Hemsida » hur » Heartbleed Explained Varför behöver du ändra dina lösenord nu

    Heartbleed Explained Varför behöver du ändra dina lösenord nu

    Förra gången vi varnade för en stor säkerhetsbrott var när Adobes lösenordsdatabas äventyras, vilket medför att miljontals användare (särskilt de som har svaga och ofta återanvända lösenord) är i fara. Idag varnar vi dig om ett mycket större säkerhetsproblem, Heartbleed Bug, som potentiellt har äventyrat en svimlande 2/3 av de säkra webbplatserna på internet. Du måste ändra dina lösenord, och du måste börja göra det nu.

    Viktig anteckning: Hur-till-geek påverkas inte av denna bugg.

    Vad är heartbleed och varför är det så farligt?

    I ditt typiska säkerhetsbrott utsätts ett enskilt företags användarregister / lösenord. Det är hemskt när det händer, men det är en isolerad affär. Företag X har en säkerhetsbrott, de utfärdar en varning till sina användare och människorna som oss påminner alla om att det är dags att börja träna bra säkerhetshygien och uppdatera sina lösenord. De, tyvärr, typiska överträdelser är dåliga nog som det är. Heartbleed Bug är något mycket, mycket, värre.

    Heartbleed Bug undergräver det mycket krypteringsschema som skyddar oss medan vi mailar, bankar och på annat sätt interagerar med webbplatser som vi tror är säkra. Här är en ren engelsk beskrivning av sårbarheten från Codenomicon, säkerhetsgruppen som upptäckte och varnade allmänheten för buggan:

    Heartbleed Bug är en allvarlig sårbarhet i det populära OpenSSL kryptografiska programbiblioteket. Denna svaghet tillåter att informationen skyddas, under normala förhållanden, genom SSL / TLS-kryptering som används för att säkra Internet. SSL / TLS tillhandahåller kommunikationssäkerhet och integritet över Internet för applikationer som webb, e-post, snabbmeddelanden (IM) och vissa virtuella privata nätverk (VPN).

    Heartbleed-buggen tillåter alla på Internet att läsa minnet av systemen skyddade av de sårbara versionerna av OpenSSL-programvaran. Detta kompromissar de hemliga nycklarna som används för att identifiera tjänsteleverantörerna och kryptera trafiken, användarnas namn och lösenord och det faktiska innehållet. Detta gör det möjligt för angripare att avlyssna på kommunikation, stjäla data direkt från tjänsterna och användarna och att imitera tjänster och användare.

    Det låter ganska dåligt, ja? Det låter ännu värre när du inser ungefär två tredjedelar av alla webbplatser som använder SSL använder den här sårbara versionen av OpenSSL. Vi pratar inte om små tidssidor som hot rod forum eller samlarbara kortspel bytesplatser, vi pratar banker, kreditkortsföretag, större e-återförsäljare och e-postleverantörer. Ännu värre har denna sårbarhet varit i det vilda i ungefär två år. Det är två år att någon med lämplig kunskap och färdigheter kunde ha slagit in på inloggningsuppgifter och privat kommunikation av en tjänst du använder (och enligt testen utförd av Codenomicon gör du det utan spår).

    För en ännu bättre illustration av hur Heartbleed bug fungerar. läs detta xkcd comic.

    Trots att ingen grupp har kommit fram för att flaunt alla uppgifter och uppgifter som de höll på med utnyttjandet, måste du på det här laget anta att inloggningsuppgifterna för de webbplatser du ofta brukar äventyras.

    Vad gör du efter Heartbleed Bug

    Något flertal säkerhetsöverträdelser (och det här verkligen kvalificeras på stor skala) kräver att du utvärderar dina lösenordshanteringsmetoder. Med tanke på den breda räckvidden av Heartbleed Bug är det här ett perfekt tillfälle att granska ett redan löpande lösenordshanteringssystem eller, om du har dragit fötterna, för att ställa in en.

    Innan du dyker in omedelbart ändra dina lösenord, var medveten om att sårbarheten bara patchas om företaget har uppgraderat till den nya versionen av OpenSSL. Historien bröt på måndag, och om du rusade ut för att omedelbart ändra dina lösenord på varje sajt, hade de flesta fortfarande kört den sårbara versionen av OpenSSL.

    Nu, i mitten av veckan, har de flesta webbplatser börjat uppdateras och i helgen är det rimligt att anta att majoriteten av de profilerade webbplatser kommer att ha bytt över.

    Du kan använda Heartbleed Bug-kontrollören här för att se om sårbarheten är öppen fortfarande, eller om webbplatsen inte svarar på förfrågningar från den ovannämnda kontrollören, kan du använda LastPass SSL-datumkontroll för att se om den aktuella servern har uppdaterat deras SSL-certifikat nyligen (om de uppdaterade det efter 4/7/2014 är det en bra indikator på att de har korrigerat sårbarheten.)  Notera: Om du kör hurtogeek.com genom felkontrollen kommer det att returnera ett fel eftersom vi inte använder SSL-kryptering i första hand och vi har också verifierat att våra servrar inte kör någon påverkad programvara.

    Som sagt, det ser ut som i helgen är att forma en bra helg för att bli allvarlig om att uppdatera dina lösenord. Först behöver du ett lösenordshanteringssystem. Kolla in vår guide för att komma igång med LastPass för att skapa ett av de säkraste och flexibla alternativen för lösenordshantering runt. Du behöver inte använda LastPass, men du behöver ett slags system på plats som låter dig spåra och hantera ett unikt och starkt lösenord för varje webbplats du besöker.

    För det andra måste du börja ändra dina lösenord. Krishanteringsplanen i vår guide, Hur återställs efter att ditt lösenord är kompromissat är ett bra sätt att se till att du inte saknar några lösenord. det belyser också grunderna för god lösenordshygien, citerade här:

    • Lösenorden ska alltid vara längre än det minimum som tjänsten tillåter. Om tjänsten i fråga tillåter 6-20 tecken lösenord gå till det längsta lösenordet du kan komma ihåg.
    • Använd inte ordlistor som en del av ditt lösenord. Ditt lösenord ska aldrig var så enkelt att en överskådlig skanning med en ordlistorfil skulle avslöja den. Ange aldrig ditt namn, en del av inloggningen eller e-postmeddelandet eller andra lätt identifierbara objekt som ditt företagsnamn eller gatunamn. Undvik också att använda vanliga tangentbordskombinationer som "qwerty" eller "asdf" som en del av ditt lösenord.
    • Använd lösenordsuttryck istället för lösenord. Om du inte använder en lösenordshanterare för att komma ihåg riktigt slumpmässiga lösenord (ja, vi inser att vi verkligen har harpat på idén om att använda en lösenordshanterare) kan du komma ihåg starkare lösenord genom att göra dem till lösenordsfraser. För ditt Amazon-konto kan du till exempel skapa det lätt minnas lösenfrasen "Jag älskar att läsa böcker" och sedan krossa det till ett lösenord som "! Luv2ReadBkz". Det är lätt att komma ihåg och det är ganska starkt.

    För det tredje, när det är möjligt, vill du aktivera tvåfaktors autentisering. Du kan läsa mer om tvåfaktors autentisering här, men kort sagt det låter dig lägga till ett extra lager av identifiering till din inloggning.

    Med Gmail kräver till exempel tvåfaktorsautentisering att du inte bara har din inloggning och ditt lösenord utan tillgång till mobiltelefonen som är registrerad på ditt Gmail-konto så att du kan acceptera en textmeddelandekod som ska matas in när du loggar in från en ny dator.

    Med tvåfaktors autentisering aktiverad gör det det väldigt svårt för någon som har fått tillgång till ditt inloggningslösenord och lösenord (som de kunde med Heartbleed Bug) för att få tillgång till ditt konto.

    Säkerhetsproblem, särskilt de med så långtgående konsekvenser, är aldrig roliga men de erbjuder ett tillfälle för oss att strama våra lösenordsrutiner och se till att unika och starka lösenord skyddar skadan när den uppstår.

    Hjälp hålla barnen säkra på nätet med KidZui
    Håll din dator skyddad med gratis verktyg från Trend Micro
    HDTV Overscan Vad det är och varför du borde (förmodligen) stäng av den
    Nästa artikel
    Hjälp datoranvändare avlägset med TeamViewer
    Föregående artikel
    Head Mounted Displays Vad är skillnaden mellan augmented och virtual reality?