Important note: How-To Geek is not affected by this bug.
Mi a szívverés és miért olyan veszélyes?
Tipikus biztonsági sérülése esetén egyetlen vállalat felhasználói feljegyzései / jelszavai vannak kitéve. Ez szörnyű, amikor ez megtörténik, de ez egy elszigetelt ügy. Az X cég biztonsági rést szenvedett, figyelmeztetést küld a felhasználóknak, és a hozzánk hasonló emberek emlékeztetnek mindenkire, hogy el kell kezdeni a jó biztonsági higiénia gyakorlását és frissítenie kell jelszavait. Azok, akik sajnos, a tipikus sérülések elég rosszak, ahogy van. A Heartbleed Bug valami sok,sokkal, rosszabb.
A Heartbleed Bug aláássa a titkosítási rendszert, amely védelmet nyújt nekünk, miközben e-mailben, bankban vagy egyéb módon kölcsönhatásba lépünk olyan weboldalakkal, amelyekről úgy gondoljuk, hogy biztonságban vannak. Itt egy sima angol nyelvű leírás a Codenomicon, a biztonsági csoportról, amely felfedte és figyelmeztette a nyilvánosságot a hibára:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Ez nagyon rossz hangzik, igen? Még rosszabbnak hangzik, ha észreveszed, hogy az SSL-t használó összes webhely körülbelül kétharmada használja ezt az OpenSSL kiszolgáltatott változatát. Nem beszélünk olyan apró oldalakról, mint a hot rod fórumok vagy gyűjthető kártyaváltási oldalak, beszélünk bankokról, hitelkártya-társaságokról, főbb e-kiskereskedőkről és e-mail szolgáltatókról. Még ennél is rosszabb, ez a sebezhetőség már két évig vadon ment. Kétéves, valaki, akinek a megfelelő tudása és készsége volt, megérintette az Ön által használt szolgáltatás bejelentkezési adatait és privát kommunikációját (és a Codenomicon tesztelése szerint nyomon követés nélkül).
Annak még jobb ábrázolása, hogy a Heartbleed hiba működik. olvassa el az xkcd képregényt.
Mi a teendő?
A többségi biztonság megsértése (és ez nagymértékben megfelel a minősítésnek) megköveteli, hogy felmérje jelszókezelési gyakorlatát. A Heartbleed Bug szélességének köszönhetően ez egy tökéletes lehetőség arra, hogy áttekintse a már zökkenőmentesen futó jelszókezelő rendszert, vagy ha a lábát húzza, beállítson egyet.
Mielőtt belehaladna a jelszavak azonnali megváltoztatásába, ügyeljen arra, hogy a biztonsági rés csak akkor javítható, ha a vállalat frissítette az OpenSSL új verzióját. A történet hétfőn elromlott, és ha azonnal ki akartál változtatni a jelszavakat minden webhelyen, akkor a legtöbbjük még mindig az OpenSSL kiszolgáltatott verzióját futtatta.
Most, a hét közepén, a legtöbb webhely elkezdte a frissítés folyamatát, és a hétvégén indokolt feltételezni, hogy a nagy horderejű webhelyek többsége átkerül.
A Heartbleed Bug ellenőrző segítségével itt ellenőrizheti, hogy a biztonsági rés még mindig nyitva van-e, vagy ha a webhely nem válaszol a fent említett ellenőrző kérésekre, a LastPass SSL-dátum-ellenőrzőjét használhatja annak megállapításához, hogy a szóban forgó kiszolgáló frissítette-e Az SSL-tanúsítvány nemrégiben (ha 2014. július 4-ét követően frissítették, ez jó jelzés, hogy javították a sérülékenységet.) Jegyzet: Ha a hibakeresőn keresztül a howtogeek.com-ot futtatja, akkor hibaüzenet jelenik meg, mert elsődlegesen nem használunk SSL titkosítást, és azt is ellenőriztük, hogy szervereink nem működnek semmilyen érintett szoftverrel.
Azt mondják, úgy tűnik, ez a hétvége jó hétvégé lesz, hogy komolyan gondolja át a jelszavát. Először is jelszókezelő rendszerre van szükség. Tekintse meg útmutatóját a LastPass használatának megkezdéséhez az egyik legbiztonságosabb és legrugalmasabb jelszavas kezelési lehetőség beállításához. Nem kell a LastPass-ot használni, de szüksége van egy olyan rendszernek a helyére, amely lehetővé teszi számodra, hogy nyomon kövesse és kezelje az egyedi és erőteljes jelszót minden látogatott webhelyen.
Másodszor, el kell kezdeni a jelszavak módosítását. A válságkezelési útmutató vázlatos útmutatója, Hogyan térjünk vissza az e-mail jelszó elhárítása után, remek módja annak, hogy ne hagyj ki semmilyen jelszót; emellett kiemeli a jó jelszavas higiénia alapjait is, amelyeket itt idézünk:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Harmadszor, amikor csak lehetséges, engedélyeznie kell a kétütemű hitelesítést. Itt többet olvashat a kétütemű hitelesítésről, de röviden lehetővé teszi, hogy további azonosító réteget adjon a bejelentkezéshez.
A Gmail használatával például a kétütemű hitelesítés megköveteli, hogy ne csak a bejelentkezéshez és a jelszavához, hanem a Gmail-fiókjába regisztrált mobiltelefonhoz is hozzáférjenek ahhoz, hogy elfogadhasson egy szöveges üzenet kódot, amelyet be kell írnia, amikor új számítógépbe jelentkezik be.
A kétfaktoros azonosítás lehetővé teszi, hogy nagyon nehéz hozzáférjen a bejelentkezéshez és a jelszavához (mint például a Heartbleed-hez) hozzáféréssel rendelkező személy számára, hogy valóban hozzáférjen a fiókjához.
A biztonsági rések, különösen az ilyen messzire ható következmények, soha nem szórakoztatóak, de lehetőséget kínálnak számunkra, hogy szigorítsák a jelszavas gyakorlatainkat, és biztosítsuk, hogy az egyedi és erős jelszavak tartsák meg a sérülést, amikor ez bekövetkezik.
