Pēdējā brīdī, kad mēs brīdinājām jūs par lielu drošības pārkāpumu, tika apdraudēta Adobe paroļu datu bāze, un miljoniem lietotāju (jo īpaši tiem, kuriem ir vājas un bieži vien atkārtoti izmantotas paroles) ir apdraudēta. Šodien mēs brīdinām jūs par daudz lielāku drošības problēmu - Heartbleed Bug, kas ir potenciāli apdraudējusi satriecošas 2/3 vietnes drošās tīmekļa vietnēs internetā. Jums ir jāmaina sava parole, un jums tas jādara jau tagad.
Svarīga piezīme: šī kļūda neietekmē How-To Geek.
Jūsu tipiskajā drošības pārkāpumā tiek atklāti viena uzņēmuma lietotāja ieraksti / paroles. Tas ir šausmīgi, kad tas notiek, bet tas ir izolēts lieta. Uzņēmumam X ir drošības pārkāpums, viņi brīdina savus lietotājus, un cilvēki, kuri tāpat kā mūs, visiem atgādina, ka ir laiks sākt īstenot labu drošības higiēnu un atjaunināt viņu paroles. Diemžēl tipiski pārkāpumi ir pietiekami slikti, kā tas ir. Heartbleed Bug ir kaut kas daudz,daudz sliktāk.
Heartbleed Bug mazina ļoti šifrēšanas shēmu, kas aizsargā mūs, kamēr mēs e-pastu, banku un citādi mijiedarbojamies ar vietnēm, kuras, mūsuprāt, ir drošas. Šeit ir vienkāršs-angļu apraksts par ievainojamību no Codenomicon, drošības grupas, kas atklāja un brīdināja sabiedrību par kļūdu:
Heartbleed Bug ir nopietna ievainojamība populārajā OpenSSL kriptogrāfijas programmatūras bibliotēkā. Šis vājums ļauj parastos apstākļos aizsargātās informācijas zādzību ar SSL / TLS šifrēšanu, ko izmanto interneta aizsardzībai. SSL / TLS nodrošina sakaru drošību un privātumu internetā tādām lietojumprogrammām kā tīmekļa, e-pasts, tūlītējās ziņojumapmaiņas (IM) un daži virtuālie privātie tīkli (VPN).
Heartbleed kļūda ļauj ikvienam internetā lasīt atmiņu par sistēmām, kuras aizsargā neaizsargātās OpenSSL programmatūras versijas. Tas apdraud slepenās atslēgas, ko izmanto pakalpojumu sniedzēju identificēšanai un satiksmes šifrēšanai, lietotāju nosaukumiem un parolēm un faktiskajam saturam. Tas ļauj uzbrucējiem pārtvert saziņu, nozagt datus tieši no pakalpojumiem un lietotājiem, kā arī uzdoties par pakalpojumiem un lietotājiem.
Tas izklausās diezgan slikti, jā? Tas izklausās vēl sliktāk, ja jūs saprotat, ka apmēram divas trešdaļas no visām vietnēm, kurās tiek izmantots SSL, izmanto šo neaizsargāto OpenSSL versiju. Mēs nerunājam par mazām vietnēm, piemēram, karsto stieņu forumiem vai kolekcionējamu karšu spēļu mijmaiņas vietnēm, mēs runājam par bankām, kredītkaršu uzņēmumiem, lielākajiem e-mazumtirgotājiem un e-pasta pakalpojumu sniedzējiem. Vēl sliktāk, šī neaizsargātība ir bijusi savvaļā aptuveni divus gadus. Tieši divus gadus kāds ar atbilstošām zināšanām un prasmēm varētu būt izmantojis izmantojamā pakalpojuma pieslēgšanās akreditācijas datus un privātos sakarus (un saskaņā ar Codenomicon veiktajām pārbaudēm, to darot bez pēdām).
Lai vēl labāk ilustrētu to, kā darbojas Heartbleed bug. izlasiet šo xkcd komiksu.
Lai arī neviena grupa nav spējusi pārsteigt visus akreditācijas datus un informāciju, ko viņi sifononēja ar ekspluatāciju, šajā spēļu brīdī jums jāuzskata, ka biežāk sastopamo tīmekļa vietņu pieteikšanās akreditācijas dati ir bijuši apdraudēti.
Jebkurš vairākums drošības pārkāpumu (un tas, protams, atbilst liela mēroga prasībām), prasa novērtēt paroles pārvaldības praksi. Ņemot vērā Heartbleed Bug plašo sasniedzamību, tā ir lieliska iespēja pārskatīt jau vienmērīgu paroles vadības sistēmu vai, ja jūs esat velkot kājas, iestatīt vienu augšup.
Pirms peldieties uzreiz, mainot paroles, ņemiet vērā, ka ievainojamība tiek labota tikai tad, ja uzņēmums ir jauninājis jauno OpenSSL versiju. Pirmdiena nojauca stāstu, un, ja jūs steidzās nekavējoties mainīt paroles katrā vietnē, lielākā daļa no tām vēl arvien būtu izmantojuši neaizsargāto OpenSSL versiju.
Tagad, nedēļas vidū, lielākā daļa vietņu ir sākušas atjaunināšanas procesu un līdz nedēļas nogale ir pamatoti uzskatīt, ka vairums augsta līmeņa tīmekļa vietņu būs pārslēgti.
Varat šeit izmantot Heartbleed Bug Checker, lai redzētu, vai neaizsargātība joprojām ir atvērta vai, pat ja vietne nereaģē uz pieprasījumiem no iepriekšminētā pārbaudītāja, varat izmantot LastPass SSL datuma pārbaudītāju, lai redzētu, vai attiecīgais serveris ir atjauninājis savu Nesen (ja viņi to atjaunināja pēc 2014. gada 4. jūlija, tas ir labs rādītājs, ka viņi ir izgājuši neaizsargātību.)Piezīme: ja jūs, izmantojot kļūdu pārbaudītāju, palāsīsiet waytogeek.com, tā atgriež kļūdu, jo mēs vispirms neizmanto SSL šifrēšanu, un mēs esam arī pārliecinājušies, ka mūsu serveros netiek izmantota neviena ietekmētā programmatūra.
Tas nozīmē, ka izskatās, ka šīs nedēļas nogales veidošana ir laba nedēļas nogale, lai nopietni apskatītu paroles. Pirmkārt, jums ir nepieciešama paroles vadības sistēma. Apmeklējiet mūsu ceļvedi, lai sāktu darbu ar LastPass, lai iestatītu vienu no drošākajām un elastīgākajām paroles pārvaldības iespējām. Jums nav jāizmanto LastPass, bet jums ir nepieciešama sava veida sistēma, kas ļaus jums izsekot un pārvaldīt unikālu un drošu paroli katrai apmeklētajai vietnei.
Otrkārt, jums ir jāsāk mainīt savas paroles. Krīzes vadības plāns mūsu ceļvedī Kā atgūt savu e-pasta paroli ir apdraudēta, ir lielisks veids, kā nodrošināt, ka neaizmirstiet nevienu paroli; tajā arī uzsvērti labas parožu higiēnas pamati:
- Parolēm vienmēr jābūt garākām nekā minimālajam, ko pakalpojums atļauj. Ja attiecīgais pakalpojums atļauj 6-20 rakstzīmju paroles, dodieties uz garāko paroli, kuru varat atcerēties.
- Neizmantojiet vārdnīcas vārdus kā savu paroles daļu. Jūsu parolei ir jābūtnekadesiet tik vienkārši, ka parādīsies neliela skenēšana ar vārdnīcas failu. Nekad neiekļaujiet savu vārdu, pieteikšanās vai e-pasta adreses daļu vai citus viegli identificējamus priekšmetus, piemēram, jūsu uzņēmuma nosaukumu vai ielas nosaukumu. Tāpat izvairieties no parastajām tastatūras kombinācijām, piemēram, "qwerty" vai "asdf".
- Izmantojiet frāzes, nevis paroles. Ja neesat lietojis paroli, lai atcerētos patiešām izlases paroles (jā, mēs saprotam, ka mēs patiešām esam uzmundrinuši domu par paroles pārvaldnieku), tad jūs varat atcerēties spēcīgākas paroles, pārvēršot tās par frāzēm. Piemēram, jūsu Amazon kontā jūs varat izveidot viegli atcerētu ieejas frāzi "Man patīk lasīt grāmatas" un pēc tam izdzēst to kā paroli, piemēram "! Luv2ReadBkz". To ir viegli atcerēties, un tas ir diezgan spēcīgs.
Treškārt, ja vien iespējams, jūs vēlaties iespējot divu faktoru autentifikāciju. Šeit jūs varat uzzināt vairāk par divu faktoru autentifikāciju, bet īsumā tas ļauj jums pieteikšanās sākumam pievienot papildu identifikācijas slāni.
Piemēram, izmantojot Gmail, izmantojot divu faktoru autentifikāciju, jums ir nepieciešams ne tikai jūsu pieteikumvārds un parole, bet arī piekļuve mobilajam tālrunim, kas reģistrēts jūsu Gmail kontā, lai jūs varētu pieņemt īsziņas kodu, kuru ievadīt, piesakoties no jauna datora.
Izmantojot divfaktoru autentifikāciju, tas ļoti apgrūtina to, kurš ir ieguvis piekļuvi jūsu pieteikumvārdam un parolei (piemēram, ar Heartbleed Bug), lai faktiski piekļūtu jūsu kontam.
Drošības neaizsargātība, jo īpaši tādas, kas nodrošina tik lielas sekas, nekad nav jautri, taču tie piedāvā iespēju pastiprināt paroles praksi un nodrošināt, ka unikālas un spēcīgas paroles novērš bojājumus, kad tas notiek.
