Хеартблеед објаснио зашто морате да промените своје лозинке сада
Последњи пут када смо вас упозорили на велики пропуст у безбедности било је када је компромитована база података за лозинке компаније Адобе, што је довело у опасност милионе корисника (посебно оних са слабим и често коришћеним лозинкама). Данас вас упозоравамо на много већи сигурносни проблем, Хеартблеед Буг, који је потенцијално угрозио запањујуће 2/3 сигурних веб страница на интернету. Потребно је да промените своје лозинке и сада морате да почнете да радите.
Важна напомена: Хов-То Геек није погођен овом грешком.
Шта је Хеартблеед и зашто је тако опасно?
У вашем типичном кршењу безбедности, изложени су кориснички записи / лозинке једне компаније. То је страшно када се то догоди, али то је изолована ствар. Компанија Кс има повреду безбедности, издаје упозорење својим корисницима, а људи попут нас подсећају све време да почну да вежбају добру безбедносну хигијену и ажурирају своје лозинке. Оне, нажалост, типичне повреде су довољно лоше. Хеартблеед Буг је нешто много, много, горе.
Хеартблеед Буг подрива саму шифровану шему која нас штити док ми шаљемо е-пошту, банку и на други начин ступамо у контакт са веб страницама за које сматрамо да су сигурне. Ево једноставног описа рањивости Цоденомицона, безбедносне групе која је открила и упозорила јавност на грешку:
Хеартблеед Буг је озбиљна рањивост у популарној ОпенССЛ библиотеци криптографског софтвера. Ова слабост омогућава крађу информација заштићених, под нормалним условима, ССЛ / ТЛС енкрипцијом која се користи за осигурање Интернета. ССЛ / ТЛС обезбеђује безбедност комуникације и приватност преко Интернета за апликације као што су веб, е-пошта, инстант поруке (ИМ) и неке виртуелне приватне мреже (ВПН).
Грешка Хеартблеед дозвољава свима на Интернету да читају меморију система заштићених рањивим верзијама ОпенССЛ софтвера. Ово компромитује тајне кључеве који се користе за идентификацију пружалаца услуга и шифрирање промета, имена и лозинке корисника и стварног садржаја. Ово омогућава нападачима да прислушкују комуникације, краду податке директно од услуга и корисника и да се представи као сервиси и корисници.
То звучи прилично лоше, зар не? Звучи још горе када схватите да отприлике двије трећине свих веб страница које користе ССЛ користе ову рањиву верзију ОпенССЛ-а. Не причамо о малим временским сајтовима као што су хот род форуми или сајтови за размену картичних игара, говоримо о банкама, компанијама за кредитне картице, великим е-малопродавцима и е-маил провајдерима. Што је још горе, ова рањивост је у дивљини већ око двије године. То је две године, неко ко има одговарајућа знања и вештине, могао је да искористи податке за пријављивање и приватне комуникације услуге коју користиш (и, према тестирању које је спровео Цоденомицон, радиш без трага).
За још бољу илустрацију како ради Хеартблеед буг. прочитајте овај ккцд стрип.
Мада ниједна група није изашла напоље да издваја све акредитиве и информације које су извукли из експлоатације, у овом тренутку у игри морате да претпоставите да су поверљиви подаци за пријављивање на веб странице које често посежујете компромитовани.
Шта радити Пост: Хеартблеед Буг
Сваки прекршај већине сигурности (и то свакако квалификује на великој скали) захтијева од вас да процијените ваше праксе управљања лозинкама. Имајући у виду широк досег Хеартблеед Буга, ово је савршена прилика да прегледате систем за управљање лозинкама који већ функционише глатко или, ако сте повлачили ноге, да га поставите.
Пре него што уђете у тренутну промену ваших лозинки, имајте на уму да је рањивост само закрпљена ако је компанија надоградила на нову верзију ОпенССЛ-а. Прича је пукла у понедељак, и ако сте пожурили да одмах промените своје лозинке на сваком сајту, већина њих би и даље изводила рањиву верзију ОпенССЛ-а.
Сада, средином седмице, већина сајтова је започела процес ажурирања и до викенда је разумно претпоставити да ће се већина веб локација високог профила пребацити.
Овде можете користити Хеартблеед Буг цхецкер да бисте видели да ли је рањивост још увек отворена или, чак и ако сајт не реагује на захтеве поменутог контролера, можете да употребите ЛастПасс ССЛ датум за проверу да ли је дотични сервер ажурирао своје ССЛ сертификат недавно (ако су га ажурирали након 4/7/2014 то је добар показатељ да су закрпили рањивост.) Белешка: ако покренете ховтогеек.цом кроз алат за проверу бугова, вратит ћете грешку јер не користимо ССЛ енкрипцију, а такође смо потврдили да наши сервери не покрећу ниједан софтвер.
Изгледа да ће овај викенд изгледати као добар викенд да бисте озбиљно схватили ажурирање ваших лозинки. Прво, потребан вам је систем за управљање лозинкама. Погледајте наш водич за почетак рада са ЛастПассом да бисте поставили једну од најсигурнијих и најфлексибилнијих опција за управљање лозинкама. Не морате да користите ЛастПасс, али вам је потребан неки систем који ће вам омогућити да пратите и управљате јединственом и јаком лозинком за сваку веб локацију коју посетите.
Друго, морате да почнете да мењате своје лозинке. Скица за управљање кризом у нашем водичу, Како се опоравити након што је Ваша лозинка компромитована, је одличан начин да осигурате да не пропустите ниједну лозинку; она такође наглашава основе добре хигијене лозинки, цитираних овде:
- Лозинке би увијек требале бити дуже од минимума за који услуга допушта. Ако је реч о услузи која дозвољава лозинке од 6-20 знакова, идите на најдужу лозинку коју можете запамтити.
- Немојте користити речник речника као део ваше лозинке. Ваша лозинка би требала никада бити тако једноставна да ће летимично скенирање са рјечничком датотеком открити. Никада немојте укључивати своје име, дио пријаве или е-пошту или друге лако препознатљиве ставке као што су назив ваше твртке или назив улице. Такође избегавајте коришћење уобичајених комбинација тастатуре као што су “кверти” или “асдф” као део ваше лозинке.
- Користите лозинке уместо лозинки. Ако не користите менаџер лозинки да бисте запамтили праве случајне лозинке (да, схватили смо да заиста размишљамо о употреби менаџера лозинки) онда можете да се сетите јачих лозинки тако што ћете их претворити у лозинке. На пример, за ваш Амазон рачун, можете да креирате лако запамтиву фразу „Волим да читам књиге“, а затим да је унесем у лозинку као „! Лув2РеадБкз“. Лако се памти и прилично је снажно.
Треће, кад год је могуће желите омогућити аутентификацију у два фактора. Можете прочитати више о аутентификацији са два фактора овде, али укратко, то вам омогућава да додате још један слој идентификације у вашу пријаву.
Са Гмаил-ом, на пример, аутентификација са два фактора захтева да имате не само своје корисничко име и лозинку, већ и приступ мобилном телефону који је регистрован на вашем Гмаил налогу тако да можете да прихватите код текстуалне поруке за унос када се пријавите са новог рачунара.
Када је омогућена аутентификација у два фактора, веома је тешко за некога ко је добио приступ вашим корисничким именом и лозинком (као што је то могуће са Хеартблеед Буг-ом) да заиста приступају вашем рачуну.
Сигурносне рањивости, посебно оне са тако далекосежним импликацијама, никада се не забављају, али нам пружају могућност да пооштримо процедуре за лозинку и осигурамо да јединствене и јаке лозинке задрже штету, када се она појави..