Heartbleed Forklart hvorfor du trenger å endre passordene dine nå
Den siste gangen vi varslet deg om et større sikkerhetsbrudd var det at Adobe's passorddatabase ble kompromittert, og satt i fare for millioner av brukere (spesielt de med svake og ofte gjenbrukte passord). I dag advarer vi deg om et mye større sikkerhetsproblem, Heartbleed Bug, som potensielt har kompromittert en svimlende 2 / 3rds av de sikre nettstedene på internett. Du må endre passordene dine, og du må begynne å gjøre det nå.
Viktig merknad: How-To Geek påvirkes ikke av denne feilen.
Hva er Heartbleed og hvorfor er det så farlig?
I ditt typiske sikkerhetsbrudd blir et enkelt selskaps brukerdata / passord eksponert. Det er forferdelig når det skjer, men det er en isolert affære. Selskapet X har et sikkerhetsbrudd, de utsteder en advarsel til brukerne, og folk som oss påminner alle om at det er på tide å begynne å praktisere god sikkerhetshygiene og oppdatere passordene sine. De, dessverre, typiske brudd er dårlige nok som det er. The Heartbleed Bug er noe mye, mye, verre.
Heartbleed Bug undergraver selve krypteringsskjemaet som beskytter oss mens vi e-post, bank og på annen måte samhandler med nettsteder som vi mener er sikre. Her er en vanlig engelsk beskrivelse av sikkerhetsproblemet fra Codenomicon, sikkerhetsgruppen som oppdaget og varslet publikum til feilen:
Heartbleed Bug er et alvorlig sårbarhet i det populære OpenSSL kryptografiske programvarebiblioteket. Denne svakheten gjør det mulig å stjele informasjonen som er beskyttet, under normale forhold, ved hjelp av SSL / TLS-kryptering som brukes til å sikre Internett. SSL / TLS gir kommunikasjonssikkerhet og personvern over Internett for applikasjoner som web, e-post, direktemeldinger (IM) og enkelte virtuelle private nettverk (VPN).
Heartbleed-feilen gjør det mulig for alle på Internett å lese minnet om systemene som er beskyttet av de sårbare versjonene av OpenSSL-programvaren. Dette kompromitterer de hemmelige nøklene som brukes til å identifisere tjenesteleverandørene og kryptere trafikken, navnene og passordene til brukerne og det faktiske innholdet. Dette tillater angripere å avlyse på kommunikasjon, stjele data direkte fra tjenestene og brukerne, og å etterligne tjenester og brukere.
Det høres ganske dårlig ut, ja? Det høres enda verre ut når du skjønner om lag to tredjedeler av alle nettsteder som bruker SSL bruker denne sårbare versjonen av OpenSSL. Vi snakker ikke små tidssider som hot rod forums eller samlebare kortspill bytte nettsteder, vi snakker banker, kredittkortselskaper, store e-forhandlere og e-postleverandører. Enda verre, har dette sårbarheten vært i naturen i rundt to år. Det er to år kan noen med riktig kunnskap og ferdigheter ha tappet inn på påloggingsinformasjonen og privatkommunikasjonen til en tjeneste du bruker (og ifølge testen utført av Codenomicon, gjør du det uten spor).
For en enda bedre illustrasjon av hvordan Heartbleed-feilen virker. les denne xkcd tegneserien.
Selv om ingen gruppe har kommet frem for å flaunt alle legitimasjonene og informasjonen de siphoned opp med utnyttelsen, på dette tidspunktet i spillet må du anta at innloggingsinformasjonen for nettsidene du hyppig har blitt kompromittert.
Hva gjør du etter Heartbleed Bug
Ethvert flertalls sikkerhetsbrudd (og dette absolutt kvalifiseres i stor skala) krever at du vurderer passordhåndteringspraksis. Gitt den brede rekkevidden til Heartbleed Bug er dette en perfekt mulighet til å gjennomgå et allerede løpende passordstyringssystem eller, hvis du har draget føttene, for å sette opp en.
Før du dykker inn umiddelbart å endre passordene dine, vær oppmerksom på at sikkerhetsproblemet bare er oppdatert hvis selskapet har oppgradert til den nye versjonen av OpenSSL. Historien brøt på mandag, og hvis du rushed ut for å umiddelbart endre passordene dine på hvert nettsted, ville de fleste av dem fortsatt ha kjørt den sårbare versjonen av OpenSSL.
Nå, midt i uken, har de fleste nettstedene begynt prosessen med å oppdatere og i helgen er det rimelig å anta at flertallet av profilerte nettsteder vil ha byttet over.
Du kan bruke Heartbleed Bug-kontrolløren her for å se om sikkerhetsproblemet er åpen, eller, selv om nettstedet ikke svarer på forespørsler fra den nevnte kontrolløren, kan du bruke LastPass SSL-datokontroller for å se om den aktuelle serveren har oppdatert sine SSL-sertifikat nylig (hvis de oppdaterte det etter 4/7/2014, er det en god indikator på at de har oppdatert sikkerhetsproblemet.) Merk: hvis du kjører howtogeek.com gjennom feilkontrollen, vil det returnere en feil fordi vi ikke bruker SSL-kryptering i utgangspunktet, og vi har også bekreftet at våre servere ikke kjører noen berørt programvare.
Når det er sagt, ser det ut til at denne helgen skaper en god helg for å bli seriøs om å oppdatere passordene dine. Først trenger du et passordstyringssystem. Ta en titt på vår guide for å komme i gang med LastPass for å sette opp et av de mest sikre og fleksible passordstyringsalternativene rundt. Du trenger ikke å bruke LastPass, men du trenger en form for system som lar deg spore og administrere et unikt og sterkt passord for hvert nettsted du besøker.
For det andre må du begynne å endre passordene dine. Krisestyringsoversikten i vår guide, Hvordan gjenopprette etter at passordet ditt er kompromittert, er en fin måte å sikre at du ikke går glipp av passord; det fremhever også grunnleggende om god passordhygiene, sitert her:
- Passord skal alltid være lengre enn det minimum tjenesten tillater. Hvis den aktuelle tjenesten tillater 6-20 tegn passord, gå til det lengste passordet du kan huske.
- Ikke bruk ordlisteord som en del av passordet ditt. Ditt passord skal aldri vær så enkelt at en oversiktlig skanning med en ordlistefil vil avsløre den. Ikke ta med navnet ditt, en del av påloggingen eller e-posten, eller andre lett identifiserbare elementer som firmaets navn eller gatenavn. Unngå også å bruke vanlige tastaturkombinasjoner som "qwerty" eller "asdf" som en del av passordet ditt.
- Bruk passord i stedet for passord. Hvis du ikke bruker en passordbehandling for å huske virkelig tilfeldige passord (ja, vi skjønner at vi virkelig har harp på ideen om å bruke en passordbehandling), så kan du huske sterkere passord ved å slå dem inn i passord. For din Amazon-konto, for eksempel, kan du opprette det lett å huske passordet "Jeg elsker å lese bøker" og deretter knase det inn i et passord som "! Luv2ReadBkz". Det er lett å huske og det er ganske sterkt.
For det tredje, når det er mulig, vil du aktivere tofaktorautentisering. Du kan lese mer om tofaktorautentisering her, men kort sagt, det lar deg legge til et ekstra lag med identifikasjon til innlogging.
Med Gmail krever for eksempel tofaktorautentisering at du ikke bare har innlogging og passord, men tilgang til mobiltelefonen registrert på Gmail-kontoen din, slik at du kan godta en tekstmeldingskode som skal legges inn når du logger deg inn fra en ny datamaskin.
Med tofaktorautentisering aktivert gjør det det svært vanskelig for noen som har fått tilgang til innlogging og passord (som de kunne med Heartbleed Bug) for å få tilgang til kontoen din.
Sikkerhetsproblemer, spesielt de med så vidtgående implikasjoner, er aldri morsomme, men de gir oss mulighet til å stramme våre passordpraksis og sikre at unike og sterke passord holder skaden, når den oppstår, inneholdt.