Ostatnim razem, gdy ostrzegaliśmy Cię o poważnym naruszeniu bezpieczeństwa, nastąpiło złamanie bazy danych haseł Adobe, co narażało na niebezpieczeństwo miliony użytkowników (szczególnie tych, którzy mają słabe i często ponownie używane hasła). Dzisiaj ostrzegamy Cię przed znacznie większym problemem bezpieczeństwa, Heartbleed Bug, który potencjalnie naruszył oszałamiające 2/3 bezpiecznych witryn internetowych. Musisz zmienić swoje hasła i musisz zacząć robić to teraz.
Ważna uwaga: ten błąd nie dotyczy programu How-To Geek.
W typowym przypadku naruszenia zabezpieczeń ujawniane są hasła / hasła użytkowników jednej firmy. To okropne, kiedy to się dzieje, ale to odosobniona sprawa. Firma X ma naruszenie bezpieczeństwa, wydaje ostrzeżenie swoim użytkownikom, a ludzie tacy jak my przypominają wszystkim, że nadszedł czas, aby zacząć ćwiczyć dobrą higienę bezpieczeństwa i aktualizować swoje hasła. Te, niestety, typowe naruszenia są wystarczająco złe, jakimi są. The Heartbleed Bug to coś więcej,dużo, gorzej.
Heartbleed Bug podważa sam system szyfrowania, który chroni nas, gdy wysyłamy e-maile, bankowość i inne interakcje z witrynami, które uważamy za bezpieczne. Oto zwykły angielski opis luki w zabezpieczeniach od Codenomicon, grupy bezpieczeństwa, która odkryła i powiadomiła opinię publiczną o błędzie:
Heartbleed Bug to poważna luka w popularnej bibliotece oprogramowania kryptograficznego OpenSSL. Ta słabość umożliwia kradzież informacji chronionych, w normalnych warunkach, za pomocą szyfrowania SSL / TLS używanego do zabezpieczenia Internetu. SSL / TLS zapewnia bezpieczeństwo komunikacji i prywatność w Internecie dla aplikacji takich jak Internet, poczta e-mail, komunikatory internetowe (IM) i niektóre wirtualne sieci prywatne (VPN).
Błąd Heartbleed pozwala każdemu w Internecie na odczytanie pamięci systemów chronionych przez wrażliwe wersje oprogramowania OpenSSL. Spowoduje to złamanie tajnych kluczy używanych do identyfikacji dostawców usług i szyfrowania ruchu, nazw i haseł użytkowników oraz rzeczywistej zawartości. Umożliwia to intruzom podsłuchiwanie komunikacji, wykradanie danych bezpośrednio z usług i użytkowników oraz podszywanie się pod usługi i użytkowników.
To brzmi nieźle, tak? Brzmi jeszcze gorzej, gdy zdajemy sobie sprawę, że około dwie trzecie wszystkich stron korzystających z SSL używa tej wrażliwej wersji OpenSSL. Nie mówimy o witrynach typu "hot time", takich jak fora hot rod czy kolekcjonerskie witryny z grami karcianymi, mówimy o bankach, firmach obsługujących karty kredytowe, dużych sklepach internetowych i dostawcach poczty e-mail. Co gorsza, ta luka działa już od około dwóch lat. To dwa lata, gdy ktoś dysponujący odpowiednią wiedzą i umiejętnościami mógł wykorzystać dane logowania i prywatną komunikację usługi, z której korzystasz (i, zgodnie z testami przeprowadzonymi przez Codenomicon, robiąc to bez śladu).
Dla jeszcze lepszej ilustracji, jak działa błąd Heartbleed. przeczytaj ten komiks xkcd.
Chociaż żadna grupa nie zgłosiła się do wszystkich danych uwierzytelniających i informacji, które wyssali z exploitem, w tym momencie gry musisz założyć, że poświadczenia logowania do stron internetowych, które często odwiedzasz, zostały naruszone.
Każde naruszenie bezpieczeństwa większości (a to z pewnością kwalifikuje się na wielką skalę) wymaga oceny praktyk zarządzania hasłami. Biorąc pod uwagę szeroki zasięg Heartbleed Bug, jest to doskonała okazja, aby przejrzeć już sprawnie działający system zarządzania hasłami lub, jeśli już przeciągasz nogi, aby je ustawić.
Zanim przystąpisz do natychmiastowej zmiany haseł, pamiętaj, że luka jest łatana tylko wtedy, gdy firma przeszła na nową wersję OpenSSL. Historia zepsuła się w poniedziałek, a jeśli wybierzesz się natychmiast do zmiany haseł w każdej witrynie, większość z nich wciąż będzie działała na podatną wersję OpenSSL.
Teraz, w połowie tygodnia, większość stron zaczęła proces aktualizacji, a do weekendu można założyć, że większość popularnych witryn internetowych przełączy się.
Możesz skorzystać z kontrolera Heartbleed Bug, aby sprawdzić, czy luka jest nadal otwarta, lub, nawet jeśli strona nie odpowiada na żądania ze wspomnianego kontrolera, możesz użyć sprawdzania daty SSL LastPass, aby sprawdzić, czy dany serwer zaktualizował swoją Ostatnio certyfikat SSL (jeśli zaktualizował go po 4/7/2014, jest dobrym wskaźnikiem, że naprawił lukę.)Uwaga: jeśli uruchomisz howtogeek.com przez narzędzie do sprawdzania błędów, zwróci to błąd, ponieważ w pierwszej kolejności nie korzystamy z szyfrowania SSL, a także sprawdziliśmy, że nasze serwery nie działają pod wpływem oprogramowania.
Mimo to wygląda na to, że ten weekend ukształtuje się na dobry weekend, aby poważnie traktować aktualizowanie haseł. Najpierw potrzebujesz systemu zarządzania hasłami. Zapoznaj się z naszym przewodnikiem, aby rozpocząć korzystanie z LastPass, aby skonfigurować jedną z najbardziej bezpiecznych i elastycznych opcji zarządzania hasłami. Nie musisz używać LastPass, ale potrzebujesz jakiegoś systemu, który pozwoli Ci na śledzenie i zarządzanie unikatowym i silnym hasłem dla każdej odwiedzanej strony.
Po drugie, musisz zacząć zmieniać swoje hasła. Konspekt dotyczący zarządzania kryzysowego w naszym przewodniku, How to Recover, po tym, jak Twoje hasło do e-maila zostało zaszkodzone, to świetny sposób, aby nie przegapić żadnych haseł; Podkreśla również podstawy dobrej higieny haseł, cytowane tutaj:
- Hasła powinny zawsze być dłuższe niż minimum, na które pozwala serwis. Jeśli dana usługa zezwala na hasła o długości 6-20 znaków, wybierz najdłuższe hasło, które możesz zapamiętać.
- Nie używaj słów ze słownika jako części hasła. Twoje hasło powinnonigdybyć tak proste, że wyskoczy z niego pobieżny skan z plikiem słownika. Nigdy nie podawaj swojego nazwiska, części loginu lub adresu e-mail ani innych łatwych do zidentyfikowania elementów, takich jak nazwa firmy lub nazwa ulicy. Należy również unikać używania typowych kombinacji klawiatur, takich jak "qwerty" lub "asdf" jako część hasła.
- Używaj haseł zamiast haseł. Jeśli nie korzystasz z menedżera haseł do zapamiętania naprawdę przypadkowych haseł (tak, zdajemy sobie sprawę, że naprawdę myślimy o używaniu menedżera haseł), możesz zapamiętać mocniejsze hasła, zamieniając je w hasła. Na przykład dla konta Amazon możesz utworzyć łatwe do zapamiętania hasło "Kocham czytać książki", a następnie skreślić je w haśle "! Luv2ReadBkz". Jest łatwy do zapamiętania i jest dość silny.
Po trzecie, jeśli to możliwe, włącz uwierzytelnianie dwuskładnikowe. Możesz przeczytać więcej o uwierzytelnianiu dwuskładnikowym tutaj, ale w skrócie pozwala to na dodanie dodatkowej warstwy identyfikacji do twojego loginu.
Na przykład w Gmailu uwierzytelnianie dwuskładnikowe wymaga nie tylko loginu i hasła, ale także dostępu do telefonu komórkowego zarejestrowanego na koncie Gmail, aby można było zaakceptować kod wiadomości tekstowej, który należy wprowadzić po zalogowaniu się z nowego komputera.
Dzięki włączeniu uwierzytelniania dwuskładnikowego bardzo trudno jest uzyskać dostęp do swojego konta osobie, która uzyskała dostęp do Twojego loginu i hasła (tak jak w przypadku Heartbleed Bug).
Luki w zabezpieczeniach, szczególnie te, które mają tak daleko idące konsekwencje, nigdy nie są zabawne, ale dają nam możliwość zaostrzenia naszych praktyk dotyczących haseł i zapewnienia, że unikalne i mocne hasła zachowają obrażenia, gdy się pojawią.
