Heartbleed objasnio zašto morate promijeniti svoje lozinke sada
Posljednji put kada smo vas upozorili na veliku povredu sigurnosti bilo je kada je kompromitirana baza podataka Adobeovih lozinki, što je dovelo u opasnost milijune korisnika (posebno onih sa slabim i često korištenim lozinkama). Danas vas upozoravamo na mnogo veći sigurnosni problem, Heartbleed Bug, koji je potencijalno ugrozio zapanjujuće 2/3 sigurnih web-mjesta na internetu. Morate promijeniti zaporke, a sada morate početi raditi.
Važna napomena: Ovaj bug ne utječe na Geek-kako.
Što je Heartbleed i zašto je tako opasno?
U vašem tipičnom kršenju sigurnosti, izloženi su korisnički zapisi / lozinke jedne tvrtke. To je strašno kad se to dogodi, ali to je izolirana stvar. Tvrtka X ima sigurnosnu povredu, izdaje upozorenje svojim korisnicima, a ljudi poput nas podsjećaju svakoga da je vrijeme da počnu prakticirati dobru higijensku sigurnost i ažurirati svoje lozinke. One, nažalost, tipične povrede su dovoljno loše. Heartbeed Bug je nešto puno, mnogo, gore.
Heartbleed Bug potkopava samu shemu šifriranja koja nas štiti dok šaljemo e-poštu, banku i na drugi način stupamo u interakciju s web-lokacijama za koje vjerujemo da su sigurne. Evo jednostavnog opisa ranjivosti Codenomicona, sigurnosne grupe koja je otkrila i upozorila javnost na bug:
Heartbleed Bug je ozbiljna ranjivost u popularnoj OpenSSL biblioteci kriptografskog softvera. Ova slabost omogućuje krađu informacija zaštićenih, pod normalnim uvjetima, SSL / TLS enkripcijom koja se koristi za osiguranje Interneta. SSL / TLS pruža sigurnost komunikacije i privatnost putem Interneta za aplikacije kao što su web, e-pošta, instant poruke (IM) i neke virtualne privatne mreže (VPN-ovi).
Pogreška Heartbleed omogućuje svakome na internetu da čita memoriju sustava zaštićenih ranjivim verzijama OpenSSL softvera. To ugrožava tajne ključeve koji se koriste za identifikaciju davatelja usluga i šifriranje prometa, imena i lozinke korisnika i stvarnog sadržaja. To omogućuje napadačima da prisluškuju komunikacije, ukradu podatke izravno od usluga i korisnika te da se predstavi kao usluge i korisnici.
To zvuči prilično loše, zar ne? Zvuči još gore kad shvatite da otprilike dvije trećine svih web-mjesta koja koriste SSL koriste ovu ranjivu verziju OpenSSL-a. Ne govorimo o malim web-lokacijama kao što su forumi s hot-rodovima ili swap web-lokacije za zbirne kartice, govorimo o bankama, tvrtkama s kreditnim karticama, velikim e-trgovcima i pružateljima e-pošte. Što je još gore, ova ranjivost je u divljini već oko dvije godine. To je dvije godine, netko s odgovarajućim znanjem i vještinama mogao je iskoristiti vjerodajnice za prijavu i privatne komunikacije usluge koju koristite (i, prema testiranju koje je proveo Codenomicon, to učiniti bez traga).
Za još bolju ilustraciju kako radi Heartbleed bug. pročitajte ovaj xkcd strip.
Iako nijedna grupa nije došla naprijed da bi se predstavila svim vjerodajnicama i informacijama koje su izvukli iz iskorištavanja, u ovom trenutku u igri morate pretpostaviti da su vjerodajnice za prijavu na web stranice koje često posjećujete ugrožene..
Što učiniti?
Svako većinsko kršenje sigurnosti (i to svakako vrijedi u velikoj mjeri) zahtijeva od vas da procijenite svoje prakse upravljanja lozinkama. S obzirom na široki doseg Heartbleed Buga ovo je savršena prilika za pregled već izgrađenog sustava za upravljanje lozinkama ili, ako ste povlačili noge, da biste ga postavili.
Prije nego što uđete u odmah mijenjanje lozinki, budite svjesni da je ranjivost zakrpljena samo ako je tvrtka nadogradila na novu verziju OpenSSL-a. Priča se pokvarila u ponedjeljak, a ako ste požurili da odmah promijenite zaporke na svakoj web-lokaciji, većina bi još uvijek izvodila ranjivu verziju OpenSSL-a.
Sada, sredinom tjedna, većina web-lokacija počela je proces ažuriranja i do vikenda je razumno pretpostaviti da će se većina visokoprofilnih web-lokacija prebaciti.
Ovdje možete koristiti Heartbeed Bug checker da biste provjerili je li ranjivost još uvijek otvorena ili, čak i ako web-lokacija ne odgovara na zahtjeve navedene provjere, možete upotrijebiti LastPass SSL datum za provjeru da li je dotični poslužitelj ažurirao svoje SSL certifikat je nedavno (ako su ga ažurirali nakon 4/7/2014 to je dobar pokazatelj da su zakrpili ranjivost.) Bilješka: ako pokrenete howtogeek.com kroz alat za provjeru bugova, vratit će se pogreška jer prvo ne koristimo SSL enkripciju, a također smo provjerili da naši poslužitelji ne pokreću nijedan softver.
Međutim, čini se da će ovaj vikend izgledati kao dobar vikend kako bismo ozbiljno shvatili ažuriranje vaših lozinki. Prvo, trebate sustav za upravljanje lozinkama. Pogledajte naš vodič za početak rada s programom LastPass da biste postavili jednu od najsigurnijih i najfleksibilnijih opcija za upravljanje lozinkama. Ne morate koristiti LastPass, ali vam je potreban neki sustav koji će vam omogućiti da pratite i upravljate jedinstvenom i jakom zaporkom za svaku web-lokaciju koju posjetite.
Drugo, morate početi mijenjati zaporke. Pregled upravljanja krizom u našem vodiču, Kako se oporaviti nakon što je Vaša lozinka kompromitirana, odličan je način da osigurate da ne propustite nijednu lozinku; ona također ističe osnove dobre higijene zaporki, citiranih ovdje:
- Lozinke bi uvijek trebale biti dulje od onoga što usluga dopušta. Ako usluga o kojoj je riječ dopušta unos lozinki od 6 do 20 znakova, koristite najdužu lozinku koju možete zapamtiti.
- Nemojte koristiti riječi u rječniku kao dio zaporke. Vaša bi zaporka trebala nikada biti tako jednostavna da će letimično skeniranje s rječničkom datotekom to otkriti. Nikada nemojte uključivati svoje ime, dio prijave ili e-poštu ili druge lako prepoznatljive stavke kao što su naziv tvrtke ili naziv ulice. Također izbjegavajte korištenje uobičajenih kombinacija tipkovnice kao što su "qwerty" ili "asdf" kao dio zaporke.
- Koristite zaporke umjesto zaporki. Ako ne koristite upravitelja zaporki da biste zapamtili doista slučajne lozinke (da, shvaćamo da stvarno zamišljamo ideju o korištenju upravitelja zaporki) onda možete zapamtiti jače lozinke pretvarajući ih u lozinke. Na primjer, za svoj Amazon račun možete stvoriti zaporku za lako pamćenje "Volim čitati knjige", a zatim je skratiti u lozinku poput "! Luv2ReadBkz". Lako se pamti i prilično je snažno.
Treće, kad god je to moguće, želite omogućiti autentifikaciju u dva faktora. Ovdje možete pročitati više o autentifikaciji s dva faktora, ali ukratko, omogućuje vam dodavanje dodatnog sloja identifikacije vašoj prijavi.
Primjerice, pomoću Gmaila autentifikacija s dva faktora zahtijeva da imate ne samo podatke za prijavu i zaporku, nego i pristup mobilnom telefonu registriranom na Gmail računu kako biste mogli prihvatiti kod za tekstualnu poruku za unos prilikom prijave s novog računala.
Ako je omogućena autentifikacija u dva faktora, nekome tko je dobio pristup vašoj prijavi i zaporci (kao što je to moguće s Heartbleed Bug-om) vrlo je teško pristupiti vašem računu.
Sigurnosne ranjivosti, posebno one s tako dalekosežnim posljedicama, nikada se ne zabavljaju, ali nam pružaju mogućnost da zategnemo prakse zaporki i osiguramo da jedinstvene i jake lozinke zadrže štetu, kada se dogodi,.