Son kez sizi büyük bir güvenlik ihlali konusunda uyardık Adobe’nin şifre veri tabanının tehlikeye atıldığı ve milyonlarca kullanıcıyı (özellikle zayıf ve sık kullanılan şifreleri olanlar) riske attığı zamandı. Bugün sizi, İnternet'teki güvenli web sitelerinin şaşırtıcı bir şekilde 2 / 3'ünü tehlikeye atan çok daha büyük bir güvenlik sorunu olan Heartbleed Bug hakkında uyarıyoruz. Parolalarınızı değiştirmeniz gerekiyor ve şimdi yapmaya başlamalısınız.
Önemli not: Nasıl Yapılır Geek bu hatadan etkilenmez.
Heartbleed Nedir ve Neden Bu Kadar Tehlikelidir?
Tipik güvenlik ihlalinizde, tek bir şirketin kullanıcı kayıtları / şifreleri açığa çıkar. Bu olduğunda çok kötü, ama bu münferit bir mesele. X Şirketi'nde bir güvenlik ihlali var, kullanıcılarına bir uyarı veriyorlar ve bizim gibi insanlar herkese iyi güvenlik hijyeni uygulamaya başlama ve şifrelerini güncelleme zamanının geldiğini hatırlatıyor. Bunlar maalesef tipik ihlaller yeterince kötü. Heartbleed Bug çok şeydir, çok, daha da kötüsü.
Heartbleed Bug, güvenli olduğuna inandığımız web sitelerine e-posta gönderirken, banka işlemleri yaparken ve başka bir şekilde etkileşimde bulunurken bizi koruyan şifreleme düzenini zayıflatır. Burada bir güvenlik açığının düz İngilizce açıklaması Bu hatayı keşfeden ve halkı uyaran güvenlik grubu Codenomicon'dan:
Heartbleed Bug, popüler OpenSSL kriptografik yazılım kütüphanesindeki ciddi bir güvenlik açığıdır. Bu zayıflık, normal koşullar altında, İnternet'in güvenliğini sağlamak için kullanılan SSL / TLS şifrelemesi ile korunan bilgilerin çalınmasına izin verir. SSL / TLS, web, e-posta, anlık mesajlaşma (IM) ve bazı sanal özel ağlar (VPN'ler) gibi uygulamalar için İnternet üzerinden iletişim güvenliği ve gizliliği sağlar.
Heartbleed hatası, İnternetteki herkesin OpenSSL yazılımının savunmasız sürümleri tarafından korunan sistemlerin belleğini okumasına izin verir. Bu, hizmet sağlayıcıları tanımlamak ve trafiği, kullanıcıların adlarını ve şifrelerini ve gerçek içeriği şifrelemek için kullanılan gizli anahtarları tehlikeye atar. Bu, saldırganların iletişimleri dinlemesine, doğrudan hizmetlerden ve kullanıcılardan veri çalmasına ve hizmetlerin ve kullanıcıların kimliğine bürünmesine olanak tanır.
Kulağa oldukça kötü geliyor, değil mi? SSL kullanan tüm web sitelerinin yaklaşık üçte ikisinin bu savunmasız OpenSSL sürümünü kullandığını fark ettiğinizde kulağa daha da kötü geliyor. Hot rod forumları veya koleksiyon kart oyunu takas siteleri gibi kısa süreli sitelerden bahsetmiyoruz, bankalardan, kredi kartı şirketlerinden, büyük e-perakendecilerden ve e-posta sağlayıcılarından bahsediyoruz. Daha da kötüsü, bu güvenlik açığı yaklaşık iki yıldır vahşi yaşıyor. Bu iki yıl içinde, uygun bilgi ve becerilere sahip biri, kullandığınız bir hizmetin oturum açma kimlik bilgilerinden ve özel iletişiminden yararlanıyor olabilir (ve Codenomicon tarafından yapılan teste göre bunu iz bırakmadan yapıyor).
Heartbleed böceğinin nasıl çalıştığına dair daha iyi bir örnek için. Oku bunu xkcd komik.
Herhangi bir grup, istismarla birlikte aldıkları tüm kimlik bilgilerini ve bilgileri sergilemek için öne çıkmamış olsa da, oyunun bu noktasında, sık kullandığınız web sitelerinin oturum açma kimlik bilgilerinin tehlikeye atıldığını varsaymalısınız.
Heartbleed Bug Yayınlamak Ne Yapmalı
Herhangi bir çoğunluk güvenlik ihlali (ve bu kesinlikle büyük ölçekte geçerlidir) parola yönetimi uygulamalarınızı değerlendirmenizi gerektirir. Heartbleed Bug'ın geniş erişimi göz önüne alındığında, bu, zaten sorunsuz çalışan bir şifre yönetim sistemini gözden geçirmek veya ayağınızı sürüklediyseniz bir tane kurmak için mükemmel bir fırsattır.
Parolalarınızı hemen değiştirmeye başlamadan önce, güvenlik açığının yalnızca şirket OpenSSL'nin yeni sürümüne yükseltme yaptığında düzeltileceğini unutmayın. Hikaye Pazartesi günü patlak verdi ve şifrelerinizi hemen her sitede değiştirmek için acele etseniz, çoğu hala OpenSSL'nin savunmasız sürümünü çalıştırıyor olacaktı.
İLİŞKİLİ: Son Geçiş Güvenlik Denetimi Nasıl Çalıştırılır (ve Neden Bekleyemez)
Şimdi, hafta ortasında, çoğu site güncelleme işlemine başladı ve hafta sonu itibariyle yüksek profilli web sitelerinin çoğunun değişmiş olacağını varsaymak mantıklı.
Kullanabilirsiniz Heartbleed Bug denetleyicisi burada güvenlik açığının hala açık olup olmadığını görmek için veya site yukarıda belirtilen denetleyiciden gelen isteklere yanıt vermiyorsa bile kullanabilirsiniz LastPass’ın SSL tarih denetleyicisi söz konusu sunucunun yakın zamanda SSL sertifikasını güncelleyip güncellemediğini görmek için (4/7/2014 tarihinden sonra güncellemişlerse, güvenlik açığına yama uyguladıklarının iyi bir göstergesidir.) Not: howtogeek.com'u hata denetleyicisi aracılığıyla çalıştırırsanız, ilk başta SSL şifrelemesini kullanmadığımız için bir hata döndürür ve ayrıca sunucularımızın etkilenen herhangi bir yazılımı çalıştırmadığını da doğruladık.
Bununla birlikte, bu hafta sonu, şifrelerinizi güncelleme konusunda ciddi olmak için iyi bir hafta sonu olarak şekilleniyor gibi görünüyor. Öncelikle bir şifre yönetim sistemine ihtiyacınız var. Ödeme LastPass kullanmaya başlama kılavuzumuz en güvenli ve esnek parola yönetimi seçeneklerinden birini kurmak için. LastPass kullanmanız gerekmez, ancak ziyaret ettiğiniz her web sitesi için benzersiz ve güçlü bir şifreyi izlemenize ve yönetmenize olanak tanıyan bir tür sisteme ihtiyacınız vardır.
İkincisi, parolalarınızı değiştirmeye başlamalısınız. Rehberimizdeki kriz yönetimi ana hatları, E-posta Parolanız İhlal Edildikten Sonra Nasıl Kurtarılır , hiçbir şifreyi kaçırmamanızı sağlamanın harika bir yoludur; aynı zamanda, burada alıntılanan iyi şifre hijyeninin temellerini de vurgular:
- Şifreler her zaman hizmetin izin verdiği minimum değerden uzun olmalıdır . Söz konusu hizmet 6-20 karakterlik parolalara izin veriyorsa, hatırlayabileceğiniz en uzun parolayı seçin.
- Parolanızın bir parçası olarak sözlük kelimeleri kullanmayın . Şifreniz asla o kadar basit ki, bir sözlük dosyasıyla yapılan üstünkörü bir tarama onu ortaya çıkaracaktır. Asla adınızı, giriş bilgilerinizin veya e-postanızın bir kısmını veya şirket adınız veya sokak adınız gibi kolayca tanımlanabilen diğer öğeleri eklemeyin. Ayrıca şifrenizin bir parçası olarak "qwerty" veya "asdf" gibi yaygın klavye kombinasyonlarını kullanmaktan da kaçının.
- Parola yerine parola kullanın . Gerçekten rastgele şifreleri hatırlamak için bir şifre yöneticisi kullanmıyorsanız (evet, bir şifre yöneticisi kullanma fikrini gerçekten zedelediğimizin farkındayız), daha güçlü şifreleri şifrelere dönüştürerek hatırlayabilirsiniz. Örneğin, Amazon hesabınız için, kolayca hatırlanan "Kitap okumayı seviyorum" parolasını oluşturabilir ve ardından bunu "! Luv2ReadBkz" gibi bir parola haline getirebilirsiniz. Hatırlaması kolay ve oldukça güçlü.
Üçüncüsü, mümkün olduğunda iki faktörlü kimlik doğrulamayı etkinleştirmek istersiniz. Yapabilirsin iki faktörlü kimlik doğrulama hakkında daha fazlasını buradan okuyun , ancak kısaca oturum açma bilgilerinize ek bir kimlik katmanı eklemenize olanak tanır.
İLİŞKİLİ: İki Faktörlü Kimlik Doğrulama Nedir ve Neden İhtiyacım Var?
Örneğin Gmail ile, iki faktörlü kimlik doğrulama, yalnızca giriş ve şifrenizin değil, aynı zamanda Gmail hesabınıza kayıtlı cep telefonuna erişiminizin olmasını gerektirir, böylece yeni bir bilgisayardan giriş yaptığınızda girilecek bir metin mesajı kodunu kabul edebilirsiniz.
İki faktörlü kimlik doğrulama etkinleştirildiğinde, oturum açma bilgilerinize ve şifrenize (Heartbleed Bug'da olduğu gibi) erişen birinin hesabınıza gerçekten erişmesini çok zorlaştırır.
Güvenlik açıkları, özellikle bu kadar geniş kapsamlı sonuçları olanlar, hiçbir zaman eğlenceli değildir, ancak bize şifre uygulamalarımızı sıkılaştırma ve benzersiz ve güçlü şifrelerin oluştuğunda zararı korumasını sağlama fırsatı sunarlar.
