Heartbleed הסביר: למה אתה צריך לשנות את הסיסמאות שלך עכשיו

תוכן ללא הכנסה

פעם אחרונה התריענו על הפרת אבטחה גדולה היה כאשר מאגר הסיסמאות של אדובי היה בסכנה, מה שמסכן מיליוני משתמשים (במיוחד אלה עם סיסמאות חלשות ולעיתים קרובות נעשה בהם שימוש חוזר). היום אנו מזהירים אתכם מבעיית אבטחה גדולה בהרבה, ה- Heartbleed Bug, שעלולה לסכן 2/3 מדהימים של אתרי האינטרנט המאובטחים. אתה צריך לשנות את הסיסמאות שלך, ואתה צריך להתחיל לעשות את זה עכשיו.

הערה חשובה: How-To Geek אינו מושפע מהבאג הזה.

מה מדממים את הלב ולמה זה כל כך מסוכן?

בהפרת האבטחה האופיינית לך, רשומות המשתמש / סיסמאות של חברה אחת נחשפות. זה נורא כשזה קורה, אבל זה עניין מבודד. לחברה X יש פרצת אבטחה, הם מוציאים אזהרה למשתמשים שלהם, והאנשים כמונו מזכירים לכולם שהגיע הזמן להתחיל לתרגל היגיינת אבטחה טובה ולעדכן את הסיסמאות שלהם. אלה, למרבה הצער, הפרות אופייניות גרועות דיו. באג Heartbleed הוא משהו הרבה, הַרבֵּה, רע יותר.

ה- Heartbleed Bug מערער את תכנית ההצפנה המגנה עלינו בזמן שאנו שולחים דוא"ל, בנקים ואחרים מתקשרים עם אתרים שאנחנו מאמינים שהם מאובטחים. הנה א תיאור אנגלית רגיל של הפגיעות מ- Codenomicon, קבוצת האבטחה שגילתה והתריעה בפני הציבור על הבאג:

The Heartbleed Bug הוא פגיעות רצינית בספריית התוכנה הקריפטוגרפית הפופולרית OpenSSL. חולשה זו מאפשרת גניבת המידע המוגן, בתנאים רגילים, על ידי הצפנת SSL / TLS המשמשת לאבטחת האינטרנט. SSL / TLS מספק אבטחת תקשורת ופרטיות באינטרנט ליישומים כגון אינטרנט, דוא"ל, מסרים מיידיים (IM) וכמה רשתות פרטיות וירטואליות (VPN).

הבאג של Heartbleed מאפשר לכל אחד באינטרנט לקרוא את זיכרון המערכות המוגנות על ידי הגרסאות הפגיעות של תוכנת OpenSSL. זה מתפשר על המפתחות הסודיים המשמשים לזיהוי נותני השירותים ולהצפנת התעבורה, שמות וסיסמאות המשתמשים והתוכן בפועל. זה מאפשר לתוקפים לצותת לתקשורת, לגנוב נתונים ישירות מהשירותים והמשתמשים ולהתחזה לשירותים ומשתמשים.

זה נשמע די רע, כן? זה נשמע גרוע עוד יותר כאשר אתה מבין שכשני שלישים מכל אתרי האינטרנט המשתמשים ב- SSL משתמשים בגרסה הפגיעה הזו של OpenSSL. אנחנו לא מדברים על אתרים קטנים בזמן כמו פורומים של מוט רוד או אתרי החלפת משחקי קלפים, אלא בנקים, חברות כרטיסי אשראי, קמעונאים אלקטרוניים גדולים וספקי דואר אלקטרוני. גרוע מכך, פגיעות זו הייתה בטבע מזה כשנתיים. זה שנתיים מישהו עם הידע והמיומנויות המתאימים יכול היה להקיש את אישורי הכניסה והתקשורת הפרטית של שירות שאתה משתמש בו (ועל פי הבדיקה שערכה Codenomicon, לעשות זאת ללא עקבות).

להמחשה טובה עוד יותר של פעולת הבאג Heartbleed. קרא את זה xkcd קוֹמִי.

אף על פי שאף קבוצה לא התייצבה כדי להתהדר בכל האישורים והמידע שהם סיננו עם הנצל, בשלב זה של המשחק אתה צריך להניח כי אישורי הכניסה לאתרי האינטרנט שאתה מבקר בהם נפגעו.

מה לעשות לפרסם באג לבבי

כל הפרת אבטחה ברוב (וזה בהחלט כשיר בקנה מידה גדול) מחייבת אותך להעריך את נוהלי ניהול הסיסמאות שלך. בהתחשב בטווח הרחב של ה- Heartbleed Bug זוהי הזדמנות מושלמת לסקור מערכת ניהול סיסמאות שכבר פועלת בצורה חלקה או, אם גררתם רגליים, להגדיר אחת מהן.

לפני שתצלול לשינוי הסיסמאות שלך באופן מיידי, שים לב שהפגיעות מתוקנת רק אם החברה שדרגה לגרסה החדשה של OpenSSL. הסיפור פרץ ביום שני, ואם היית ממהרת לשנות באופן מיידי את הסיסמאות שלך בכל אתר, רובם עדיין היו מריצים את הגרסה הפגיעה של OpenSSL.

קָשׁוּר: כיצד להפעיל ביקורת אבטחה במעבר האחרון (ולמה זה לא יכול לחכות)

כעת, באמצע השבוע, מרבית האתרים החלו בתהליך העדכון ובסוף השבוע סביר להניח שרוב אתרי הפרופיל הגבוהים יחלפו.

אתה יכול להשתמש ב- בודק באגים של הלב כאן כדי לראות אם הפגיעות פתוחה עדיין, או אם האתר אינו מגיב לבקשות מהבוחן הנ"ל, אתה יכול להשתמש בודק תאריכי SSL של LastPass כדי לראות אם השרת המדובר עדכן את אישור ה- SSL שלהם לאחרונה (אם הם עדכנו אותו לאחר 4/7/2014 זה אינדיקטור טוב שהם תוקנו את הפגיעות.) הערה: אם תריץ howtogeek.com דרך בודק הבאגים הוא יחזיר שגיאה מכיוון שאנחנו מלכתחילה לא משתמשים בהצפנת SSL, ואמתנו גם שהשרתים שלנו לא מריצים שום תוכנה מושפעת.

עם זאת, נראה כי סוף השבוע הזה מתפתח לסוף שבוע טוב בכדי להיות רציניים לגבי עדכון הסיסמאות. ראשית, אתה זקוק למערכת לניהול סיסמאות. לבדוק המדריך שלנו לתחילת העבודה עם LastPass להגדיר את אחת האפשרויות הבטוחות והגמישות ביותר לניהול סיסמאות בסביבה. אינך צריך להשתמש ב- LastPass, אך אתה זקוק למערכת כלשהי במקום שתאפשר לך לעקוב ולנהל סיסמה ייחודית וחזקה לכל אתר שאתה מבקר בו.

שנית, עליך להתחיל לשנות את הסיסמאות שלך. מתווה ניהול המשברים במדריך שלנו, כיצד להתאושש לאחר סיסמת הדוא"ל שלך , היא דרך נהדרת להבטיח שלא תפספס שום סיסמא; זה גם מדגיש את היסודות של היגיינת סיסמאות טובה, המצוטט כאן:

• סיסמאות תמיד צריכות להיות ארוכות מהמינימום שהשירות מאפשר . אם השירות המדובר מאפשר סיסמאות של 6-20 תווים, עבור לסיסמה הארוכה ביותר שאתה יכול לזכור.
• אל תשתמש במילות מילון כחלק מהסיסמה שלך . על הסיסמה שלך להיות לעולם לא להיות כל כך פשוט שסריקה חטופה עם קובץ מילון תגלה אותו. לעולם אל תכלול את שמך, חלק מההתחברות או הדוא"ל שלך, או פריטים אחרים שניתן לזהות בקלות כמו שם החברה שלך או שם הרחוב שלך. כמו כן הימנע משימוש בשילובי מקשים נפוצים כמו "qwerty" או "asdf" כחלק מהסיסמה שלך.
• השתמש בביטויי סיסמה במקום בסיסמאות . אם אינך משתמש במנהל סיסמאות כדי לזכור סיסמאות אקראיות באמת (כן, אנו מבינים שאנחנו באמת נוקבים ברעיון להשתמש במנהל סיסמאות) אז תוכל לזכור סיסמאות חזקות יותר על ידי הפיכתן לביטויי סיסמה. עבור חשבון אמזון שלך, למשל, אתה יכול ליצור את משפט הסיסמה הזכור בקלות "אני אוהב לקרוא ספרים" ואז לרסק את זה לסיסמה כמו "! Luv2ReadBkz". קל לזכור וזה חזק למדי.

שלישית, במידת האפשר אתה רוצה לאפשר אימות דו-גורמי. אתה יכול קרא עוד על אימות דו-גורמי כאן , אך בקיצור זה מאפשר להוסיף שכבת זיהוי נוספת לכניסה שלך.

קָשׁוּר: מהי אימות דו-גורמי ומדוע אני צריך את זה?

ב- Gmail, למשל, אימות דו-גורמי מחייב שיהיה לך רק את הכניסה והסיסמה שלך אלא גישה לטלפון הסלולרי הרשום לחשבון Gmail שלך, כך שתוכל לקבל קוד הודעת טקסט להזנה בעת כניסה ממחשב חדש.

עם אימות דו-גורמי מופעל זה מקשה מאוד על מישהו שקיבל גישה לכניסה ולסיסמה שלך (כמו שהיה יכול לעשות עם ה- Heartbleed Bug) לגשת בפועל לחשבונך.

---

פרצות אבטחה, במיוחד כאלה עם השלכות כה מרחיקות לכת, אינן מהנות אף פעם, אך הן מציעות לנו הזדמנות להדק את נוהלי הסיסמאות שלנו ולהבטיח כי סיסמאות ייחודיות וחזקות ישמרו על הנזק, כאשר הוא מתרחש.