Úvodná » ako » Heartbleed vysvetlil, prečo potrebujete zmeniť svoje heslá teraz

    Heartbleed vysvetlil, prečo potrebujete zmeniť svoje heslá teraz

    Naposledy vás upozorňujeme na závažné narušenie bezpečnosti, keď bola ohrozená databáza hesiel spoločnosti Adobe, čo ohrozuje milióny používateľov (najmä tých, ktorí používajú slabé a často opakovane používané heslá). Dnes vás upozorňujeme na oveľa väčší problém s bezpečnosťou - Heartbleed Bug, ktorý potenciálne ohrozil ohromujúci 2 / 3r zabezpečených webových stránok na internete. Musíte zmeniť svoje heslá a musíte začať robiť to teraz.

    Dôležitá poznámka: Túto chybu neovplyvňuje nástroj How-To Geek.

    Čo je srdce a prečo je to tak nebezpečné?

    Pri vašom typickom narušení bezpečnosti sa vystavujú používateľské záznamy / heslá jednej spoločnosti. Je to strašné, keď sa to stane, ale je to ojedinelá záležitosť. Spoločnosť X porušila bezpečnostné opatrenia, vydáva varovanie svojim používateľom a ľudia ako my všetci pripomínajú, že je čas začať vykonávať dobrú bezpečnostnú hygienu a aktualizovať svoje heslá. Tieto, bohužiaľ, typické porušenia sú dosť zlé, ako to je. The Heartbleed Bug je niečo veľa, veľa, horšie.

    The Heartbleed Bug podkopáva schému šifrovania, ktorá nás chráni, keď sme e-mailom, bankou a inak komunikovali s webovými stránkami, o ktorých veríme, že sú bezpečné. Tu je jednoduchý anglický popis zraniteľnosti od Codenomicon, bezpečnostnej skupiny, ktorá objavila a upozornila verejnosť na chybu:

    Heartbleed Bug je vážna zraniteľnosť v populárnej kryptografickej softvérovej knižnici OpenSSL. Táto slabosť umožňuje kradnúť chránené informácie za normálnych podmienok pomocou šifrovania SSL / TLS, ktoré sa používa na zabezpečenie internetu. SSL / TLS poskytuje bezpečnosť komunikácie a súkromie cez internet pre aplikácie ako web, e-mail, instant messaging (IM) a niektoré virtuálne privátne siete (VPN).

    Hrôzostrašná chyba umožňuje komukoľvek na internete čítať pamäť systémov chránených zraniteľnými verziami softvéru OpenSSL. To ohrozuje tajné kľúče, ktoré sa používajú na identifikáciu poskytovateľov služieb a šifrovanie návštevnosti, mien a hesiel používateľov a skutočný obsah. To umožňuje útočníkom odhaliť komunikácie, ukradnúť údaje priamo zo služieb a používateľov a zosobňovať služby a používateľov.

    To znie dosť zle, áno? Znie to ešte horšie, keď si uvedomíte, že zhruba dve tretiny všetkých webových stránok používajúcich protokol SSL používajú túto zraniteľnú verziu OpenSSL. Nehovoríme o miestach s malým časom, ako sú fóra s horúcimi tyčami alebo stránkami na výmenu kartových hier, hovoríme o bankách, spoločnostiach s kreditnými kartami, veľkých e-maloobchodoch a poskytovateľoch elektronickej pošty. Ešte horšie je, že táto zraniteľnosť bola vo voľnej prírode približne dva roky. To je dva roky, kto by s vhodnými vedomosťami a zručnosťami mohol využiť svoje prihlasovacie poverenia a súkromnú komunikáciu služby, ktorú používate (a podľa testov vykonaných Codenomiconom to robí bez stopy).

    Pre ešte lepšiu ilustráciu toho, ako funguje chyba srdca. prečítajte si tento xkcd komiks.

    Hoci sa žiadna skupina nepokúsila obhájiť všetky poverenia a informácie, ktoré poskytli s využitím, v tomto bode hry musíte predpokladať, že prihlasovacie údaje pre webové stránky, ktoré často ste boli ohrozené.

    Čo robiť Post Heartbugged Bug

    Akékoľvek väčšie porušenie bezpečnosti (a to určite spĺňa podmienky vo veľkom meradle) vyžaduje, aby ste zhodnotili svoje postupy na správu hesiel. Vzhľadom na široký dosah súboru Heartbleed Bug je to perfektná príležitosť na preskúmanie už hladko fungujúceho systému na správu hesiel, alebo ak ste si pretiahli nohy, nastavte si jeden.

    Predtým, ako sa ponoríte do okamžitej zmeny hesiel, uvedomte si, že zraniteľnosť je opravovaná len vtedy, ak spoločnosť inovovala na novú verziu OpenSSL. Príbeh sa rozpadol v pondelok a ak ste sa ponáhľali, aby ste okamžite zmenili svoje heslá na každom mieste, väčšina z nich by stále používala zraniteľnú verziu OpenSSL.

    Teraz, v polovici týždňa, väčšina stránok začala proces aktualizácie a cez víkend je rozumné predpokladať, že väčšina vysoko-profilových webových stránok bude prechádzať.

    Ak chcete zistiť, či je zraniteľnosť stále otvorená, alebo či lokalita neodpovedá na požiadavky vyššie uvedeného kontrolóra, môžete použiť kontrolný súbor dátumu SSL spoločnosti LastPass a zistiť, či daný server aktualizoval svoje SSL certifikát nedávno (ak ho aktualizovali po 4. 7. 2014, je to dobrý ukazovateľ toho, že túto chybu zabezpečili.)  Poznámka: ak spustíte modul howtogeek.com prostredníctvom kontroly chýb, vráti chybu, pretože v prvom rade nepoužívame šifrovanie SSL a tiež sme overili, že na našich serveroch nie je spustený žiadny postihnutý softvér.

    To znamená, že tento víkend sa zvykne byť dobrým víkendom, aby ste sa vážne oboznámili s aktualizáciou hesiel. Najprv potrebujete systém správy hesiel. Pozrite sa na našu príručku, ako začať s programom LastPass, a nastavte jednu z najbezpečnejších a najpružnejších možností správy hesiel. Nemusíte používať LastPass, ale potrebujete nejaký systém, ktorý vám umožní sledovať a spravovať jedinečné a silné heslo pre všetky webové stránky, ktoré navštívite.

    Po druhé, musíte začať meniť svoje heslá. Kríza-riadenie obrys v našom sprievodcovi, ako obnoviť po vašom e-mail Heslo je kompromitovaný, je skvelý spôsob, ako zabezpečiť, aby ste si nenechali ujsť žiadne heslá; to tiež zdôrazňuje základy dobrej hygieny hesla, citované tu:

    • Heslá by mali byť vždy dlhšie ako minimum, čo služba umožňuje. Ak daná služba povoľuje heslá s 6 až 20 znakmi, prejdite na najdlhšie heslo, ktoré si môžete zapamätať.
    • Nepoužívajte slovo slovníka ako súčasť hesla. Vaše heslo by malo nikdy byť tak jednoduché, že by to bolo zrejmé z prehĺbeného skenovania so súborom slovníka. Nikdy nezadávajte svoje meno, časť prihlasovateľa alebo e-mailu alebo iné ľahko identifikovateľné položky, ako je názov vašej firmy alebo názov ulice. Rovnako sa vyhýbajte používaniu bežných kombinácií klávesov ako "qwerty" alebo "asdf" ako súčasť hesla.
    • Použite heslá namiesto hesiel. Ak nepoužívate správcu hesiel na zapamätanie si naozaj náhodných hesiel (uvedomíme si, že skutočne podnecujeme myšlienku používať správcu hesiel), potom si zapamätáte silnejšie heslá tým, že ich zmeníte na prístupové frázy. Napríklad pre váš účet v Amazone môžete vytvoriť ľahko zapamätateľnú prístupovú frázu "Milujem čítať knihy" a potom ju skomplikovať do hesla ako "! Luv2ReadBkz". Je ľahké si ho zapamätať a je to pomerne silné.

    Po tretie, vždy, keď je to možné, chcete povoliť dvojfaktorové overovanie. Viac informácií o dvojfaktorovej autentifikácii môžete získať tu, ale v krátkosti vám umožňuje pridať ďalšiu vrstvu identifikácie do vášho prihlásenia.

    Napríklad v službe Gmail vyžaduje dvojfaktorové overenie, aby ste nemali len svoje prihlasovacie meno a heslo, ale prístup k mobilnému telefónu, ktorý je zaregistrovaný na vašom účte Gmail, aby ste mohli pri prihlasovaní z nového počítača prijať kód textovej správy.

    Pri dvojfaktorovej autentifikácii je pre niekoho, kto získal prístup k vášmu prihláseniu a heslu, (ako keby mohli s programom Heartbleed Bug) veľmi ťažké skutočne pristupovať k vášmu účtu.

    Bezpečnostné zraniteľnosti, najmä tie, ktoré majú také ďalekosiahle dôsledky, nie sú nikdy zábavné, ale ponúkajú nám príležitosť sprísniť naše postupy v oblasti hesiel a zabezpečiť, aby jedinečné a silné heslá zachovali škody, keď k nim dôjde,.

    Pomôžte udržať deti v bezpečí online s KidZui
    Pomôžte udržať počítač chránený pomocou bezplatných nástrojov od Trend Micro
    HDTV Overscan čo je a prečo by ste mali (pravdepodobne) vypnúť
    Ďalší článok
    Pomôžte používateľom počítača na diaľku pomocou programu TeamViewer
    Predchádzajúci článok
    Head Mounted Zobrazuje aký je rozdiel medzi rozšírenou a virtuálnou realitou?