkkosivustojen kirjautumistiedot ovat vaarantuneet.
Mitä tehdä Post Heartbleed Bug
Mikä tahansa enemmistö turvallisuusrikkomuksesta (ja tämä varmasti sopii suuriin mittasuhteisiin) edellyttää, että arvioit salasanan hallintakäytäntöjä. Heartbleed Bugin laajan ulottuvuuden vuoksi tämä on täydellinen tilaisuus tarkistaa jo jo käynnissä oleva salasananhallintajärjestelmä tai, jos olet vetänyt jalat, aseta se ylös.
Ennen kuin siirryt heti vaihtamaan salasanojasi, on huomioitava, että haavoittuvuus korjataan vain, jos yritys on päivittänyt uuden OpenSSL-version. Tarina murtautui maanantaina, ja jos ryntäsi ulos vaihtamaan välittömästi salasanasi jokaisella sivustolla, useimmat heistä olisivat edelleen käyttäneet OpenSSL: n haavoittuvaa versiota.
Nyt, viikon puolivälissä, useimmat sivustot ovat alkaneet päivittää ja viikonloppuna on järkevää olettaa, että suurin osa korkean profiilin sivustoista on siirtynyt.
Voit käyttää Heartbleed Bug -valvojaa täällä, jos haluat nähdä, onko haavoittuvuus avoinna, tai vaikka sivusto ei vastaa edellä mainitun tarkistusohjelman pyyntöihin, voit käyttää LastPassin SSL-päivämäärän tarkistinta, onko kyseinen palvelin päivittänyt SSL-varmenne äskettäin (jos ne päivittivät sen 4.7.2014 jälkeen, se on hyvä osoitin siitä, että he ovat korjattaneet haavoittuvuuden.) Huomautus: jos suoritat howtogeek.comin vian tarkistusohjelman kautta, se palauttaa virheen, koska emme käytä SSL-salausta ensinnäkin, ja olemme myös varmistaneet, että palvelimemme eivät käytä mitään ohjelmistoja.
Siitä huolimatta näyttää siltä, että tällä viikonloppuna on hyvä viikonloppu, jotta saat vakavia tietoja salasanojen päivittämisestä. Ensinnäkin tarvitset salasanan hallintajärjestelmän. Tutustu ohjekirjaamme, jolla voit aloittaa LastPassin, jotta voit luoda yhden turvallisimmista ja joustavimmista salasananhallintavaihtoehdoista. Sinun ei tarvitse käyttää LastPassia, mutta tarvitset jonkinlaisen järjestelmän, jonka avulla voit seurata ja hallita yksilöllistä ja vahvaa salasanaa jokaiselle sivustolle, jota käyt.
Toiseksi sinun on aloitettava salasanojen muuttaminen. Kriisinhallintakäsikirja oppaassamme, Miten palauttaa sähköpostiosoitteesi salasanan jälkeen on loistava tapa varmistaa, että et menetä salasanoja; Siinä korostetaan myös hyvän salasanahygienian perusteita, jotka on mainittu tässä:
- Salasanojen tulisi aina olla pidempiä kuin minimipalvelun salliminen. Jos kyseinen palvelu sallii 6-20 merkin salasanan, siirry pisin salasana, jonka muistat.
- Älä käytä sanakirjan sanoja osana salasanaa. Salasanasi pitäisi olla ei koskaan Olkaa niin yksinkertaisia, että sanakirjatiedostojen välitön skannaus paljastaisi sen. Älä koskaan sisällä nimeäsi, kirjautumistunnuksesi tai sähköpostisi osia tai muita helposti tunnistettavia kohteita, kuten yrityksen nimeä tai kadun nimeä. Älä myöskään käytä tavallisia näppäimistöyhdistelmiä, kuten "qwerty" tai "asdf" osana salasanaa.
- Käytä salasanojen sijasta salasanoja. Jos et käytä salasananhallintaa muistaa todella satunnaisia salasanoja (kyllä, ymmärrämme, että olemme todella harping ideoita käyttää salasananhallintaa), niin voit muistaa vahvemmat salasanat kääntämällä ne salasanoiksi. Esimerkiksi Amazon-tiliisi voit luoda helposti muistettavan salasanan ”Rakastan lukea kirjoja” ja sitten ryöstää sen salasanaksi, kuten “! Luv2ReadBkz”. Se on helppo muistaa ja se on melko vahva.
Kolmanneksi, kun mahdollista, haluat sallia kahden tekijän todennuksen. Voit lukea lisää kahden tekijän todentamisesta täällä, mutta lyhyesti voit lisätä ylimääräisen tunnistuskerroksen kirjautumiseen.
Esimerkiksi Gmailin avulla kaksikertoiminen edellyttää, että sinulla ei ole vain kirjautumistunnuksesi ja salasanasi, vaan pääsy Gmail-tilillesi rekisteröityyn puhelimeen, jotta voit hyväksyä tekstiviestikoodin, joka syötetään, kun kirjaudut uuteen tietokoneeseen.
Kun kaksitekijätodennus on otettu käyttöön, se, että käyttäjätunnuksellesi ja salasanallesi (kuten Heartbleed Bugillä on pääsy), on erittäin vaikeaa käyttää tiliäsi.
Turvallisuushaavoittuvuudet, etenkin sellaiset, joilla on niin pitkälle ulottuvat seuraukset, eivät ole koskaan hauskoja, mutta ne tarjoavat meille mahdollisuuden kiristää salasanan käytäntöjä ja varmistaa, että ainutlaatuiset ja vahvat salasanat säilyttävät vahingon, kun se tapahtuu..