Hjemmeside » hvordan » Heartbleed Forklaret, hvorfor du skal ændre dine adgangskoder nu

    Heartbleed Forklaret, hvorfor du skal ændre dine adgangskoder nu

    Sidste gang vi varslede dig om en større sikkerhedsbrud, var det, da Adobes adgangskode database blev kompromitteret, hvor millioner af brugere (især dem med svage og ofte genbrugte adgangskoder) var i fare. I dag advarer vi dig om et meget større sikkerhedsproblem, Heartbleed Bug, der potentielt har kompromitteret en svimlende 2/3 af de sikre hjemmesider på internettet. Du skal ændre dine adgangskoder, og du skal begynde at gøre det nu.

    Vigtig note: How-To Geek påvirkes ikke af denne fejl.

    Hvad er Heartbleed og hvorfor er det så farligt?

    I dit typiske sikkerhedsbrud udsættes et enkelt virksomheds brugerregistre / adgangskoder. Det er forfærdeligt, når det sker, men det er en isoleret affære. Firma X har en sikkerhedsbrud, de udsteder en advarsel til deres brugere, og folk som os minder os om alle, det er på tide at begynde at praktisere god sikkerhedshygiejne og opdatere deres adgangskoder. Det er desværre typiske brud, der er dårligt nok, som det er. The Heartbleed Bug er noget meget, meget, værre.

    Heartbleed Bug underminerer selve krypteringsordningen, der beskytter os, mens vi e-mail, bank og på anden måde interagerer med hjemmesider, som vi mener er sikre. Her er en almindelig engelsk beskrivelse af sårbarheden fra Codenomicon, sikkerhedsgruppen, der opdagede og varslede offentligheden til fejlen:

    Heartbleed Bug er en alvorlig sårbarhed i det populære OpenSSL kryptografiske software bibliotek. Denne svaghed gør det muligt at stjæle de oplysninger, der beskyttes under normale forhold ved hjælp af SSL / TLS-kryptering, der bruges til at sikre internettet. SSL / TLS giver kommunikationssikkerhed og privatliv over internettet til applikationer som web, email, instant messaging (IM) og nogle virtuelle private netværk (VPN'er).

    Heartbleed-fejlen gør det muligt for alle på internettet at læse hukommelsen til de systemer, der er beskyttet af de sårbare versioner af OpenSSL-softwaren. Dette kompromitterer de hemmelige nøgler, der bruges til at identificere tjenesteudbyderne og kryptere trafikken, brugernavn og adgangskoder og det faktiske indhold. Dette gør det muligt for angriberne at aflytte kommunikation, stjæle data direkte fra tjenesterne og brugerne og at efterligne tjenester og brugere.

    Det lyder ret dårligt, ja? Det lyder endnu værre, når du opdager omkring to tredjedele af alle websteder, der bruger SSL, bruger denne sårbare version af OpenSSL. Vi taler ikke om små tidssider som hot rod-fora eller samlerbare kortspil-swappsites, vi taler banker, kreditkortselskaber, store e-forhandlere og e-mail-udbydere. Endnu værre har denne sårbarhed været i det vilde i omkring to år. Det er to år kan en person med den rette viden og færdigheder have tappet ind på loginoplysninger og privat kommunikation af en tjeneste, du bruger (og ifølge testen udført af Codenomicon, gør det uden spor).

    For en endnu bedre illustration af hvordan Heartbleed bug fungerer. læs denne xkcd tegneserie.

    Selv om ingen gruppe er kommet frem for at flaunt alle de legitimationsoplysninger og informationer, de slog op med udnyttelsen, skal du på dette tidspunkt i spillet antage, at loginoplysningerne for de websteder, du hyppigt har været i fare.

    Hvad skal du gøre efter Heartbleed Bug

    Ethvert flertal sikkerhedsbrud (og det er helt sikkert kvalificeret i stor skala) kræver, at du vurderer dine adgangskodehåndteringspraksis. I betragtning af den brede rækkevidde af Heartbleed Bug er dette en perfekt mulighed for at gennemgå et allerede glidende password-styringssystem eller, hvis du har trukket dine fødder, for at indstille en.

    Før du dykker ind med at ændre dine adgangskoder, skal du være opmærksom på, at sårbarheden kun er patched, hvis virksomheden har opgraderet til den nye version af OpenSSL. Historien brød på mandag, og hvis du skyndte dig til at ændre dine adgangskoder med det samme på hvert websted, ville de fleste af dem stadig have kørt den sårbare version af OpenSSL.

    Nu i midten af ​​ugen er de fleste steder begyndt at opdatere og i weekenden er det rimeligt at antage, at flertallet af højt profilerede websteder vil have skiftet over.

    Du kan bruge Heartbleed Bug-checkeren til at se, om sårbarheden er åben, eller selvom webstedet ikke svarer på anmodninger fra den ovennævnte checker, kan du bruge LastPass SSL-datakontroller til at se, om den pågældende server har opdateret deres SSL-certifikat for nylig (hvis de opdaterede det efter 4/7/2014 er det en god indikator for, at de har patchet sårbarheden.)  Bemærk: hvis du kører howtogeek.com gennem fejlkontrolenheden, vil det returnere en fejl, fordi vi ikke bruger SSL-kryptering i første omgang, og vi har også verificeret, at vores servere ikke kører nogen berørt software.

    Når det er sagt, ser det ud til at denne weekend formår at være en god weekend for at blive seriøs om at opdatere dine adgangskoder. For det første har du brug for et kodeordstyringssystem. Se vores guide til at komme i gang med LastPass for at oprette et af de mest sikre og fleksible adgangskodehåndteringsmuligheder omkring. Du behøver ikke at bruge LastPass, men du har brug for en form for system, der giver dig mulighed for at spore og styre et unikt og stærkt kodeord for hvert websted, du besøger.

    For det andet, Du skal begynde at ændre dine adgangskoder. Krisestyringsoversigt i vores vejledning, Sådan genopretter du efter din e-mail-adgangskode er kompromitteret, er en fantastisk måde at sikre, at du ikke går glip af nogen adgangskoder; det fremhæver også det grundlæggende i god adgangskodehygiejne, citeret her:

    • Adgangskoder skal altid være længere end det minimum, som tjenesten tillader. Hvis den pågældende tjeneste tillader 6-20 tegn, går adgangskoder til den længste adgangskode, du kan huske.
    • Brug ikke ordbog ord som en del af dit kodeord. Dit kodeord skal aldrig være så enkel, at en kortfattet scanning med en ordbog fil vil afsløre det. Indsæt aldrig dit navn, en del af login eller e-mail eller andre let identificerbare emner som dit firmanavn eller gadenavn. Undgå også at bruge almindelige tastaturkombinationer som "qwerty" eller "asdf" som en del af dit kodeord.
    • Brug passord i stedet for adgangskoder. Hvis du ikke bruger en adgangskodeadministrator til at huske rigtig tilfældige adgangskoder (ja, vi indser vi virkelig harper på ideen om at bruge en adgangskodeadministrator), så kan du huske stærkere adgangskoder ved at gøre dem til passord. For din Amazon-konto kan du for eksempel oprette en let husk adgangskode "Jeg elsker at læse bøger" og så knuse det i en adgangskode som "! Luv2ReadBkz". Det er nemt at huske og det er ret stærkt.

    For det tredje, når det er muligt, vil du aktivere tofaktors godkendelse. Du kan læse mere om tofaktorautentificering her, men det giver dig kort sagt mulighed for at tilføje et ekstra identifikationslag til dit login.

    For eksempel kræver tofaktorautentificering i Gmail, at du ikke kun har dit login og adgangskode, men adgangen til mobiltelefonen, der er registreret på din Gmail-konto, så du kan acceptere en SMS-kode, der skal indsættes, når du logger ind fra en ny computer.

    Med 2-faktor autentificering aktiveret gør det meget vanskeligt for nogen, der har fået adgang til dit login og adgangskode (som de kunne med Heartbleed Bug) for faktisk at få adgang til din konto.


    Sikkerhedsproblemer, især dem med så vidtrækkende konsekvenser, er aldrig sjove, men de giver os mulighed for at stramme vores adgangskodepraksis og sikre, at unikke og stærke adgangskoder holder skaden, når den opstår, indeholdt.