Разъяснение Heartbleed: зачем вам менять пароли сейчас



Последний раз мы предупредили вас о серьезном нарушении безопасности Это произошло, когда база данных паролей Adobe была взломана, что поставило под угрозу миллионы пользователей (особенно со слабыми и часто повторно используемыми паролями). Сегодня мы предупреждаем вас о гораздо более серьезной проблеме безопасности, Heartbleed Bug, которая потенциально скомпрометировала ошеломляющие 2/3 защищенных веб-сайтов в Интернете. Вам нужно сменить пароли, и вы должны начать это делать прямо сейчас.

Важное примечание: эта ошибка не касается How-To Geek.





Что такое кровотечение и почему оно так опасно?

При типичном взломе системы безопасности раскрываются записи / пароли пользователей одной компании. Когда такое случается, это ужасно, но это изолированное дело. У компании X есть брешь в безопасности, они выдают предупреждение своим пользователям, а такие люди, как мы, напоминают всем, что пора начать соблюдать правила безопасности и обновить свои пароли. Этих, к сожалению, типичных нарушений и так достаточно плохо. Heartbleed Bug - это нечто большое, много, худший.

Ошибка Heartbleed подрывает саму схему шифрования, которая защищает нас, когда мы отправляем электронную почту, банкинг и иным образом взаимодействуем с веб-сайтами, которые мы считаем безопасными. Вот простое описание уязвимости на английском языке от Codenomicon, группы безопасности, которая обнаружила и предупредила общественность об ошибке:



Heartbleed Bug - серьезная уязвимость в популярной библиотеке криптографического программного обеспечения OpenSSL. Этот недостаток позволяет украсть информацию, защищенную в нормальных условиях шифрованием SSL / TLS, используемым для защиты Интернета. SSL / TLS обеспечивает безопасность и конфиденциальность связи через Интернет для таких приложений, как Интернет, электронная почта, обмен мгновенными сообщениями (IM) и некоторые виртуальные частные сети (VPN).

Ошибка Heartbleed позволяет любому пользователю Интернета читать память систем, защищенных уязвимыми версиями программного обеспечения OpenSSL. Это компрометирует секретные ключи, используемые для идентификации поставщиков услуг и шифрования трафика, имен и паролей пользователей и фактического контента. Это позволяет злоумышленникам подслушивать сообщения, красть данные непосредственно у сервисов и пользователей и выдавать себя за сервисы и пользователей.

Звучит довольно плохо, да? Это звучит еще хуже, если вы понимаете, что примерно две трети всех веб-сайтов, использующих SSL, используют эту уязвимую версию OpenSSL. Мы не говорим о небольших сайтах, таких как форумы хот-родов или сайты обмена коллекционными карточными играми, мы говорим о банках, компаниях, выпускающих кредитные карты, крупных интернет-магазинах и провайдерах электронной почты. Что еще хуже, эта уязвимость существует уже около двух лет. Это два года, когда кто-то с соответствующими знаниями и навыками мог подключаться к учетным данным и личным сообщениям службы, которую вы используете (и, согласно тестированию, проведенному Codenomicon, делать это бесследно).



Для еще лучшей иллюстрации того, как работает ошибка Heartbleed. прочитайте это xkcd комический.

Реклама

Хотя ни одна группа не выступила вперед, чтобы выставить напоказ все учетные данные и информацию, которые они перекачивали с помощью эксплойта, на этом этапе игры вы должны предположить, что учетные данные для входа на посещаемые вами веб-сайты были скомпрометированы.

Что делать после сообщения об ошибке

Любое нарушение безопасности большинства (и это, безусловно, квалифицируется в широком масштабе) требует, чтобы вы оценили свои методы управления паролями. Учитывая широкое распространение Heartbleed Bug, это прекрасная возможность проверить и без того отлаженную систему управления паролями или, если вы не торопитесь, настроить ее.

Прежде чем приступить к немедленной смене паролей, имейте в виду, что уязвимость исправляется только в том случае, если компания обновилась до новой версии OpenSSL. История разразилась в понедельник, и если бы вы поспешили немедленно сменить пароли на всех сайтах, большинство из них по-прежнему использовали бы уязвимую версию OpenSSL.

СВЯЗАННЫЙ: Как провести последний аудит безопасности (и почему он не может ждать)

Сейчас, в середине недели, большинство сайтов начали процесс обновления, и к выходным можно предположить, что большинство известных веб-сайтов перейдут на новый уровень.

Вы можете использовать Средство проверки ошибок Heartbleed здесь, чтобы узнать, открыта ли уязвимость, или, даже если сайт не отвечает на запросы от вышеупомянутого средства проверки, вы можете использовать Проверка даты SSL LastPass чтобы узнать, обновлял ли данный сервер свой сертификат SSL в последнее время (если они обновили его после 7 апреля 2014 г., это хороший показатель того, что они устранили уязвимость). Примечание: Если вы запустите howtogeek.com через средство проверки ошибок, он вернет ошибку, потому что мы вообще не используем шифрование SSL, и мы также проверили, что на наших серверах не работает какое-либо уязвимое программное обеспечение.

Тем не менее, похоже, что эти выходные станут хорошими выходными, чтобы серьезно заняться обновлением паролей. Во-первых, вам нужна система управления паролями. Проверить наше руководство по началу работы с LastPass чтобы настроить один из самых безопасных и гибких вариантов управления паролями. Вам не обязательно использовать LastPass, но вам нужна какая-то система, которая позволит вам отслеживать и управлять уникальным и надежным паролем для каждого веб-сайта, который вы посещаете.

Реклама

Во-вторых, вам нужно начать менять пароли. План антикризисного управления в нашем руководстве, Как восстановить после взлома пароля электронной почты , это отличный способ убедиться, что вы не пропустите ни одного пароля; он также подчеркивает основы хорошей гигиены паролей, цитируемые здесь:

  • Пароли всегда должны быть длиннее минимума, разрешенного службой. . Если рассматриваемая услуга позволяет использовать пароли из 6–20 символов, выбирайте самый длинный пароль, который вы можете запомнить.
  • Не используйте словарные слова как часть пароля . Ваш пароль должен никогда быть настолько простым, что беглый просмотр файла словаря обнаружит это. Никогда не включайте свое имя, часть логина или адреса электронной почты или другие легко идентифицируемые элементы, такие как название вашей компании или название улицы. Также избегайте использования общих комбинаций клавиатуры, таких как qwerty или asdf, в качестве части вашего пароля.
  • Используйте пароли вместо паролей . Если вы не используете диспетчер паролей для запоминания действительно случайных паролей (да, мы понимаем, что на самом деле упираемся в идею использования диспетчера паролей), вы можете запоминать более надежные пароли, превращая их в парольные фразы. Например, для своей учетной записи Amazon вы можете создать легко запоминающуюся кодовую фразу, которую я люблю читать книги, а затем преобразовать ее в пароль, например! Luv2ReadBkz. Его легко запомнить, и он довольно сильный.

В-третьих, по возможности вы хотите включить двухфакторную аутентификацию. Ты сможешь подробнее о двухфакторной аутентификации здесь , но вкратце он позволяет вам добавить дополнительный уровень идентификации к вашему логину.

СВЯЗАННЫЙ: Что такое двухфакторная аутентификация и зачем она мне нужна?

В Gmail, например, для двухфакторной аутентификации требуется, чтобы у вас был не только логин и пароль, но и доступ к мобильному телефону, зарегистрированному в вашей учетной записи Gmail, чтобы вы могли принять код текстового сообщения для ввода при входе в систему с нового компьютера.

С включенной двухфакторной аутентификацией для кого-то, кто получил доступ к вашему логину и паролю (как они могли с Heartbleed Bug), очень сложно получить доступ к вашей учетной записи.


Уязвимости в системе безопасности, особенно с такими далеко идущими последствиями, никогда не доставляют удовольствия, но они дают нам возможность ужесточить наши методы работы с паролями и гарантировать, что уникальные и надежные пароли сдерживают ущерб, когда он возникает.

ПРОЧИТАЙТЕ СЛЕДУЮЩИЙ Фотография профиля для Джейсона Фицпатрика Джейсон Фицпатрик
Джейсон Фицпатрик - главный редактор LifeSavvy, сайта-сестры How-To Geek, посвященного лайфхакам, советам и уловкам. Он имеет более чем десятилетний опыт публикации и является автором тысяч статей в Review Geek, How-To Geek и Lifehacker. Джейсон работал редактором Lifehacker's Weekend, прежде чем присоединиться к How-To Geek.
Прочитать полную биографию

Интересные статьи