마지막으로 주요 보안 위반에 대해 경고했습니다. Adobe의 암호 데이터베이스가 손상되어 수백만 명의 사용자 (특히 약하고 자주 재사용되는 암호를 사용하는 사용자)가 위험에 처했을 때였습니다. 오늘 우리는 인터넷에있는 보안 웹 사이트의 엄청난 2/3를 잠재적으로 손상시킨 훨씬 더 큰 보안 문제인 Heartbleed 버그에 대해 경고합니다. 암호를 변경해야하며 지금 시작해야합니다.
중요 사항 : How-To Geek는이 버그의 영향을받지 않습니다.
Heartbleed는 무엇이고 왜 그렇게 위험한가요?
일반적인 보안 침해에서 단일 회사의 사용자 기록 / 암호가 노출됩니다. 그런 일이 발생하면 끔찍하지만 고립 된 일입니다. 회사 X는 보안 위반이 발생하여 사용자에게 경고를 보냅니다. 우리와 같은 사람들은 모든 사람에게 올바른 보안 위생을 실천하고 비밀번호를 업데이트해야 할 때임을 상기시킵니다. 불행히도 일반적인 침해는 그 자체로도 충분히 나쁩니다. Heartbleed Bug는 많은 것입니다. 많은, 보다 나쁜.
Heartbleed 버그는 우리가 이메일을 보내고, 뱅킹하고, 안전하다고 생각되는 웹 사이트와 상호 작용하는 동안 우리를 보호하는 바로 그 암호화 체계를 훼손합니다. 여기에 취약성에 대한 일반 영어 설명 버그를 발견하고 대중에게 경고 한 보안 그룹 Codenomicon에서 :
Heartbleed 버그는 널리 사용되는 OpenSSL 암호화 소프트웨어 라이브러리의 심각한 취약점입니다. 이러한 약점은 인터넷 보안에 사용되는 SSL / TLS 암호화에 의해 정상적인 조건에서 보호되는 정보를 훔칠 수 있도록합니다. SSL / TLS는 웹, 이메일, IM (인스턴트 메시징) 및 일부 VPN (가상 사설망)과 같은 애플리케이션에 인터넷을 통한 통신 보안 및 개인 정보 보호를 제공합니다.
Heartbleed 버그는 인터넷상의 누구나 OpenSSL 소프트웨어의 취약한 버전으로 보호되는 시스템의 메모리를 읽을 수 있도록합니다. 이는 서비스 제공 업체를 식별하고 트래픽, 사용자 이름 및 비밀번호, 실제 콘텐츠를 암호화하는 데 사용되는 비밀 키를 손상시킵니다. 이를 통해 공격자는 통신을 도청하고 서비스 및 사용자로부터 직접 데이터를 훔치고 서비스 및 사용자를 가장 할 수 있습니다.
꽤 나쁘게 들리 죠? SSL을 사용하는 모든 웹 사이트의 약 3 분의 2가이 취약한 버전의 OpenSSL을 사용하고 있다는 사실을 알게되면 더욱 안 좋게 들립니다. 우리는 핫로드 포럼이나 카드 게임 스왑 사이트와 같은 소규모 사이트를 말하는 것이 아니라 은행, 신용 카드 회사, 주요 전자 소매 업체 및 전자 메일 제공 업체에 대해 이야기하고 있습니다. 설상가상으로이 취약점은 약 2 년 동안 야생에있었습니다. 2 년 동안 적절한 지식과 기술을 가진 누군가가 귀하가 사용하는 서비스의 로그인 자격 증명과 비공개 통신을 활용했을 수 있습니다 (그리고 Codenomicon에서 실시한 테스트에 따르면 추적없이 수행함).
Heartbleed 버그가 어떻게 작동하는지 더 잘 보여줍니다. 이것을 읽으십시오 xkcd 만화.
익스플로잇으로 빨아 들인 모든 자격 증명과 정보를 과시하는 그룹은 없지만 게임의이 시점에서 자주 사용하는 웹 사이트의 로그인 자격 증명이 손상되었다고 가정해야합니다.
하트 블리드 버그 이후 수행 할 작업
대부분의 보안 위반 (그리고 이것은 확실히 대규모로 자격이 있음)은 암호 관리 관행을 평가해야합니다. Heartbleed Bug의 광범위한 범위를 감안할 때 이것은 이미 원활하게 실행되고있는 암호 관리 시스템을 검토 할 수있는 완벽한 기회입니다.
암호를 즉시 변경하기 전에 회사가 OpenSSL의 새 버전으로 업그레이드 한 경우에만 취약점이 패치된다는 점을 유의하십시오. 월요일에 이야기가 나왔고 모든 사이트에서 즉시 암호를 변경하기 위해 서두르면 대부분의 사람들은 여전히 취약한 버전의 OpenSSL을 실행했을 것입니다.
관련 : 마지막 통과 보안 감사를 실행하는 방법 (및 기다릴 수없는 이유)
이제 대부분의 사이트는 주중에 업데이트 프로세스를 시작했으며 주말에는 대부분의 유명 웹 사이트가 전환 될 것이라고 가정하는 것이 합리적입니다.
사용할 수 있습니다 Heartbleed 버그 검사기 여기에서 취약점이 아직 열려 있는지 확인하거나 사이트가 앞서 언급 한 검사기의 요청에 응답하지 않는 경우에도 LastPass의 SSL 날짜 검사기 문제의 서버가 최근 SSL 인증서를 업데이트했는지 확인합니다 (2014 년 4 월 7 일 이후에 업데이트 한 경우 취약점을 패치했음을 나타내는 좋은 지표입니다). 노트 : 버그 검사기를 통해 howtogeek.com을 실행하면 처음에 SSL 암호화를 사용하지 않기 때문에 오류가 반환되며 서버에서 영향을받는 소프트웨어를 실행하고 있지 않은지 확인했습니다.
즉, 이번 주말은 암호 업데이트에 대해 진지하게 생각하기에 좋은 주말이 될 것 같습니다. 첫째, 암호 관리 시스템이 필요합니다. 체크 아웃 LastPass 시작 가이드 가장 안전하고 유연한 암호 관리 옵션 중 하나를 설정합니다. LastPass를 사용할 필요는 없지만 방문하는 모든 웹 사이트에 대해 고유하고 강력한 암호를 추적하고 관리 할 수있는 일종의 시스템이 필요합니다.
둘째, 비밀번호 변경을 시작해야합니다. 가이드의 위기 관리 개요, 이메일 비밀번호가 유출 된 후 복구하는 방법 , 암호를 놓치지 않도록하는 좋은 방법입니다. 또한 여기에 인용 된 좋은 암호 보안의 기본 사항을 강조합니다.
- 암호는 항상 서비스에서 허용하는 최소값보다 길어야합니다. . 해당 서비스에서 6-20 자의 암호를 허용하는 경우 기억할 수있는 가장 긴 암호로 이동합니다.
- 암호의 일부로 사전 단어를 사용하지 마십시오 . 비밀번호는 못 너무 간단해서 사전 파일로 피상적으로 스캔하면 드러날 것입니다. 귀하의 이름, 로그인 또는 이메일의 일부 또는 회사 이름이나 거리 이름과 같이 쉽게 식별 할 수있는 항목을 포함하지 마십시오. 또한 "qwerty"또는 "asdf"와 같은 일반적인 키보드 조합을 암호의 일부로 사용하지 마십시오.
- 비밀번호 대신 비밀번호 문구 사용 . 정말 임의의 비밀번호를 기억하기 위해 비밀번호 관리자를 사용하지 않는 경우 (예, 비밀번호 관리자를 사용한다는 생각에 착안하고 있음을 알고 있음) 비밀번호를 비밀번호 문구로 변환하여 더 강력한 비밀번호를 기억할 수 있습니다. 예를 들어 Amazon 계정의 경우 "I love to read books"라는 쉽게 기억할 수있는 암호를 만든 다음 "! luv2ReadBkz"와 같은 암호를 입력 할 수 있습니다. 기억하기 쉽고 상당히 강합니다.
셋째, 가능하면 2 단계 인증을 사용하려고합니다. 당신은 할 수 있습니다 여기에서 2 단계 인증에 대해 자세히 알아보세요. 하지만 간단히 말해서 로그인에 추가 식별 레이어를 추가 할 수 있습니다.
예를 들어 Gmail의 경우 이중 인증을 사용하려면 로그인과 비밀번호뿐만 아니라 Gmail 계정에 등록 된 휴대폰에 대한 액세스 권한이 있어야 새 컴퓨터에서 로그인 할 때 입력 할 문자 메시지 코드를 수락 할 수 있습니다.
이중 인증을 사용하면 로그인 및 암호에 대한 액세스 권한을 얻은 사람 (하트 블리드 버그와 마찬가지로)이 실제로 계정에 액세스하기가 매우 어렵습니다.
보안 취약성, 특히 그와 같이 광범위한 영향을 미치는 취약성은 결코 재미가 없지만, 우리가 암호 관행을 강화하고 고유하고 강력한 암호가 손상이 발생했을 때 보호하도록 보장 할 수있는 기회를 제공합니다.
