lt.phhsnews.com


lt.phhsnews.com / "Heartbleed" paaiškino: kodėl reikia pakeisti slaptažodžius dabar

"Heartbleed" paaiškino: kodėl reikia pakeisti slaptažodžius dabar


Paskutinį kartą, kai pranešėme jums apie didelį saugumo pažeidimą, buvo pažeista "Adobe" slaptažodžių duomenų bazė, o milijonai vartotojų (ypač su " silpni ir dažnai pakartotinai naudojami slaptažodžiai). Šiandien mes įspėjame jus apie daug didesnę saugumo problemą, Heartbleed Bug, kuri galėjo pakenkti internetinių saugių tinklalapių 2 / 3rds.

Svarbi pastaba: "How-To Geek" neturi šios klaidos.

Kas yra sirdies ir kodėl toks pavojingas?

Į jūsų tipiškas saugumo pažeidimas, vienos įmonės vartotojo įrašai / slaptažodžiai yra veikiami. Tai baisu, kai tai atsitiks, bet tai yra atskiras reikalas. Bendrovė X turi saugumo pažeidimą, įspėja savo vartotojus, o žmonės, kurie mums patinka, primena visiems, kad laikas pradėti gerą saugumo higieną ir atnaujinti savo slaptažodžius. Deja, tipiniai pažeidimai yra pakankamai blogi, kaip yra. "Heartbleed Bug" yra kažkas daug, daug, blogiau.

"Heartbleed Bug" pažeidžia labai kodavimo schemą, kuri saugo mus, kai mes siunčiame el. Paštą, banką ir kitaip sąveikaujame su svetainėmis, kurios, mūsų manymu, yra saugios. Čia yra paprastas anglų grupės "Codenomicon", saugumo grupės, kuri aptiko ir pranešė visuomenei apie klaidą, pažeidžiamumo aprašymą:

"Heartbleed Bug" yra rimtas pažeidžiamumas populiariose "OpenSSL" kriptografinės programinės įrangos bibliotekoje. Šis silpnumas leidžia įprastomis sąlygomis saugoti informaciją pavogti naudojant SSL / TLS šifravimą, naudojamą saugant internetą. SSL / TLS teikia ryšių saugumą ir privatumą per internetą tokioms programoms kaip internetas, el. Paštas, tiesioginiai pranešimai (IM) ir kai kurie virtualūs privatūs tinklai (VPN).

"Heartbleed" klaida leidžia bet kuriam asmeniui internete skaityti " sistemos, apsaugotos pažeidžiamomis "OpenSSL" programinės įrangos versijomis. Tai kompromisuoja slaptus raktus, naudojamus paslaugų teikėjams identifikuoti ir srautui užšifruoti, naudotojų vardus ir slaptažodžius bei faktinį turinį. Tai leidžia užpuolikams pasiklausyti pranešimų, vogti duomenis tiesiai iš paslaugų ir naudotojų ir įtakoti paslaugas ir vartotojus.

Tai skamba gana blogai, taip? Tai atrodo dar blogiau, kai apytikriai du trečdaliai visų svetainių, naudojančių SSL, naudoja šią pažeidžiamą "OpenSSL" versiją. Mes nekalbu mažų laiko svetainių, tokių kaip karštų lazdelių forumai ar kolekcionuojamų kortų žaidimų apsikeitimo svetainės, mes kalbame apie bankus, kreditinių kortelių bendroves, didžiausius elektroninius mažmenininkus ir el. Pašto paslaugų teikėjus. Dar blogiau, šis pažeidžiamumas buvo laukinių maždaug dvejus metus. Tai dvejus metus asmuo, turintis reikiamų žinių ir įgūdžių, galėjo pasinaudoti naudojamos paslaugos prisijungimo duomenimis ir privačiais pranešimais (ir pagal "Codenomicon" atliktą testavimą tai daro be pėdsakų).

geriau parodyti, kaip veikia "Heartbleed" klaida. perskaitykite šį xkcd komiksą.

Nors nė viena grupė nesugebėjo atskleisti visų įgaliojimų ir informacijos, kurią jie sužino apie išnaudojimą, šiame žaidimo taške jūs turite manyti, kad dažnai naudojamų svetainių prisijungimo duomenys yra gresia pavojus.

Ką daryti po širdies gedimo klaidą

Daugumos saugumo pažeidimų (ir tai, be abejo, turi didelę reikšmę), reikia įvertinti slaptažodžių valdymo praktiką. Atsižvelgiant į "Heartbleed Bug" platų pasiekiamumą, tai yra puiki galimybė peržiūrėti jau sklandžiai veikiančią slaptažodžių valdymo sistemą arba, jei jūs vilkėte kojas, nustatykite vieną iš jų.

Prieš pasinerdami nedelsdami pakeiskite savo slaptažodžius , reikia žinoti, kad pažeidžiamumas yra tik pataisytas, jei įmonė atnaujinta į naują "OpenSSL" versiją. Pirmadienį ši istorija nutrūko, o jei jūs bandėte iš karto keisti savo slaptažodžius kiekvienoje svetainėje, dauguma iš jų vis tiek naudotų pažeidžiamą "OpenSSL" versiją.

SUSIJĘS: Kaip paleisti paskutiniojo leidimo saugos auditą (ir kodėl jo negalima palaukti)

Dabar viduriniosios savaitės metu dauguma svetainių pradėjo atnaujinimo procesą, o savaitgaliui protingai prisiimti daugumą didelės apimties interneto svetainių bus perjungtas.

Čia galite pasinaudoti "Heartbleed" klaidų tikrinimo priemone, jei norite sužinoti, ar pažeidžiamumas dar nėra atviras, ar net jei svetainė neatsako į užklausas iš pirmiau minėto tikrintojo, galite naudoti "LastPass" SSL datos tikrinimo priemonę, kad pamatytumėte jei atitinkamas serveris neseniai atnaujino savo SSL sertifikatą (jei jis atnaujino jį po 2014 4/7, tai yra geras rodiklis, kad jie pakeitė pažeidžiamumą.) Pastaba: jei naudojate "phhsnews.com" per klaidų tikrinimo priemonė grąžins klaidą, nes mes pirmiausia nesinaudosime SSL šifravimu, taip pat patvirtinome, kad mūsų serveriuose nėra veikiančios jokios paveiktos programinės įrangos.

Tai sakė, atrodo, kad šį savaitgalį formuojasi būti geru savaitgaliu, kad rimtai įsitikintumėte, kaip atnaujinti savo slaptažodžius. Pirma, jums reikia slaptažodžių valdymo sistemos. Peržiūrėkite mūsų vadovą, kaip pradėti naudoti "LastPass", kad sukurtumėte vieną iš saugiausių ir lanksčių slaptažodžių valdymo pasirinkčių. Jums nereikia naudoti LastPass, bet jums reikia tam tikros sistemos, kuri leis jums stebėti ir valdyti unikalų ir patikimą slaptažodį kiekvienai lankomoje svetainėje.

Antra, jums reikia pradėti keisti savo slaptažodžius . Mūsų vadovo krizių valdymo planas, kaip atkurti po to, kai jūsų el. Pašto slaptažodis yra pažeistas, yra puikus būdas užtikrinti, kad nepraleidžiate jokių slaptažodžių; taip pat pabrėžiami gero slaptažodžio higienos pagrindai, cituoti čia:

  • Slaptažodžiai visada turėtų būti ilgesni nei minimali, kurią paslauga leidžia . Jei aptariama paslauga leidžia 6-20 ženklų slaptažodžius, galite atsiminti ilgiausią slaptažodį.
  • Nenaudokite žodžių žodžių kaip savo slaptažodžio dalį . Jūsų slaptažodis turėtų būti niekada būti toks paprastas, kad būtų parodyta netiesioginė nuskaitymas su žodyno byla. Niekada nepatekite savo vardo, prisijungimo ar el. Pašto dalies ar kitų lengvai identifikuojamų elementų, pvz., Jūsų įmonės pavadinimo ar gatvės pavadinimo. Taip pat vengti naudoti įprastus klaviatūros derinius, pvz., "Qwerty" arba "asdf" kaip dalį savo slaptažodžio.
  • Naudokite slapfrazus, o ne slaptažodžius . Jei nenorite naudoti slaptažodžio tvarkyklės, kad galėtumėte atsiminti tikrai atsitiktinius slaptažodžius ( taip, mes suprantame, kad mes iš tikrųjų girdime apie idėją naudoti slaptažodžių tvarkyklę), tuomet galėtumėte prisiminti stipresnius slaptažodžius, paversdami juos frazėmis. Pavyzdžiui, "Amazon" paskyrai galite sukurti lengvai įsimenamą slaptafrazę "Man patinka skaityti knygas", o tada sugadinti ją į "luv2ReadBkz" slaptažodį. Tai lengva prisiminti ir gana stiprus.

Trečia, jei įmanoma, norite įjungti dviejų veiksnių autentifikavimą. Čia galite sužinoti daugiau apie dviejų veiksnių autentifikavimą, bet trumpai tariant, galite prisijungti prie papildomo identifikavimo sluoksnio.

SUSIJUSIOS: Kas yra dviejų faktorių autentifikavimas ir kodėl man reikia?

Pavyzdžiui, naudodamiesi "Gmail" dviejų veiksnių autentiškumo nustatymu, turite turėti ne tik savo prisijungimo vardą ir slaptažodį, bet ir prieigą prie "Gmail" paskyroje įregistruoto mobiliojo telefono, kad galėtumėte priimti teksto pranešimo kodą, kurį norite įvesti prisijungdami iš naujo Kompiuteris.

Dviejų veiksnių autentifikavimo įgalino labai sunku asmeniui, kuris įgijo prieigą prie jūsų prisijungimo vardo ir slaptažodžio (kaip jie galėjo su "Heartbleed Bug"), kad galėtumėte pasiekti jūsų paskyrą.


Apsaugos pažeidžiamumas, ypač tie, kurie su tokiomis reikšmingomis pasekmėmis niekada nebus malonus, bet jie suteikia mums galimybę sugriežtinti savo slaptažodžių praktiką ir užtikrinti, kad unikalūs ir stiprūs slaptažodžiai nepažeistų nuostolių, kai jie įvyktų.


Kaip užkirsti kelią Windows automatiškai atnaujinti specifinius tvarkykles

Kaip užkirsti kelią Windows automatiškai atnaujinti specifinius tvarkykles

Windows, ypač "Windows 10", yra blogas įprotis įdiegti naujus aparatūros tvarkyklių naujinius, ar jie nori, ar ne. Galėtumėte didžiuotis ir paprasčiausiai neleisti sistemai "Windows" visiškai atsisiųsti naujinimų, arba jums gali tekti sulėtinti atnaujinimus. Tačiau jei turite "Windows" versiją "Pro" ar "Enterprise" versiją, galite truputį patobulinti savo veiksmus, naudodamiesi grupių politikos redagavimo priemone, kad negalėtumėte įrengti ar atnaujinti konkrečių įrenginių.

(how-to)

Kaip pasidalinti

Kaip pasidalinti "Facebook" įrašais tik su tam tikrais draugais

Jei esate "Facebook", bet tikėtina, kad sukaupėte draugų sąrašą, kuriame yra artimi draugai, seni vaikystės draugai, giminės, bendradarbiai, kaimynai ir daugybę žmonių, kurie jums patinka, bet nebūtinai nori pasidalinti viskuo. Perskaitykite, kaip parodysime, kaip pasirinktinai keistis turiniu. Gerbiamasis "How-To Geek", Mano pirmasis vaikas turi būti per mėnesį, ir aš manau (tarp milijonų kitų dalykų) apie "Facebook".

(how-to)