Laman » bagaimana untuk » Heartbleed Dijelaskan Kenapa Anda Perlu Tukar Kata Laluan Anda Sekarang

    Heartbleed Dijelaskan Kenapa Anda Perlu Tukar Kata Laluan Anda Sekarang

    Kali terakhir kami memaklumkan kepada anda pelanggaran keselamatan utama adalah apabila pangkalan data kata laluan Adobe dikompromikan, meletakkan berjuta-juta pengguna (terutamanya yang mempunyai kata laluan yang lemah dan sering digunakan semula). Hari ini kami memberi amaran kepada anda tentang masalah keselamatan yang lebih besar, Heartbleed Bug, yang berpotensi menjejaskan 2 / 3rds laman web yang selamat di internet. Anda perlu menukar kata laluan anda, dan anda perlu mula melakukannya sekarang.

    Nota penting: How-To Geek tidak terjejas oleh pepijat ini.

    Apa yang Heartbleed dan Mengapa Ia Jadi Berbahaya?

    Dalam pelanggaran keselamatan biasa anda, rekod / kata laluan pengguna tunggal syarikat terdedah. Itulah yang mengerikan apabila ia berlaku, tetapi ia adalah urusan terpencil. Syarikat X mempunyai pelanggaran keselamatan, mereka mengeluarkan amaran kepada pengguna mereka, dan orang-orang seperti kami mengingatkan semua orang bahawa ia adalah masa untuk mula mengamalkan kebersihan keselamatan yang baik dan mengemas kini kata laluan mereka. Mereka, malangnya, pelanggaran biasa adalah cukup buruk kerana ia. The Heartbleed Bug adalah sesuatu yang banyak, banyak, lebih teruk.

    The Heartbleed Bug melemahkan skema enkripsi yang melindungi kami semasa kami menghantar e-mel, bank, dan sebaliknya berinteraksi dengan laman web yang kami percaya selamat. Berikut adalah gambaran ringkas bahasa Inggeris tentang kelemahan dari Codenomicon, kumpulan keselamatan yang menemui dan memaklumkan orang ramai kepada bug:

    The Heartbleed Bug adalah kelemahan serius dalam perpustakaan perisian kriptografi OpenSSL yang popular. Kelemahan ini membolehkan mencuri maklumat yang dilindungi, dalam keadaan biasa, oleh penyulitan SSL / TLS yang digunakan untuk menjamin Internet. SSL / TLS menyediakan keselamatan dan privasi komunikasi melalui Internet untuk aplikasi seperti web, e-mel, pemesejan segera (IM) dan beberapa rangkaian peribadi maya (VPN).

    Bug Heartbleed membolehkan sesiapa sahaja di Internet untuk membaca memori sistem yang dilindungi oleh versi terdedah perisian OpenSSL. Ini menjejaskan kunci rahsia yang digunakan untuk mengenal pasti penyedia perkhidmatan dan menyulitkan lalu lintas, nama dan kata laluan pengguna dan kandungan sebenar. Ini membolehkan penyerang menguping komunikasi, mencuri data secara langsung dari perkhidmatan dan pengguna dan menyamar sebagai perkhidmatan dan pengguna.

    Itu terdengar sangat buruk, ya? Ia lebih buruk lagi apabila anda menyedari hampir dua pertiga daripada semua laman web yang menggunakan SSL menggunakan versi OpenSSL yang mudah terjejas ini. Kami tidak bercakap tentang laman web kecil seperti forum tong panas atau laman pertukaran permainan kad koleksi, kami bercakap bank, syarikat kad kredit, e-peruncit utama dan pembekal e-mel. Lebih buruk lagi, kelemahan ini telah berlaku di alam liar selama dua tahun. Itu dua tahun seseorang dengan pengetahuan dan kemahiran yang sesuai dapat menorehkan kelayakan login dan komunikasi peribadi perkhidmatan yang anda gunakan (dan, menurut ujian yang dilakukan oleh Codenomicon, melakukannya tanpa jejak).

    Untuk ilustrasi yang lebih baik tentang bagaimana bug Heartbleed berfungsi. baca komik xkcd ini.

    Walaupun tiada kumpulan yang tampil ke hadapan untuk memamerkan semua kelayakan dan maklumat yang mereka sifatkan dengan eksploitasi, pada titik ini dalam permainan, anda harus menganggap bahawa kelayakan login untuk laman web yang anda kerap telah dikompromikan.

    Apa yang Harus Dilakukan Post Heartbleed Bug

    Mana-mana pelanggaran keselamatan majoriti (dan ini pasti layak pada skala besar) memerlukan anda menilai amalan pengurusan kata laluan anda. Memandangkan jangkauan luas Heartbleed Bug ini adalah peluang yang sempurna untuk mengkaji semula sistem pengurusan kata laluan yang sudah lancar atau, jika anda telah menyeret kaki anda, untuk menetapkan satu.

    Sebelum anda menyelam dengan segera menukar kata laluan anda, ketahui bahawa kelemahan hanya ditampal jika syarikat telah dinaik taraf ke versi baru OpenSSL. Cerita tersebut berlaku pada hari Isnin, dan jika anda bergegas untuk menukar kata laluan anda dengan segera di setiap laman web, kebanyakannya masih menjalankan versi OpenSSL yang rentan.

    Sekarang, pertengahan minggu, kebanyakan laman web telah memulakan proses pengemaskinian dan menjelang hujung minggu, adalah munasabah untuk menganggap majoriti laman web berprofil tinggi akan bertukar.

    Anda boleh menggunakan pemeriksa Bug Heartbleed di sini untuk mengetahui sama ada kerentanan itu masih terbuka atau walaupun tapak tidak bertindak balas kepada permintaan dari pemeriksa yang dinyatakan di atas, anda boleh menggunakan pemeriksa tarikh SSL LastPass untuk melihat sama ada pelayan yang dimaksudkan telah memperbaharui Sijil SSL baru-baru ini (jika mereka mengemas kini selepas 4/7/2014 itu adalah petunjuk yang baik bahawa mereka telah menambal kerentanan.)  Catatan: jika anda menjalankan howtogeek.com melalui pemeriksa pepijat ia akan mengembalikan ralat kerana kami tidak menggunakan penyulitan SSL di tempat pertama, dan kami juga mengesahkan bahawa pelayan kami tidak menjalankan sebarang perisian yang terlibat.

    Yang berkata, sepertinya hujung minggu ini membentuk hujung minggu yang baik untuk mendapatkan serius tentang mengemas kini kata laluan anda. Pertama, anda memerlukan sistem pengurusan kata laluan. Lihat panduan kami untuk bermula dengan LastPass untuk menyediakan salah satu pilihan pengurusan kata laluan yang paling selamat dan fleksibel di sekitar. Anda tidak perlu menggunakan LastPass, tetapi anda memerlukan beberapa jenis sistem di tempat yang akan membolehkan anda mengesan dan mengurus kata laluan yang unik dan kuat untuk setiap laman web yang anda lawati.

    Kedua, Anda perlu menukar kata laluan anda. Garis panduan pengurusan krisis dalam panduan kami, Cara Memulihkan Selepas Kata Laluan E-mel Anda Telah Dikompromikan, adalah cara yang baik untuk memastikan anda tidak terlepas kata laluan apa pun; ia juga menyoroti asas-asas kebersihan kata laluan yang baik, yang disebut di sini:

    • Kata laluan harus selalu lebih lama daripada minimum yang membolehkan perkhidmatan. Sekiranya perkhidmatan yang dipersoalkan membolehkan 6-20 kata laluan aksara pergi untuk kata laluan terpanjang yang anda boleh ingat.
    • Jangan gunakan kata-kata kamus sebagai sebahagian daripada kata laluan anda. Kata laluan anda perlu tidak pernah jadi mudah supaya imbasan sepintas dengan fail kamus akan mendedahkannya. Jangan sekali-kali memasukkan nama anda, sebahagian daripada log masuk atau e-mel, atau barangan lain yang mudah dikenalpasti seperti nama syarikat atau nama jalan anda. Juga elakkan menggunakan kombinasi papan kekunci biasa seperti "qwerty" atau "asdf" sebagai sebahagian daripada kata laluan anda.
    • Gunakan kata laluan bukan kata laluan. Jika anda tidak menggunakan pengurus kata laluan untuk mengingati kata laluan yang benar-benar rawak (ya, kami menyedari bahawa kita benar-benar mengamalkan idea menggunakan pengurus kata laluan) maka anda boleh mengingati kata laluan yang lebih kuat dengan mengubahnya menjadi passphrases. Untuk akaun Amazon anda, contohnya, anda boleh membuat kata kunci laluan dengan mudah "Saya suka membaca buku" dan kemudian mengkritik ke kata laluan seperti "! Luv2ReadBkz". Ia mudah diingat dan ia agak kuat.

    Ketiga, apabila memungkinkan anda mengizinkan pengesahan dua faktor. Anda boleh membaca lebih lanjut mengenai pengesahan dua faktor di sini, tetapi dalam jangka pendek ia membolehkan anda menambah lapisan tambahan pengenalan kepada log masuk anda.

    Dengan Gmail, sebagai contoh, pengesahan dua faktor memerlukan anda untuk bukan hanya log masuk dan kata laluan anda tetapi akses ke telefon bimbit yang didaftarkan ke akaun Gmail anda supaya anda boleh menerima kod mesej teks untuk dimasukkan apabila anda log masuk dari komputer baru.

    Dengan pengesahan dua faktor membolehkannya menjadi sangat sukar bagi seseorang yang telah mendapat akses ke log masuk dan kata laluan anda (seperti yang mereka boleh dengan Bug Heartbleed) untuk mengakses akaun anda sebenarnya.

    Kerentanan keselamatan, terutama yang mempunyai implikasi yang jauh, tidak pernah menyenangkan tetapi mereka menawarkan peluang bagi kami untuk mengetatkan amalan kata laluan kami dan memastikan kata laluan yang unik dan kuat menyimpan kerosakan apabila terjadi.

    Bantu Simpan Kanak-kanak Selamat Dalam Talian dengan KidZui
    Bantu Simpan PC Anda Dilindungi dengan Alat Percuma dari Trend Micro
    HDTV Overscan Apa Ia Adalah dan Kenapa Anda Perlu (Mungkin) Matikan Ini
    Artikel seterusnya
    Bantuan Pengguna Komputer dari jauh dengan TeamViewer
    Artikel sebelumnya
    Memasang Ketua Memasang Apa Perbezaan antara Realiti Semula dan Maya?