Important note: How-To Geek is not affected by this bug.
Mikä on sydämen vajaatoiminta ja miksi se on niin vaarallista?
Tyypillisessä tietoturvaloukkauksessasi yksittäisen yrityksen käyttäjätunnukset / salasanat ovat alttiina. Se on kauheaa, kun se tapahtuu, mutta se on yksittäinen asia. Yrityksellä X on tietoturva, he antavat käyttäjälleen varoituksen ja ihmiset, kuten me, muistuttavat kaikille, että on aika aloittaa hyvää tietoturvahygienia ja päivittää heidän salasanansa. Valitettavasti tyypilliset rikkomukset ovat valitettavasti niin pahoja. Heartbleed-bugi on jotain paljon,paljon, huonompi.
Heartbleed-bugi heikentää hyvin salausmenetelmää, joka suojaa meitä samalla, kun lähetämme sähköpostia, pankkia ja muuten toimivat vuorovaikutuksessa sivustojen kanssa, joiden uskomme olevan turvallisia. Tässä on selkeä englanninkielinen kuvaus Codenomiconin, tietoturvaryhmän haavoittuvuudesta, joka havaitsi ja ilmoitti yleisölle virheestä:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Se kuulostaa melko huonolta, kyllä? Tuntuu vielä pahempaa, kun ymmärrät, että noin kaksi kolmasosaa kaikista SSL: stä käyttävistä verkkosivustoista käyttää tätä haavoittuvaa OpenSSL-versiota. Emme puhu pienistä aikapaikoista, kuten hot rod -foorumeista tai keräilevistä korttipelaamisen sivustoista, puhumme pankkeja, luottokorttiyhtiöitä, suuria verkkokauppiaita ja sähköpostin tarjoajia. Mikä pahempaa, tämä haavoittuvuus on ollut luonnossa noin kaksi vuotta. Kahden vuoden aikana joku, jolla on tarvittavat tiedot ja taidot, olisi voinut napauttaa käyttämäsi palvelun kirjautumistunnuksia ja yksityisviestintää (ja Codenomiconin suorittamassa testauksessa sen tekeminen ilman jälkiä).
Parempi kuva siitä, miten Heartbleed-virhe toimii. lue tämä xkcd sarjakuva.
Mitä tehdä lähetä Heartbleed Bug
Jokainen enemmistön tietoturvan rikkominen (ja tämä varmasti täyttää suuressa mittakaavassa) edellyttää, että arvioit salasanan hallintatapasi. Koska Heartbleed-bugi on laaja, tämä on täydellinen tilaisuus tarkistaa jo sileästi käynnissä oleva salasananhallintajärjestelmä tai, jos olet vetänyt jalkasi, aseta se ylös.
Ennen kuin sukellat salasanasi välittömästi vaihtamalla, ota huomioon, että haavoittuvuus on vain tarkistettu, jos yritys on päivittänyt uuden OpenSSL-version. Tarina murtui maanantaina, ja jos rynnistyit salasanasi välittömästi muuttamaan jokaisella sivustolla, useimmat heistä olisivat silti suorittaneet OpenSSL: n heikossa versiossa.
Nyt keskellä viikkoa useimmat sivustot ovat alkaneet päivittää ja viikonloppuna on kohtuullista olettaa, että suurin osa korkean profiilin verkkosivustoista on siirtynyt.
Voit käyttää Heartbleed-bugitarkistusta täällä nähdäksesi, onko haavoittuvuus avoinna tai vaikka sivusto ei vastannut edellä mainitun tarkistimen pyyntöihin, voit käyttää LastPassin SSL-päivämäärälukijaa nähdäksesi, onko kyseinen palvelin päivittänyt SSL-sertifikaatti äskettäin (jos ne päivittivät sen 4. 7. 2014 jälkeen, se on hyvä osoitus siitä, että he ovat korjattaneet haavoittuvuuden.) Huomautus: jos suoritat bugitekijän kautta howtogeek.com -palvelun, se palauttaa virheen, koska emme käytä SSL-salausta ensisijaisesti, ja olemme myös varmistaneet, että palvelimistamme ei ole käytössä ohjelmistoa.
Se sanoi, että näyttää siltä, että tämä viikonloppu on hyvää viikonloppua muuttamaan salasanasi päivittämisestä. Ensinnäkin tarvitset salasanan hallintajärjestelmän. Tutustu viimeisimpään LastPass-oppaaseen ja asenna yksi turvallisimmista ja joustavimmista salasanasuojausvaihtoehdoista. Sinun ei tarvitse käyttää LastPassia, mutta tarvitset jonkinlaisen järjestelmän, jonka avulla voit seurata ja hallita ainutkertaista ja vahvaa salasanaa jokaiselle sivustollemme.
Toiseksi, sinun on aloitettava salasanojen vaihtaminen. Kriisinhallinnan pääpiirteet oppaassamme, Kuinka palauttaa sähköpostisi salasanan jälkeen, on erinomainen tapa varmistaa, ettet unohda salasanoja; se myös korostaa hyvän salasanasuojauksen perusteet, joita mainitaan täällä:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Kolmanneksi, kun mahdollista, haluat ottaa käyttöön kaksitasoisen todennuksen. Voit lukea lisää kaksitasoisesta todennuksesta täällä, mutta lyhyesti voit lisätä tunnistetietojasi kirjautumissosi.
Gmailin kanssa esimerkiksi kaksitasoinen todennus vaatii, että sinulla ei ole pelkästään kirjautumistunnusta ja salasanaa vaan pääsy Gmail-tilillesi rekisteröityyn matkapuhelimeen, jotta voit hyväksyä tekstiviestikoodin syötettäessä, kun kirjaudut uudesta tietokoneesta.
Kun kaksitasoinen todentaminen on käytössä, se on erittäin vaikeaa jollekin käyttäjälle, joka on saanut käyttäjätunnuksesi ja salasanasi (kuten he voivat saada Heartbleed-bugilla) pääsyn tilillesi.
Turvallisuushaavoittuvuudet, varsinkin sellaiset, joilla on kauaskantoisia vaikutuksia, eivät ole koskaan hauskoja, mutta tarjoavat meille mahdollisuuden kiristää salasanakäytäntöjä ja varmistaa, että ainutlaatuiset ja vahvat salasanat pitävät sisällään vahingon.
![Sinun täytyy saada iPhone / iPad Manager - Siirrä ja hallinnoi iOS-mediatiedostoja helposti [Sponsored]](https://i.technology-news-hub.com/images/blog/your-must-have-iphone/ipad-manager-transfer-and-manage-ios-media-files-easily-sponsored-4-j.webp "Sinun täytyy saada iPhone / iPad Manager - Siirrä ja hallinnoi iOS-mediatiedostoja helposti [Sponsored]")
