Koduleht » kuidas » Heartbleed Explained Miks peate paroolid nüüd muutma

    Heartbleed Explained Miks peate paroolid nüüd muutma

    Viimane kord, kui teid hoiatasime olulise turvarikkumisega, oli Adobe'i paroolide andmebaasi kahjustamine, mistõttu ohustati miljoneid kasutajaid (eriti neid, kellel on nõrgad ja korduvkasutatavad paroolid). Täna hoiatame teid palju suurema julgeolekuprobleemiga - Heartbleed Bug'iga, mis on potentsiaalselt ohustanud hämmastavat 2/3 kolmandikku turvalistest veebisaitidest internetis. Te peate oma paroole muutma ja te peate seda kohe tegema.

    Tähtis märkus: see viga ei mõjuta seda, kuidas Geekit kasutada.

    Mis on südamlik ja miks see nii ohtlik?

    Teie tavapärasel turvarikkumisel on avatud ühe ettevõtte kasutajate andmed / paroolid. See on kohutav, kui see juhtub, kuid see on üksik asi. Ettevõttel X on turvarikkumine, nad annavad kasutajatele hoiatuse ja meie sarnased inimesed tuletavad kõigile meelde, et on aeg alustada heade hügieenide kasutamist ja paroolide uuendamist. Need on kahjuks tüüpilised rikkumised piisavalt halvad. Heartbleed Bug on midagi palju, palju, halvem.

    Heartbleed Bug õõnestab väga krüpteerimisskeemi, mis kaitseb meid e-posti, panga ja muul moel turvaliste veebisaitidega suhtlemisel. Siin on lihtsa inglise keele kirjeldus Codenomiconi, turvalisuse rühma, mis avastas ja hoiatas avalikkust vea eest, inglise keeles:

    Heartbleed Bug on tõsine haavatavus populaarses OpenSSL-i krüptograafilise tarkvara raamatukogus. See nõrkus võimaldab varastada tavalistes tingimustes kaitstud informatsiooni SSL / TLS krüpteerimisega, mida kasutatakse Interneti turvalisuse tagamiseks. SSL / TLS pakub internetis sideturvet ja privaatsust selliste rakenduste nagu veebi, e-posti, kiirsõnumite (IM) ja mõne virtuaalse privaatvõrgu (VPN) jaoks.

    Heartbleed'i viga võimaldab igaühel internetis lugeda OpenSSL tarkvara tundlike versioonidega kaitstud süsteemide mälu. See ohustab salajasi võtmeid, mida kasutatakse teenusepakkujate tuvastamiseks ja liikluse krüpteerimiseks, kasutajate nimesid ja paroole ning tegelikku sisu. See võimaldab ründajatel suhtlemisel varjata, varastada andmeid otse teenustest ja kasutajatest ning teenida teenuseid ja kasutajaid.

    See kõlab päris halb, jah? See kõlab veelgi hullem, kui mõistate, et umbes kaks kolmandikku kõigist SSL-i kasutavatest veebisaitidest kasutavad seda OpenSSLi haavatavat versiooni. Me ei räägi väikestest ajaplatvormidest nagu hot rod foorumid või laekuvad kaardimänguvahetus saidid, me räägime pankadest, krediitkaardifirmadest, suurematest e-jaemüüjatest ja e-posti pakkujatest. Veelgi hullem, see haavatavus on olnud looduses umbes kaks aastat. See on kaks aastat keegi, kellel on asjakohased teadmised ja oskused, oleks võinud kasutada teie kasutatava teenuse sisselogimisandmeid ja privaatset suhtlust (ning vastavalt Codenomiconi poolt läbi viidud testidele).

    Veelgi parem näide sellest, kuidas Heartbleed viga toimib. loe seda xkcd koomikat.

    Kuigi ükski grupp ei ole välja pakkunud kõiki volitusi ja teavet, mida nad ära kasutasid, tuleb selles mängu hetkel eeldada, et teie poolt külastatavate veebisaitide sisselogimisandmed on ohustatud.

    Mida teha Post Heartbleed Bug

    Igasugune enamus turvarikkumisest (ja see vastab kindlasti suurele skaalale) nõuab, et te hindaksite oma paroolide haldamise tavasid. Arvestades Heartbleed Bugi laiaulatuslikku ulatust, on see suurepärane võimalus vaadata läbi juba sujuvalt toimiva paroolihaldussüsteemi või, kui olete oma jalgu lohistanud, seadistama.

    Enne paroolide vahetust muutmist peate teadma, et haavatavus on ainult paigal, kui ettevõte on uuendatud OpenSSLi uuele versioonile. Lugu murdis esmaspäeval, ja kui sa kiirustasid paroolide kohest muutmist igal saidil, on enamik neist ikkagi käimas OpenSSLi haavatav versioon.

    Nüüd, nädala keskel, on enamik saite uuendamise protsessi alustanud ja nädalavahetusel on mõistlik eeldada, et enamik kõrge profiiliga veebisaite on üle läinud.

    Siin saate kasutada Heartbleed Bugi kontrollijat, et näha, kas haavatavus on veel avatud või isegi kui sait ei vasta ülalnimetatud kontrolleri päringutele, saate kasutada LastPass'i SSL-i kuupäevakontrolli, et näha, kas kõnealune server on värskendanud oma SSL-sertifikaat hiljuti (kui nad värskendasid seda pärast 4/7/2014, on see hea näitaja, et nad on haavatavuse parandanud.)  Märge: kui käivitate veadarkeri kaudu howtogeek.com, tagastab see vea, sest me ei kasuta SSL-krüpteerimist kõigepealt ja oleme veendunud ka, et meie serverid ei tööta mingit mõjutatud tarkvara.

    See näib, et see nädalavahetus on kujunemas hea nädalavahetuseks, et saada tõsiseid paroolide värskendusi. Esiteks vajate parooli haldamise süsteemi. Tutvuge LastPassiga alustamise juhendiga, et luua üks kõige turvalisematest ja paindlikumatest paroolihalduse valikutest. Te ei pea kasutama LastPass'i, kuid teil on vaja mingisugust süsteemi, mis võimaldab teil jälgida ja hallata iga külastatava veebisaidi unikaalset ja tugevat parooli.

    Teiseks peate alustama paroolide muutmist. Kriisijuhtimise ülevaade meie juhendis, Kuidas taastada pärast e-posti parooli kahjustamist, on suurepärane võimalus tagada, et te ei jätaks ühtegi parooli; see tõstab esile ka parooli hügieeni põhialuseid, mida tsiteeritakse siin:

    • Paroolid peaksid alati olema pikemad kui minimaalne teenus võimaldab. Kui kõnealune teenus võimaldab 6-20 tähemärki paroole, minge kõige pikema salasõna juurde.
    • Ärge kasutage sõnastiku sõnu oma parooli osana. Teie parool peaks olema mitte kunagi olge nii lihtne, et see avastaks sõnastikufailiga läbiva skannimise. Ärge kunagi lisage oma nime, sisselogimise või e-posti osa ega muid kergesti tuvastatavaid objekte, nagu teie ettevõtte nimi või tänava nimi. Samuti ärge kasutage parooli osana tavalisi klaviatuurikombinatsioone nagu „qwerty“ või „asdf”.
    • Kasutage paroolide asemel paroole. Kui te ei kasuta paroolihaldurit, et mäletada tõeliselt juhuslikke paroole (jah, me mõistame, et me oleme tõesti paroolihalduri kasutamise idee kohta), siis võite meeles pidada paremaid paroole, muutes need paroolideks. Teie Amazon konto jaoks võiksite näiteks luua kergesti meeldejääva parooli: "Ma armastan lugeda raamatuid" ja seejärel lõhkuda selle parooliga nagu "! Luv2ReadBkz". Seda on lihtne meeles pidada ja see on üsna tugev.

    Kolmandaks soovite võimaluse korral lubada kahefaktorilise autentimise. Kahe teguri autentimise kohta saate lugeda siit, kuid lühidalt võimaldab teil lisada oma sisselogimisele täiendava identifitseerimiskihi.

    Näiteks Gmaili puhul eeldab kahe faktoriga autentimine, et teil ei ole vaja ainult oma kasutajatunnust ja parooli, vaid juurdepääsu Gmaili kontole registreeritud mobiiltelefonile, et saaksite uue arvutiga sisselogimisel sisestada tekstsõnumi koodi..

    Kahe teguriga autentimise võimaldamisel on väga raske, et keegi, kes on saanud juurdepääsu teie sisselogimisele ja paroolile (nagu nad võiksid olla Heartbleed Bugiga), pääseksid teie kontole tegelikult juurde.

    Turvalisuse nõrgad kohad, eriti sellised, millel on nii kaugeleulatuvad tagajärjed, ei ole kunagi lõbusad, kuid pakuvad meile võimaluse paroolipraktika karmistamiseks ja selle tagamiseks, et unikaalsed ja tugevad paroolid hoiaksid kahju, kui see esineb.

    Aita hoida lapsi turvaliselt internetis KidZui'ga
    Aidake hoida oma arvutit kaitstud Trend Micro tasuta tööriistadega
    HDTV ülejooks, mis see on ja miks peaksite (tõenäoliselt) välja lülitama
    Järgmine artikkel
    Abi arvutikasutajatel TeamVieweriga eemalt
    Eelmine artikkel
    Head Mounted Näitab, milline on erinevus laiendatud ja virtuaalse reaalsuse vahel?