Das letzte Mal Wir haben Sie auf eine schwerwiegende Sicherheitsverletzung aufmerksam gemacht Dies war der Zeitpunkt, an dem die Kennwortdatenbank von Adobe kompromittiert wurde, wodurch Millionen von Benutzern (insbesondere Benutzer mit schwachen und häufig wiederverwendeten Kennwörtern) gefährdet wurden. Heute warnen wir Sie vor einem viel größeren Sicherheitsproblem, dem Heartbleed Bug, das möglicherweise erstaunliche 2/3 der sicheren Websites im Internet gefährdet hat. Sie müssen Ihre Passwörter ändern und jetzt damit beginnen.
Wichtiger Hinweis: How-To Geek ist von diesem Fehler nicht betroffen.
Was ist Herzblut und warum ist es so gefährlich?
Bei einer typischen Sicherheitsverletzung werden die Benutzerdatensätze / Kennwörter eines einzelnen Unternehmens angezeigt. Das ist schrecklich, wenn es passiert, aber es ist eine isolierte Angelegenheit. Unternehmen X hat eine Sicherheitsverletzung, sie geben eine Warnung an ihre Benutzer aus und die Leute wie wir erinnern alle daran, dass es Zeit ist, gute Sicherheitshygiene zu üben und ihre Passwörter zu aktualisieren. Diese typischen Verstöße sind leider schon schlimm genug. Der Heartbleed Bug ist etwas viel, viel, schlechter.
Der Heartbleed Bug untergräbt genau das Verschlüsselungsschema, das uns schützt, während wir E-Mails versenden, Bankgeschäfte tätigen und auf andere Weise mit Websites interagieren, die wir für sicher halten. Hier ist ein Klartext Beschreibung der Sicherheitsanfälligkeit von Codenomicon, der Sicherheitsgruppe, die die Öffentlichkeit entdeckt und auf den Fehler aufmerksam gemacht hat:
Der Heartbleed Bug ist eine schwerwiegende Sicherheitslücke in der beliebten OpenSSL-Bibliothek für kryptografische Software. Diese Schwachstelle ermöglicht den Diebstahl der Informationen, die unter normalen Bedingungen durch die zur Sicherung des Internets verwendete SSL / TLS-Verschlüsselung geschützt sind. SSL / TLS bietet Kommunikationssicherheit und Datenschutz über das Internet für Anwendungen wie Web, E-Mail, Instant Messaging (IM) und einige virtuelle private Netzwerke (VPNs).
Mit dem Heartbleed-Fehler kann jeder im Internet den Speicher der Systeme lesen, die durch die anfälligen Versionen der OpenSSL-Software geschützt sind. Dies gefährdet die geheimen Schlüssel, die zur Identifizierung der Dienstanbieter und zur Verschlüsselung des Datenverkehrs, der Namen und Kennwörter der Benutzer und des tatsächlichen Inhalts verwendet werden. Auf diese Weise können Angreifer die Kommunikation abhören, Daten direkt von den Diensten und Benutzern stehlen und sich als Dienste und Benutzer ausgeben.
Das klingt ziemlich schlecht, ja? Es klingt noch schlimmer, wenn Sie feststellen, dass ungefähr zwei Drittel aller Websites, die SSL verwenden, diese anfällige Version von OpenSSL verwenden. Wir sprechen nicht über kleine Zeitseiten wie Hot Rod-Foren oder Sammelstellen für Kartenspiele, sondern über Banken, Kreditkartenunternehmen, große E-Einzelhändler und E-Mail-Anbieter. Schlimmer noch, diese Sicherheitsanfälligkeit besteht seit rund zwei Jahren. In diesen zwei Jahren hätte jemand mit den entsprechenden Kenntnissen und Fähigkeiten die Anmeldeinformationen und die private Kommunikation eines von Ihnen verwendeten Dienstes abrufen können (und dies laut den von Codenomicon durchgeführten Tests spurlos durchgeführt).
Zur noch besseren Veranschaulichung der Funktionsweise des Heartbleed-Fehlers. lesen Sie dies xkcd Comic.
Obwohl sich keine Gruppe gemeldet hat, um alle Anmeldeinformationen und Informationen zur Schau zu stellen, die sie mit dem Exploit gesammelt haben, müssen Sie zu diesem Zeitpunkt im Spiel davon ausgehen, dass die Anmeldeinformationen für die Websites, die Sie häufig verwenden, kompromittiert wurden.
Was tun nach Heartbleed Bug
Bei jeder Sicherheitsverletzung durch die Mehrheit (und dies ist sicherlich im großen Stil qualifiziert) müssen Sie Ihre Kennwortverwaltungspraktiken bewerten. Angesichts der großen Reichweite des Heartbleed Bug ist dies eine perfekte Gelegenheit, ein bereits reibungslos funktionierendes Passwortverwaltungssystem zu überprüfen oder, wenn Sie Ihre Füße hochgezogen haben, eines einzurichten.
Beachten Sie, dass die Sicherheitsanfälligkeit nur behoben wird, wenn das Unternehmen auf die neue Version von OpenSSL aktualisiert hat, bevor Sie Ihre Kennwörter sofort ändern. Die Geschichte wurde am Montag veröffentlicht, und wenn Sie sich beeilen würden, Ihre Passwörter auf jeder Site sofort zu ändern, hätten die meisten von ihnen immer noch die anfällige Version von OpenSSL ausgeführt.
VERBUNDEN: So führen Sie ein Last Pass-Sicherheitsaudit durch (und warum es nicht warten kann)
Jetzt, Mitte der Woche, haben die meisten Websites mit der Aktualisierung begonnen. Bis zum Wochenende ist davon auszugehen, dass die meisten hochkarätigen Websites umgestellt wurden.
Du kannst den ... benutzen Heartbleed Bug Checker Hier können Sie überprüfen, ob die Sicherheitsanfälligkeit noch offen ist oder ob die Website nicht auf Anfragen des oben genannten Prüfers reagiert SSP-Datumsprüfung von LastPass um festzustellen, ob der betreffende Server kürzlich sein SSL-Zertifikat aktualisiert hat (wenn es nach dem 07.04.2014 aktualisiert wurde, ist dies ein guter Indikator dafür, dass die Sicherheitsanfälligkeit behoben wurde). Hinweis: Wenn Sie howtogeek.com über die Fehlerprüfung ausführen, wird ein Fehler zurückgegeben, da wir überhaupt keine SSL-Verschlüsselung verwenden. Außerdem haben wir überprüft, dass auf unseren Servern keine betroffene Software ausgeführt wird.
Trotzdem sieht es so aus, als würde sich dieses Wochenende zu einem guten Wochenende entwickeln, um ernsthaft über die Aktualisierung Ihrer Passwörter nachzudenken. Zunächst benötigen Sie ein Passwortverwaltungssystem. Auschecken Unser Leitfaden für den Einstieg in LastPass um eine der sichersten und flexibelsten Optionen für die Passwortverwaltung einzurichten. Sie müssen LastPass nicht verwenden, benötigen jedoch ein System, mit dem Sie für jede von Ihnen besuchte Website ein eindeutiges und sicheres Kennwort verfolgen und verwalten können.
Zweitens müssen Sie Ihre Passwörter ändern. Der Überblick über das Krisenmanagement in unserem Leitfaden, Wiederherstellen, nachdem Ihr E-Mail-Passwort kompromittiert wurde ist eine großartige Möglichkeit, um sicherzustellen, dass Sie keine Passwörter verpassen. Es werden auch die Grundlagen einer guten Passworthygiene hervorgehoben, die hier zitiert werden:
- Passwörter sollten immer länger sein als das Minimum, das der Dienst zulässt . Wenn der betreffende Dienst Kennwörter mit 6 bis 20 Zeichen zulässt, wählen Sie das längste Kennwort, an das Sie sich erinnern können.
- Verwenden Sie keine Wörterbuchwörter als Teil Ihres Passworts . Ihr Passwort sollte noch nie Seien Sie so einfach, dass ein flüchtiger Scan mit einer Wörterbuchdatei dies offenbaren würde. Geben Sie niemals Ihren Namen, einen Teil des Logins oder der E-Mail oder andere leicht identifizierbare Elemente wie Ihren Firmennamen oder Straßennamen an. Vermeiden Sie auch die Verwendung gängiger Tastaturkombinationen wie "qwerty" oder "asdf" als Teil Ihres Passworts.
- Verwenden Sie Passphrasen anstelle von Passwörtern . Wenn Sie keinen Passwort-Manager verwenden, um sich wirklich zufällige Passwörter zu merken (ja, wir stellen fest, dass wir wirklich auf die Idee kommen, einen Passwort-Manager zu verwenden), können Sie sich stärkere Passwörter merken, indem Sie sie in Passphrasen umwandeln. Für Ihr Amazon-Konto können Sie beispielsweise die leicht zu merkende Passphrase „Ich liebe es, Bücher zu lesen“ erstellen und diese dann in ein Kennwort wie „! Luv2ReadBkz“ umwandeln. Es ist leicht zu merken und ziemlich stark.
Drittens möchten Sie, wann immer möglich, die Zwei-Faktor-Authentifizierung aktivieren. Sie können Lesen Sie hier mehr über die Zwei-Faktor-Authentifizierung Kurz gesagt, Sie können Ihrem Login eine zusätzliche Identifikationsebene hinzufügen.
VERBUNDEN: Was ist eine Zwei-Faktor-Authentifizierung und warum brauche ich sie?
Bei Google Mail müssen Sie beispielsweise für die Zwei-Faktor-Authentifizierung nicht nur Ihr Login und Passwort, sondern auch den Zugriff auf das in Ihrem Google Mail-Konto registrierte Mobiltelefon haben, damit Sie einen Textnachrichtencode akzeptieren können, den Sie eingeben, wenn Sie sich von einem neuen Computer aus anmelden.
Wenn die Zwei-Faktor-Authentifizierung aktiviert ist, ist es für jemanden, der Zugriff auf Ihr Login und Passwort erhalten hat (wie beim Heartbleed Bug), sehr schwierig, tatsächlich auf Ihr Konto zuzugreifen.
Sicherheitslücken, insbesondere solche mit so weitreichenden Auswirkungen, machen nie Spaß, bieten uns jedoch die Möglichkeit, unsere Kennwortpraktiken zu verschärfen und sicherzustellen, dass eindeutige und sichere Kennwörter den Schaden, wenn er auftritt, eindämmen.
