De laatste keer we hebben u gewaarschuwd voor een grote inbreuk op de beveiliging was toen de wachtwoorddatabase van Adobe werd gecompromitteerd, waardoor miljoenen gebruikers (vooral degenen met zwakke en vaak hergebruikte wachtwoorden) in gevaar kwamen. Vandaag waarschuwen we u voor een veel groter beveiligingsprobleem, de Heartbleed Bug, die mogelijk maar liefst 2 / 3e van de beveiligde websites op internet heeft aangetast. U moet uw wachtwoorden wijzigen en u moet er nu mee beginnen.
Belangrijke opmerking: How-To Geek wordt niet beïnvloed door deze bug.
Wat is Heartbleed en waarom is het zo gevaarlijk?
Bij uw typische inbreuk op de beveiliging worden de gebruikersrecords / wachtwoorden van één bedrijf zichtbaar. Dat is vreselijk als het gebeurt, maar het is een geïsoleerde aangelegenheid. Bedrijf X heeft een inbreuk op de beveiliging, ze geven een waarschuwing aan hun gebruikers en de mensen zoals wij herinneren iedereen eraan dat het tijd is om een goede veiligheidshygiëne toe te passen en hun wachtwoorden bij te werken. Die, helaas, typische inbreuken zijn al erg genoeg. De Heartbleed Bug is iets veel, veel, erger.
De Heartbleed Bug ondermijnt het versleutelingsschema dat ons beschermt terwijl we e-mailen, bankieren en anderszins communiceren met websites waarvan we denken dat ze veilig zijn. Hier is een duidelijk-Engelse beschrijving van de kwetsbaarheid van Codenomicon, de beveiligingsgroep die de bug heeft ontdekt en het publiek heeft gewaarschuwd:
De Heartbleed-bug is een ernstige kwetsbaarheid in de populaire cryptografische softwarebibliotheek OpenSSL. Door deze zwakte kan de informatie worden gestolen die onder normale omstandigheden wordt beschermd door de SSL / TLS-codering die wordt gebruikt om het internet te beveiligen. SSL / TLS biedt communicatiebeveiliging en privacy via internet voor toepassingen zoals web, e-mail, instant messaging (IM) en sommige virtuele privénetwerken (VPN's).
Door de Heartbleed-bug kan iedereen op internet het geheugen lezen van de systemen die worden beschermd door de kwetsbare versies van de OpenSSL-software. Dit compromitteert de geheime sleutels die worden gebruikt om de serviceproviders te identificeren en om het verkeer, de namen en wachtwoorden van de gebruikers en de feitelijke inhoud te versleutelen. Hierdoor kunnen aanvallers communicatie afluisteren, gegevens rechtstreeks van de services en gebruikers stelen en zich voordoen als services en gebruikers.
Dat klinkt best slecht, toch? Het klinkt nog erger als je je realiseert dat ongeveer tweederde van alle websites die SSL gebruiken deze kwetsbare versie van OpenSSL gebruikt. We hebben het niet over kleine sites zoals hot rod-forums of sites voor het ruilen van kaartspellen, maar over banken, creditcardmaatschappijen, grote e-retailers en e-mailproviders. Erger nog, deze kwetsbaarheid is al ongeveer twee jaar in het wild. Dat is twee jaar geleden dat iemand met de juiste kennis en vaardigheden gebruik had kunnen maken van de inloggegevens en privécommunicatie van een service die u gebruikt (en, volgens de tests uitgevoerd door Codenomicon, het spoorloos kunnen doen).
Voor een nog betere illustratie van hoe de Heartbleed-bug werkt. Lees dit xkcd grappig.
Hoewel geen enkele groep naar voren is gekomen om te pronken met alle inloggegevens en informatie die ze hebben overgeheveld met de exploit, moet je op dit punt in het spel aannemen dat de inloggegevens voor de websites die je bezoekt, zijn aangetast.
Wat te doen Post Heartbleed Bug
Elke inbreuk op de beveiliging van de meerderheid (en dit komt zeker in aanmerking op grote schaal) vereist dat u uw wachtwoordbeheerpraktijken beoordeelt. Gezien het brede bereik van de Heartbleed Bug is dit een perfecte gelegenheid om een al soepel lopend wachtwoordbeheersysteem te bekijken of, als je met je voeten hebt gesleept, er een op te zetten.
Voordat u begint met het onmiddellijk wijzigen van uw wachtwoorden, moet u er rekening mee houden dat de kwetsbaarheid alleen wordt gepatcht als het bedrijf een upgrade naar de nieuwe versie van OpenSSL heeft uitgevoerd. Het verhaal brak maandag uit, en als je je haastte om je wachtwoorden onmiddellijk op elke site te wijzigen, zouden de meeste nog steeds de kwetsbare versie van OpenSSL hebben uitgevoerd.
VERWANT: Hoe u een Last Pass-beveiligingsaudit uitvoert (en waarom deze niet kan wachten)
Nu, halverwege de week, zijn de meeste sites begonnen met het bijwerken en tegen het weekend is het redelijk om aan te nemen dat de meeste spraakmakende websites zijn overgeschakeld.
U kunt de Heartbleed Bug-checker hier om te zien of de kwetsbaarheid nog steeds open is of, zelfs als de site niet reageert op verzoeken van de bovengenoemde checker, kunt u gebruiken De SSL-datumcontrole van LastPass om te zien of de server in kwestie hun SSL-certificaat onlangs heeft bijgewerkt (als ze het na 7-4-2014 hebben bijgewerkt, is dit een goede indicatie dat ze de kwetsbaarheid hebben gepatcht). Notitie: als u howtogeek.com door de bugchecker laat lopen, wordt er een fout geretourneerd omdat we in de eerste plaats geen SSL-codering gebruiken, en we hebben ook geverifieerd dat onze servers geen betrokken software gebruiken.
Dat gezegd hebbende, lijkt het erop dat dit weekend een goed weekend aan het worden is om serieus bezig te zijn met het bijwerken van uw wachtwoorden. Ten eerste heeft u een wachtwoordbeheersysteem nodig. Uitchecken onze gids om aan de slag te gaan met LastPass om een van de meest veilige en flexibele wachtwoordbeheeropties in te stellen. U hoeft LastPass niet te gebruiken, maar u heeft wel een soort systeem nodig waarmee u voor elke website die u bezoekt een uniek en sterk wachtwoord kunt bijhouden en beheren.
Ten tweede moet u uw wachtwoorden wijzigen. Het overzicht van crisisbeheersing in onze gids, Hoe u kunt herstellen nadat uw e-mailwachtwoord is gecompromitteerd , is een geweldige manier om ervoor te zorgen dat u geen wachtwoorden mist; het belicht ook de basisprincipes van goede wachtwoordhygiëne, die hier worden geciteerd:
- Wachtwoorden moeten altijd langer zijn dan het minimum dat door de service wordt toegestaan . Als de betreffende service wachtwoorden van 6-20 tekens toestaat, ga dan voor het langste wachtwoord dat u zich kunt herinneren.
- Gebruik geen woordenboekwoorden als onderdeel van uw wachtwoord . Uw wachtwoord moet nooit wees zo eenvoudig dat een vluchtige scan met een woordenboekbestand het zou onthullen. Vermeld nooit uw naam, een deel van de login of e-mail, of andere gemakkelijk identificeerbare items zoals uw bedrijfsnaam of straatnaam. Vermijd ook het gebruik van veelgebruikte toetsenbordcombinaties zoals "qwerty" of "asdf" als onderdeel van uw wachtwoord.
- Gebruik wachtzinnen in plaats van wachtwoorden . Als u geen wachtwoordbeheerder gebruikt om echt willekeurige wachtwoorden te onthouden (ja, we beseffen dat we echt op het idee hameren om een wachtwoordbeheerder te gebruiken), dan kunt u sterkere wachtwoorden onthouden door ze om te zetten in wachtzinnen. Voor uw Amazon-account kunt u bijvoorbeeld de gemakkelijk te onthouden wachtwoordzin "Ik hou van boeken lezen" aanmaken en die vervolgens in een wachtwoord verwerken zoals "! Luv2ReadBkz". Het is gemakkelijk te onthouden en het is redelijk sterk.
Ten derde wilt u waar mogelijk tweefactorauthenticatie inschakelen. Jij kan Lees hier meer over tweefactorauthenticatie , maar in het kort stelt het u in staat om een extra identificatielaag aan uw login toe te voegen.
VERWANT: Wat is tweefactorauthenticatie en waarom heb ik het nodig?
Met Gmail, bijvoorbeeld, vereist tweefactorauthenticatie dat u niet alleen uw login en wachtwoord hebt, maar ook toegang tot de mobiele telefoon die is geregistreerd bij uw Gmail-account, zodat u een sms-code kunt accepteren die moet worden ingevoerd wanneer u zich aanmeldt vanaf een nieuwe computer.
Met tweefactorauthenticatie ingeschakeld, maakt het het erg moeilijk voor iemand die toegang heeft gekregen tot je login en wachtwoord (zoals ze zouden kunnen met de Heartbleed Bug) om daadwerkelijk toegang te krijgen tot je account.
Beveiligingskwetsbaarheden, vooral die met zulke verreikende implicaties, zijn nooit leuk, maar ze bieden ons wel de mogelijkheid om onze wachtwoordpraktijken aan te scherpen en ervoor te zorgen dat unieke en sterke wachtwoorden de schade, wanneer deze zich voordoet, beperkt houden.
