Heartbleed обясни защо трябва да промените паролите си сега

Последният път, в който ви предупредихме за сериозно нарушение на сигурността, беше, когато базата данни на паролите на Adobe беше компрометирана, което изложи на риск милиони потребители (особено тези със слаби и често използвани повторно пароли). Днес ви предупреждаваме за много по-голям проблем със сигурността, Heartbleed Bug, който потенциално е компрометирал зашеметяващите 2/3 от защитените уебсайтове в интернет. Трябва да промените паролите си и трябва да започнете да го правите сега.

Важна забележка: How-To Geek не е засегната от тази грешка.

Какво е Heartbleed и защо е толкова опасно?

При типичните ви нарушения на сигурността изложени са потребителски записи / пароли на една фирма. Това е ужасно, когато се случи, но това е изолирана афера. Компанията X има пробив в сигурността, издава предупреждение на своите потребители и хората като нас напомнят на всички, че е време да започнат да практикуват добра хигиена на сигурността и да актуализират своите пароли. Тези, за съжаление, типични нарушения са достатъчно лоши. Heartbleed Bug е нещо много, много, по-лошо.

Heartbleed Bug подкопава самата схема за шифроване, която ни защитава, докато изпращаме имейли, банки и по друг начин взаимодействаме с уебсайтове, които смятаме за сигурни. Ето обикновеното английско описание на уязвимостта от Codenomicon, групата за сигурност, която е открила и предупредила обществеността за грешката:

Heartbleed Bug е сериозна уязвимост в популярната криптографска библиотека на OpenSSL. Тази слабост позволява кражба на защитена информация, при нормални условия, чрез SSL / TLS криптиране, използвано за защита на Интернет. SSL / TLS осигурява комуникационна сигурност и поверителност по интернет за приложения като уеб, електронна поща, незабавни съобщения (IM) и някои виртуални частни мрежи (VPN).

Грешката на Heartbleed позволява на всеки в Интернет да чете паметта на системите, защитени от уязвимите версии на софтуера OpenSSL. Това компрометира тайните ключове, използвани за идентифициране на доставчиците на услуги и за кодиране на трафика, имената и паролите на потребителите и действителното съдържание. Това позволява на нападателите да подслушват съобщения, да крадат данни директно от услугите и потребителите и да се представят за услуги и потребители.

Звучи доста зле, да? Звучи още по-лошо, когато разберете, че около две трети от всички сайтове, използващи SSL, използват тази уязвима версия на OpenSSL. Ние не говорим за малки сайтове като форуми за горещи пръти или сайтове за размяна на карти за игра, ние говорим за банки, компании за кредитни карти, големи търговци на дребно и доставчици на електронна поща. Още по-лошо е, че тази уязвимост е в дивата природа за около две години. Това е две години, когато някой с подходящи знания и умения би могъл да се възползва от идентификационните данни за вход и частните комуникации на услуга, която използвате (и, според тестовете, проведени от Codenomicon, да го направи без следа).

За още по-добра илюстрация на това как работи грешката на Heartbleed. прочетете този xkcd комикс.

Въпреки, че никоя група не е излязла, за да разяснява всички пълномощия и информация, които те извличат с експлоатата, в този момент в играта трябва да приемете, че данните за вход в уебсайтовете, които често посещавате, са компрометирани..

Какво да правя Публикация Heartbeed Bug

Всяко нарушение на сигурността с мнозинство (и това със сигурност отговаря на голям мащаб) изисква от вас да оцените практиките си за управление на паролите. Като се има предвид широкия обхват на Heartbleed Bug, това е идеална възможност да прегледате вече безпроблемна система за управление на пароли или, ако сте плъзгали краката си, да си създадете.

Преди да се потопите в незабавното променяне на вашите пароли, имайте предвид, че уязвимостта се променя само ако компанията е обновила новата версия на OpenSSL. Историята се сблъска в понеделник и ако се втурнахте незабавно да промените паролите си на всеки сайт, повечето от тях все още щяха да използват уязвимата версия на OpenSSL.

Сега, в средата на седмицата, повечето сайтове са започнали процеса на актуализиране и през уикенда е разумно да приемем, че повечето от популярните уебсайтове ще преминат през.

Можете да използвате контролера Heartbleed Bug тук, за да видите дали уязвимостта все още е отворена или дори ако сайтът не отговаря на заявки от гореспоменатия контролер, можете да използвате контролера за SSL датата на LastPass, за да видите дали съответният сървър е актуализирал Напоследък SSL сертификат (ако са го актуализирали след 4/7/2014, това е добър показател, че са променяли уязвимостта.)  Забележка: ако пускате howtogeek.com чрез програмата за проверка на грешки, ще се върне грешка, тъй като не използваме SSL криптиране, а също така проверихме, че нашите сървъри не изпълняват никакъв засегнат софтуер.

Въпреки това изглежда, че този уикенд се оформя като добър уикенд, за да получите сериозна информация за актуализирането на паролите. Първо, имате нужда от система за управление на паролите. Разгледайте нашето ръководство за започване на работа с LastPass, за да настроите една от най-сигурните и гъвкави възможности за управление на паролите. Не е нужно да използвате LastPass, но се нуждаете от някаква система, която ще ви позволи да проследявате и управлявате уникална и силна парола за всеки посещаван от вас уебсайт.

Второ, трябва да започнете да променяте паролите си. Схемата за управление на кризата в нашето ръководство, Как да се възстановим, след като паролата е нарушена, е чудесен начин да се гарантира, че няма да пропуснете пароли; също така подчертава основите на добрата хигиена на паролите, цитирана тук:

• Паролите винаги трябва да са по-дълги от минималната, която услугата позволява. Ако въпросната услуга ви позволява да въвеждате пароли от 6-20 знака, отидете за най-дългата парола, която можете да запомните.
• Не използвайте думи от речника като част от паролата си. Вашата парола трябва никога бъдете толкова прости, че бегъл сканиране с речников файл ще го разкрие. Никога не включвайте името си, част от данните за вход или имейл или други лесно разпознаваеми елементи, като името на фирмата или името на улицата. Също така избягвайте да използвате обикновени комбинации от клавиатури като „qwerty“ или „asdf“ като част от паролата си.
• Използвайте фрази вместо пароли. Ако не използвате мениджър на пароли, за да запомните наистина случайни пароли (да, осъзнаваме, че наистина се занимаваме с идеята за използване на мениджър на пароли), тогава можете да запомните по-силни пароли, като ги превърнете в фрази за достъп. За вашия акаунт в Amazon, например, можете да създадете лесно запомнящата се фраза "Обичам да чета книги" и след това да я преместя в парола като "! Luv2ReadBkz". Лесно е да се запомни и е доста силно.

Трето, винаги, когато е възможно, искате да активирате двуфакторното удостоверяване. Можете да прочетете повече за двуфакторното удостоверяване тук, но накратко ви позволява да добавите допълнителен слой за идентификация към вашия вход.

С Gmail, например, двуфакторното удостоверяване изисква да имате не само потребителско име и парола, но и достъп до мобилния телефон, регистриран в профила ви в Gmail, за да можете да приемете код за текстово съобщение, който да въведете, когато влезете от нов компютър.

С активирането на двуфакторната автентификация е много трудно за някой, който е получил достъп до потребителското ви име и парола (както биха могли с Heartbleed Bug), да влязат в действителност до профила ви.

Уязвимостите в сигурността, особено такива с такива дълбоки последици, никога не са забавни, но ни предлагат възможност да затегнем практиките си за пароли и да гарантираме, че уникалните и силни пароли пазят щетите, когато възникнат,.