Heartbleed пояснив, чому потрібно змінити паролі зараз
Останній раз, коли ми попередили вас про серйозний порушення безпеки, це було, коли була скомпрометована база даних паролів Adobe, що поставило під загрозу мільйони користувачів (особливо тих, які мають слабкі та часто повторно використовувані паролі). Сьогодні ми попереджаємо вас про набагато більшу проблему безпеки - Heartbleed Bug, яка потенційно скомпрометувала приголомшливі 2/3 захищених веб-сайтів в Інтернеті. Вам потрібно змінити паролі, і ви повинні почати це зараз.
Важливе зауваження: Ця помилка не впливає на Geek.
Що таке Heartbleed і чому це так небезпечно?
У вашому типовому порушенні безпеки відкриваються записи користувачів / паролі для однієї компанії. Це жахливо, коли це відбувається, але це ізольована справа. Компанія X має порушення безпеки, вони видають попередження своїм користувачам, і люди, як ми, нагадують кожному, що настав час розпочати практику гігієни безпеки та оновити свої паролі. Ті, на жаль, типові порушення достатньо погані. Heartbleed Bug - це багато чого, багато, гірше.
Heartbleed Bug підриває саму схему шифрування, яка захищає нас, коли ми надсилаємо електронну пошту, банку та іншим чином взаємодіємо з веб-сайтами, які, на нашу думку, є безпечними. Ось звичайний англійський опис уразливості Codenomicon, групи безпеки, яка виявила та сповістила громадськість про помилку:
Heartbleed Bug є серйозною вразливістю в популярній криптографічній бібліотеці OpenSSL. Ця слабкість дозволяє крадіжку захищеної інформації за нормальних умов за допомогою шифрування SSL / TLS, що використовується для захисту Інтернету. SSL / TLS забезпечує безпеку зв'язку та конфіденційність через Інтернет для таких програм, як веб, електронна пошта, миттєві повідомлення (IM) та деякі віртуальні приватні мережі (VPN).
Помилка Heartbleed дозволяє будь-кому в Інтернеті читати пам'ять систем, захищених уразливими версіями програмного забезпечення OpenSSL. Це підриває секретні ключі, що використовуються для ідентифікації постачальників послуг і шифрування трафіку, імен і паролів користувачів і фактичного змісту. Це дозволяє зловмисникам підслуховувати комунікації, красти дані безпосередньо від служб і користувачів, а також видавати послуги та користувачів.
Це звучить досить погано, так? Це звучить ще гірше, коли ви розумієте, що приблизно дві третини всіх веб-сайтів, що використовують SSL, використовують цю вразливу версію OpenSSL. Ми не говоримо про невеликі сайти часу, такі як форуми з гарячим стрижнем або сайти зі змінними картковими іграми, ми говоримо про банки, компанії з кредитних карток, про великих роздрібних продавців електронної пошти та про постачальників електронної пошти. Ще гірше, ця вразливість була в дикій природі близько двох років. Це два роки, коли хтось з відповідними знаннями та навичками міг би входити до облікових даних для входу та приватних комунікацій використовуваної служби (і, згідно тестування, проведеного Codenomicon, робити це без сліду).
Для ще кращої ілюстрації того, як працює помилка Heartbleed. прочитати цей комікс xkcd.
Хоча жодна група не виступає, щоб виставляти напоказ всі облікові дані та інформацію, яку вони витягують з експлуататом, на цьому етапі гри ви повинні припустити, що реєстраційні дані для веб-сайтів, які ви часто зустрічаєте, були скомпрометовані..
Що робити Повідомлення Heartbeed Bug
Будь-яке порушення безпеки більшості (і це, безумовно, кваліфікується у великому масштабі) вимагає від вас оцінити ваші практики керування паролями. Враховуючи широкий діапазон серцевих помилок, це ідеальна можливість для перегляду вже плавної системи керування паролями або, якщо ви перетягуєте ноги, встановити її.
Перш ніж зануритися у зміну паролів, пам'ятайте, що ця уразливість лише виправлена, якщо компанія оновилася до нової версії OpenSSL. Історія вийшла в понеділок, і якщо ви кинулися негайно змінювати паролі на кожному сайті, більшість з них все одно б працювала вразливою версією OpenSSL.
Зараз, у середині тижня, більшість сайтів розпочали процес оновлення і до вихідних вважати за доцільне припустити, що більшість популярних веб-сайтів перемикаються.
Ви можете використовувати перевірку помилок Heartbleed тут, щоб переконатися, що ця уразливість ще відкрита, або навіть якщо сайт не відповідає на запити вищезазначеної перевірки, ви можете скористатися перевіркою SSL-дат на LastPass, щоб перевірити, чи оновлюється цей сервер Нещодавно SSL-сертифікат (якщо вони оновилися після 4/7/2014, це хороший показник того, що вони усунули вразливість.) Примітка: якщо ви запускаєте howtogeek.com через перевірку помилок, він поверне помилку, оскільки ми не використовуємо шифрування SSL, і також перевірили, що наші сервери не використовують жодного програмного забезпечення.
Тим не менш, схоже, що ці вихідні формуються, щоб бути гарним вихідним, щоб серйозно ставитися до оновлення паролів. По-перше, потрібна система керування паролями. Ознайомтеся з нашим керівництвом для початку роботи з LastPass, щоб налаштувати один з найбільш безпечних і гнучких варіантів керування паролями. Вам не потрібно використовувати LastPass, але вам потрібна якась система, яка дозволить вам відстежувати і керувати унікальним і надійним паролем для кожного веб-сайту, який ви відвідуєте.
По-друге, потрібно почати змінювати паролі. План управління кризою в нашому керівництві, Як відновити свій пароль після компромісу, є відмінним способом гарантувати, що ви не пропустите жодного пароля; він також підкреслює основи гарної гігієни паролів, наведеної тут:
- Паролі завжди повинні бути довшими, ніж мінімум, який дозволяє служба. Якщо сервіс, про який йде мова, дає змогу вводити паролі на 6-20 символів, вибирайте найдовший пароль, який ви можете запам'ятати.
- Не використовуйте слова словника як частину пароля. Ваш пароль має бути ніколи бути таким простим, що поверхневе сканування з файлом словника відкриє його. Ніколи не вказуйте своє ім'я, частину входу або електронну пошту чи інші легко розпізнавані елементи, наприклад назву вашої компанії чи назву вулиці. Також не використовуйте загальні комбінації клавіатури, наприклад "qwerty" або "asdf" як частину пароля.
- Використовуйте фрази замість паролів. Якщо ви не використовуєте менеджер паролів, щоб запам'ятати дійсно випадкові паролі (так, ми розуміємо, що ми насправді використовуємо ідею використання менеджера паролів), тоді ви можете запам'ятати сильніші паролі, перетворюючи їх у фрази. Наприклад, для вашого облікового запису Amazon можна створити легко запам'ятовуючий пароль "Я люблю читати книги", а потім передати його в пароль типу "! Luv2ReadBkz". Це легко запам'ятати, і це досить сильно.
По-третє, по можливості потрібно включити двофакторну аутентифікацію. Докладніше про двофакторну аутентифікацію ви можете прочитати тут, але коротше, це дозволяє додати додатковий рівень ідентифікації до вашого входу.
З Gmail, наприклад, двофакторна аутентифікація вимагає, щоб ви мали не тільки логін та пароль, а й доступ до мобільного телефону, зареєстрованого на вашому обліковому записі Gmail, щоб ви могли прийняти код текстового повідомлення для введення, коли ви входите з нового комп'ютера.
Якщо ввімкнено двофакторну аутентифікацію, для тих, хто отримав доступ до вашого логіну та пароля (як це можливо з Heartbleed Bug), дуже важко отримати доступ до вашого облікового запису.
Уразливості безпеки, особливо такі, що мають такі далекосяжні наслідки, ніколи не бувають цікавими, але вони дають нам можливість посилити практику використання паролів і забезпечити, щоб унікальні та міцні паролі зберігали пошкодження, коли це відбувається,.