Główna » jak » Wyjaśnienie Heartbleed Dlaczego musisz zmienić swoje hasła teraz

    Wyjaśnienie Heartbleed Dlaczego musisz zmienić swoje hasła teraz

    Ostatnim razem, gdy ostrzegaliśmy cię o poważnym naruszeniu bezpieczeństwa, nastąpiło włamanie do bazy danych haseł Adobe, co zagroziło milionom użytkowników (szczególnie tych, którzy mają słabe i często ponownie używane hasła). Dzisiaj ostrzegamy Cię przed znacznie większym problemem bezpieczeństwa, Heartbleed Bug, który potencjalnie naruszył oszałamiające 2/3 bezpiecznych witryn internetowych. Musisz zmienić swoje hasła i musisz zacząć robić to teraz.

    Ważna uwaga: ten błąd nie dotyczy programu How-To Geek.

    Co jest Heartbleed i dlaczego jest tak niebezpieczne?

    W typowym naruszeniu bezpieczeństwa dane użytkownika / hasła jednej firmy są ujawnione. To okropne, kiedy to się dzieje, ale to odosobniona sprawa. Firma X ma naruszenie bezpieczeństwa, wydaje ostrzeżenie swoim użytkownikom, a ludzie tacy jak my przypominają wszystkim, że nadszedł czas, aby zacząć ćwiczyć dobrą higienę bezpieczeństwa i aktualizować swoje hasła. Te, niestety, typowe naruszenia są wystarczająco złe, jak to jest. Heartbleed Bug to coś znacznie, dużo, gorzej.

    The Heartbleed Bug podważa sam system szyfrowania, który chroni nas podczas wysyłania e-maili, bankowości i innych interakcji z witrynami, które uważamy za bezpieczne. Oto zwykły angielski opis usterki od Codenomicon, grupy bezpieczeństwa, która odkryła i powiadomiła społeczeństwo o błędzie:

    The Heartbleed Bug to poważna luka w popularnej bibliotece oprogramowania kryptograficznego OpenSSL. Ta słabość umożliwia kradzież informacji chronionych, w normalnych warunkach, za pomocą szyfrowania SSL / TLS używanego do zabezpieczenia Internetu. SSL / TLS zapewnia bezpieczeństwo komunikacji i prywatność w Internecie dla aplikacji takich jak Internet, poczta e-mail, komunikatory internetowe (IM) i niektóre wirtualne sieci prywatne (VPN).

    Błąd Heartbleed pozwala każdemu w Internecie na odczytanie pamięci systemów chronionych przez wrażliwe wersje oprogramowania OpenSSL. Spowoduje to złamanie tajnych kluczy używanych do identyfikacji dostawców usług i szyfrowania ruchu, nazw i haseł użytkowników oraz rzeczywistej zawartości. Umożliwia to intruzom podsłuchiwanie komunikacji, wykradanie danych bezpośrednio z usług i użytkowników oraz podszywanie się pod usługi i użytkowników.

    To brzmi nieźle, tak? To brzmi jeszcze gorzej, gdy zdajemy sobie sprawę, że około dwie trzecie wszystkich stron korzystających z SSL używa tej wrażliwej wersji OpenSSL. Nie mówimy o witrynach typu "hot time", takich jak fora hot rod czy kolekcjonerskie witryny z grami karcianymi, mówimy o bankach, firmach obsługujących karty kredytowe, dużych sklepach internetowych i dostawcach poczty e-mail. Co gorsza, ta luka istnieje od około dwóch lat. To dwa lata, gdy ktoś dysponujący odpowiednią wiedzą i umiejętnościami mógłby wykorzystać dane logowania i prywatną komunikację usługi, z której korzystasz (i, zgodnie z testami przeprowadzonymi przez Codenomicon, robiąc to bez śladu).

    Dla jeszcze lepszej ilustracji, jak działa błąd Heartbleed. przeczytaj ten komiks xkcd.

    Mimo że żadna grupa nie zgłosiła się do wszystkich danych uwierzytelniających i informacji, które wyssali z exploitem, w tym momencie gry musisz założyć, że dane logowania do często odwiedzanych stron internetowych zostały naruszone..

    Co należy zrobić Post Heartbleed Bug

    Każde naruszenie bezpieczeństwa większości (a to z pewnością kwalifikuje się na wielką skalę) wymaga oceny praktyk zarządzania hasłami. Biorąc pod uwagę szeroki zasięg Heartbleed Bug, jest to doskonała okazja, aby przejrzeć już sprawnie działający system zarządzania hasłami lub, jeśli podnosisz stopy, aby ustawić jeden z nich.

    Zanim przystąpisz do natychmiastowej zmiany haseł, pamiętaj, że luka jest łatana tylko wtedy, gdy firma przeszła na nową wersję OpenSSL. Opowiadanie zepsuło się w poniedziałek, a jeśli zdecydowałeś się natychmiast zmienić hasła w każdej witrynie, większość z nich wciąż działałaby na podatną wersję OpenSSL.

    Teraz, w połowie tygodnia, większość witryn rozpoczęła proces aktualizacji, a do weekendu można założyć, że większość popularnych witryn internetowych przełączy się.

    Możesz użyć sprawdzania Heartbleed Bug tutaj, aby sprawdzić, czy luka jest nadal otwarta, lub nawet jeśli strona nie odpowiada na żądania od wspomnianego kontrolera, możesz użyć sprawdzania daty SSL LastPass, aby sprawdzić, czy dany serwer zaktualizował swoją Ostatnio certyfikat SSL (jeśli zaktualizował go po 4/7/2014, jest dobrym wskaźnikiem, że naprawił lukę.)  Uwaga: jeśli uruchomisz howtogeek.com przez narzędzie do sprawdzania błędów, zwróci to błąd, ponieważ w pierwszej kolejności nie korzystamy z szyfrowania SSL, a także sprawdziliśmy, że nasze serwery nie działają pod wpływem oprogramowania.

    To powiedziawszy, wygląda na to, że ten weekend ukształtuje się na dobry weekend, aby poważnie traktować aktualizowanie haseł. Najpierw potrzebujesz systemu zarządzania hasłami. Zapoznaj się z naszym przewodnikiem na temat korzystania z LastPass, aby skonfigurować jedną z najbardziej bezpiecznych i elastycznych opcji zarządzania hasłami. Nie musisz używać LastPass, ale potrzebujesz jakiegoś systemu, który pozwoli Ci śledzić i zarządzać unikatowym i silnym hasłem dla każdej odwiedzanej witryny.

    Po drugie, musisz zacząć zmieniać swoje hasła. Konspekt dotyczący zarządzania kryzysowego w naszym przewodniku, How to Recover, po tym, jak Twoje hasło do e-maila zostało zaatakowane, to świetny sposób, aby nie przegapić żadnych haseł; Podkreśla także podstawy dobrej higieny haseł, cytowane tutaj:

    • Hasła powinny zawsze być dłuższe niż minimum, na które pozwala serwis. Jeśli dana usługa zezwala na hasła o długości 6-20 znaków, wybierz najdłuższe hasło, które możesz zapamiętać.
    • Nie używaj słów ze słownika jako części hasła. Twoje hasło powinno nigdy być tak proste, że wyskakuje z niego pobieżny skan z plikiem słownika. Nigdy nie podawaj swojego nazwiska, części loginu lub adresu e-mail ani innych łatwych do zidentyfikowania elementów, takich jak nazwa firmy lub nazwa ulicy. Należy również unikać używania typowych kombinacji klawiszy, takich jak "qwerty" lub "asdf" jako części hasła.
    • Używaj haseł zamiast haseł. Jeśli nie używasz menedżera haseł do zapamiętania naprawdę przypadkowych haseł (tak, zdajemy sobie sprawę, że naprawdę wmawiamy sobie o pomysł użycia menedżera haseł), możesz zapamiętać mocniejsze hasła, zamieniając je w hasła. Na przykład dla konta Amazon możesz utworzyć łatwe do zapamiętania hasło "Kocham czytać książki", a następnie skreślić je w haśle takim jak "! Luv2ReadBkz". Jest łatwy do zapamiętania i jest dość silny.

    Po trzecie, w miarę możliwości włącz uwierzytelnianie dwuskładnikowe. Możesz przeczytać więcej o uwierzytelnianiu dwuskładnikowym tutaj, ale w skrócie pozwala to na dodanie dodatkowej warstwy identyfikacyjnej do twojego loginu.

    Na przykład w Gmailu uwierzytelnianie dwuskładnikowe wymaga nie tylko loginu i hasła, ale także dostępu do telefonu komórkowego zarejestrowanego na koncie Gmail, dzięki czemu można zaakceptować kod wiadomości tekstowej, który należy wprowadzić po zalogowaniu się z nowego komputera.

    Dzięki włączeniu uwierzytelniania dwuskładnikowego bardzo trudno jest komuś, kto uzyskał dostęp do Twojego loginu i hasła (tak jak w przypadku Heartbleed Bug), aby uzyskać dostęp do konta.


    Luki w zabezpieczeniach, szczególnie te, które mają tak daleko idące konsekwencje, nigdy nie są zabawne, ale dają nam możliwość zaostrzenia naszych praktyk dotyczących haseł i zapewnienia, że ​​unikalne i mocne hasła utrzymają szkody, gdy się pojawią..