前回 重大なセキュリティ違反について警告しました アドビのパスワードデータベースが侵害され、何百万ものユーザー(特にパスワードが弱く頻繁に再利用されるユーザー)が危険にさらされたときでした。本日、インターネット上の安全なWebサイトの驚異的な3分の2を危険にさらす可能性のある、はるかに大きなセキュリティ問題であるHeartbleedBugについて警告します。パスワードを変更する必要があり、今すぐ変更を開始する必要があります。
重要な注意:ハウツーオタクはこのバグの影響を受けません。
ハートブリードとは何ですか?なぜそれはとても危険なのですか?
典型的なセキュリティ違反では、単一の会社のユーザーレコード/パスワードが公開されます。それが起こったときそれはひどいですが、それは孤立した事件です。 X社にはセキュリティ違反があり、ユーザーに警告を発します。私たちのような人々は、適切なセキュリティ衛生の実践を開始し、パスワードを更新する時期が来たことを全員に思い出させます。残念ながら、これらの典型的な違反は、それなりにひどいものです。ハートブリードバグはかなりのものです、 多く、 さらに悪い。
Heartbleed Bugは、安全であると信じるWebサイトに電子メールを送信したり、銀行に預けたり、その他の方法でやり取りしたりするときに、私たちを保護する暗号化スキームそのものを弱体化させます。がここにあります 脆弱性の平易な英語の説明 バグを発見して一般の人々に警告したセキュリティグループであるCodenomiconから:
Heartbleed Bugは、人気のあるOpenSSL暗号化ソフトウェアライブラリの深刻な脆弱性です。この弱点により、通常の状態では、インターネットの保護に使用されるSSL / TLS暗号化によって保護されている情報を盗むことができます。 SSL / TLSは、Web、電子メール、インスタントメッセージング(IM)、一部の仮想プライベートネットワーク(VPN)などのアプリケーションに、インターネットを介した通信セキュリティとプライバシーを提供します。
Heartbleedバグにより、インターネット上の誰もが、脆弱なバージョンのOpenSSLソフトウェアによって保護されているシステムのメモリを読み取ることができます。これにより、サービスプロバイダーを識別し、トラフィック、ユーザーの名前とパスワード、および実際のコンテンツを暗号化するために使用される秘密鍵が危険にさらされます。これにより、攻撃者は通信を盗聴したり、サービスやユーザーから直接データを盗んだり、サービスやユーザーになりすましたりすることができます。
それはかなり悪いですね。 SSLを使用しているすべてのWebサイトの約3分の2がこの脆弱なバージョンのOpenSSLを使用していることに気付くと、さらに悪いことに聞こえます。ホットロッドフォーラムやトレーディングカードゲームのスワップサイトのような小さな時間のサイトではなく、銀行、クレジットカード会社、主要な電子小売業者、電子メールプロバイダーについて話します。さらに悪いことに、この脆弱性は約2年前から存在しています。それは2年間で、適切な知識とスキルを持った誰かが、使用しているサービスのログイン資格情報とプライベート通信を利用していた可能性があります(Codenomiconが実施したテストによると、トレースなしでそれを行っていました)。
Heartbleedバグがどのように機能するかをさらに詳しく説明します。これを読む xkcd 漫画。
エクスプロイトで吸い上げたすべての資格情報と情報を誇示するグループはありませんが、ゲームのこの時点で、頻繁に使用するWebサイトのログイン資格情報が侵害されていると想定する必要があります。
ハートブリードバグを投稿する方法
大多数のセキュリティ違反(そしてこれは確かに大規模なものです)では、パスワード管理の慣行を評価する必要があります。 Heartbleed Bugの範囲が広いことを考えると、これは、すでにスムーズに実行されているパスワード管理システムを確認する絶好の機会です。足を引っ張っている場合は、設定する絶好の機会です。
パスワードをすぐに変更する前に、会社がOpenSSLの新しいバージョンにアップグレードした場合にのみ脆弱性にパッチが適用されることに注意してください。月曜日に話が分かれ、急いですべてのサイトのパスワードを変更した場合でも、ほとんどのサイトで脆弱なバージョンのOpenSSLが実行されていたはずです。
関連: Last Passのセキュリティ監査を実行する方法(およびそれが待てない理由)
現在、週の半ばにほとんどのサイトが更新プロセスを開始し、週末までに有名なWebサイトの大部分が切り替わると想定するのが妥当です。
あなたは使用することができます ハートブリードバグチェッカー ここで脆弱性がまだ開いているかどうかを確認します。または、サイトが前述のチェッカーからの要求に応答していない場合でも、次を使用できます。 LastPassのSSL日付チェッカー 問題のサーバーがSSL証明書を最近更新したかどうかを確認します(2014年4月7日以降に更新した場合は、脆弱性にパッチを適用したことを示す良い指標です)。 注意: バグチェッカーを介してhowtogeek.comを実行すると、そもそもSSL暗号化を使用していないため、エラーが返されます。また、サーバーが影響を受けるソフトウェアを実行していないことも確認しています。
とは言うものの、今週末はパスワードの更新に真剣に取り組む良い週末になりつつあるようです。まず、パスワード管理システムが必要です。チェックアウト LastPassを使い始めるためのガイド 最も安全で柔軟なパスワード管理オプションの1つを設定します。 LastPassを使用する必要はありませんが、アクセスするすべてのWebサイトの一意で強力なパスワードを追跡および管理できるようにする何らかのシステムを導入する必要があります。
次に、パスワードの変更を開始する必要があります。ガイドの危機管理の概要、 あなたの電子メールパスワードが危険にさらされた後に回復する方法 は、パスワードを見逃さないようにするための優れた方法です。また、ここで引用されている、優れたパスワード衛生の基本についても説明します。
- パスワードは、サービスで許可されている最小値よりも常に長くする必要があります 。問題のサービスで6〜20文字のパスワードが許可されている場合は、覚えている最長のパスワードを使用してください。
- パスワードの一部として辞書の単語を使用しないでください 。パスワードは 決して 辞書ファイルをざっとスキャンすると明らかになるほど単純です。あなたの名前、ログインまたは電子メールの一部、または会社名や通りの名前などの他の簡単に識別できる項目を含めないでください。また、パスワードの一部として「qwerty」や「asdf」などの一般的なキーボードの組み合わせを使用することは避けてください。
- パスワードの代わりにパスフレーズを使用する 。 本当にランダムなパスワードを覚えるためにパスワードマネージャーを使用していない場合(はい、パスワードマネージャーを使用するという考えを本当に強く考えていることを認識しています)、パスフレーズに変換することで、より強力なパスワードを覚えることができます。たとえば、Amazonアカウントの場合、覚えやすいパスフレーズ「本を読むのが大好き」を作成し、それを「!luv2ReadBkz」のようなパスワードに変換できます。覚えやすく、かなり強力です。
第三に、可能な限り、2要素認証を有効にします。あなたはできる 二要素認証について詳しくは、こちらをご覧ください 、しかし要するに、ログインにIDの追加レイヤーを追加することができます。
たとえば、Gmailの場合、2要素認証では、ログインとパスワードだけでなく、Gmailアカウントに登録されている携帯電話にアクセスする必要があります。これにより、新しいコンピューターからログインするときに入力するテキストメッセージコードを受け入れることができます。
二要素認証を有効にすると、ログインとパスワードにアクセスした人が(Heartbleed Bugの場合のように)実際にアカウントにアクセスすることが非常に困難になります。
セキュリティの脆弱性、特にそのような広範囲にわたる影響を伴う脆弱性は決して楽しいものではありませんが、パスワードの慣行を強化し、一意で強力なパスワードが被害が発生した場合にそれを封じ込めることを保証する機会を提供します。
