למה אתה צריך לשנות את הסיסמאות שלך עכשיו
הפעם האחרונה שבה התריענו על הפרת אבטחה גדולה היתה כאשר מסד הנתונים של סיסמת Adobe נפגע, ומכניסים למיליוני משתמשים (במיוחד אלה עם סיסמאות חלשות ולעתים קרובות בשימוש חוזר) בסיכון. היום אנו מזהירים אותך לגבי בעיה ביטחונית גדולה הרבה יותר, ה- Heartbleed Bug, שיש לה פוטנציאל להתפשר על 2/3 של אתרים מאובטחים באינטרנט. אתה צריך לשנות את הסיסמאות שלך, ואתה צריך להתחיל לעשות את זה עכשיו.
הערה חשובה: How-To Geek אינו מושפע מבאג זה.
מה זה heartbleed ומדוע זה כל כך מסוכן?
בהפרת האבטחה הרגילה שלך, נחשפים רישומי משתמש / סיסמאות של חברה אחת. זה נורא כשזה קורה, אבל זה עניין בודד. לחברה X יש פריצת אבטחה, הם מתריעים בפני המשתמשים שלהם, והאנשים כמונו מזכירים לכולם שהגיע הזמן להתחיל לתרגל היגיינה ביטחונית טובה ולעדכן את הסיסמאות שלהם. אלה, למרבה הצער, הפרצות אופייניות הן מספיק גרועות כפי שהן. הבשר של הלב הוא משהו הרבה, הרבה, רע יותר.
ה- Heartbleed Bug מערערת את ערכת ההצפנה מאוד שמגינה עלינו בזמן שאנו שולחים דואר אלקטרוני, בנק, ומקיימים אינטראקציה עם אתרים שאנו מאמינים שהם בטוחים. הנה תיאור באנגלית פשוטה של הפגיעות מקודנומיקון, קבוצת האבטחה שגילתה והציגה בפני הציבור את הבאג:
The Heartbleed Bug הוא פגיעות רצינית בספריית התוכנה האופציונלית של OpenSSL קריפטוגרפית. חולשה זו מאפשרת לגנוב את המידע המוגן, בתנאים רגילים, על ידי הצפנת SSL / TLS המשמשת לאבטחת האינטרנט. SSL / TLS מספק אבטחה ופרטיות תקשורת דרך האינטרנט עבור יישומים כגון אינטרנט, דואר אלקטרוני, הודעות מיידיות (IM) וכמה רשתות וירטואליות פרטיות (VPNs).
באג Heartbleed מאפשר לכל אחד באינטרנט לקרוא את הזיכרון של מערכות מוגנים על ידי גרסאות פגיעות של תוכנת OpenSSL. זה פותר את המפתחות הסודיים המשמשים לזהות את ספקי השירות כדי להצפין את התנועה, את השמות והסיסמאות של המשתמשים ואת התוכן בפועל. זה מאפשר לתוקפים לצותת על התקשורת, לגנוב נתונים ישירות מן השירותים והמשתמשים כדי להתחזות שירותים ומשתמשים.
זה נשמע די רע, כן? זה נשמע אפילו יותר גרוע כאשר אתה מבין בערך שני שלישים של כל אתרי האינטרנט באמצעות SSL משתמשים בגירסה זו פגיעה של OpenSSL. אנחנו לא מדברים על אתרי זמן קטנים כמו פורומים רוד חם או אספנות כרטיסי משחק swap אתרים, אנחנו מדברים בנקים, חברות כרטיסי אשראי, דואר אלקטרוני קמעונאים גדולים דואר אלקטרוני ספקי. גרוע מכך, פגיעות זו כבר בטבע במשך כשנתיים. זה שנתיים מישהו עם הידע המיומנות המתאימה יכול היה הקשה על אישורי הכניסה ותקשורת פרטית של שירות אתה משתמש (וגם, על פי בדיקות שנערך על ידי Codenomicon, עושה את זה ללא עקבות).
להמחשה טובה עוד יותר של איך עובד החרקים. קרא את זה xkcd קומיקס.
למרות שאף קבוצה לא באה קדימה כדי להתהדר בכל האישורים והמידע שהם סיפקה עם לנצל, בשלב זה של המשחק אתה צריך להניח כי אישורי הכניסה של אתרי אינטרנט אתה נפוץ כבר בסכנה.
מה לעשות
כל הפרת אבטחה הרוב (וזה בהחלט מוסמך על בקנה מידה גדול) מחייב אותך להעריך את שיטות ניהול הסיסמה שלך. בהתחשב בהישג יד רחב של Heartbleed באג זה הזדמנות מושלמת לבדוק את מערכת ההפעלה כבר פועל חלקה הסיסמה או, אם אתה כבר נגרר הרגליים שלך, כדי להגדיר אחד.
לפני שתצלול לשנות באופן מיידי את הסיסמאות שלך, שים לב שהפגיעות תוקנה רק אם החברה שודרגה לגרסה החדשה של OpenSSL. הסיפור נשבר ביום שני, ואם אתה מיהר החוצה כדי לשנות את הסיסמאות באופן מיידי על כל אתר, רובם היו עדיין מפעיל את הגירסה הפגיעה של OpenSSL.
עכשיו, באמצע השבוע, רוב האתרים החלו את תהליך העדכון ועל ידי סוף השבוע סביר להניח כי רוב של פרופיל גבוה אתרי אינטרנט יש עבר.
תוכל להשתמש בבודק הבאג של Heartbleed כאן כדי לראות אם הפגיעות פתוחה עדיין או, גם אם האתר אינו מגיב לבקשות מהבודק הנ"ל, תוכל להשתמש בבודק התאריך SSL של LastPass כדי לבדוק אם השרת המדובר עדכן את אישור SSL לאחרונה (אם הם עדכנו אותו לאחר 4/7/2014, זהו אינדיקציה טובה לכך שתיקנו את הפגיעות.) הערה: אם אתה מפעיל את howtogeek.com באמצעות בודק באגים זה יחזור שגיאה כי אנחנו לא משתמשים בהצפנת SSL מלכתחילה, ויש לנו גם אימת כי השרתים שלנו אינם מפעילים כל תוכנה מושפעת.
עם זאת, נראה כי בסוף השבוע הזה הוא בעיצוב עד סוף שבוע טוב כדי לקבל רציני לגבי עדכון הסיסמאות שלך. ראשית, אתה צריך מערכת ניהול סיסמאות. עיין במדריך שלנו לתחילת העבודה עם LastPass כדי להגדיר את אחת האפשרויות המאובטחות והגמישות ביותר לניהול סיסמאות מסביב. אתה לא צריך להשתמש LastPass, אבל אתה צריך קצת סוג של מערכת במקום זה יאפשר לך לעקוב ולנהל סיסמה ייחודית וחזקה עבור כל אתר שאתה מבקר.
שנית, אתה צריך להתחיל לשנות את הסיסמאות שלך. מתווה ניהול המשבר במדריך שלנו, כיצד לשחזר לאחר סיסמת הדוא"ל שלך הוא פותר, היא דרך מצוינת להבטיח שאתה לא מתגעגע סיסמאות; זה גם מדגיש את היסודות של היגיינה סיסמה טובה, מצוטט כאן:
- סיסמאות צריכות להיות תמיד ארוכות יותר מהמינימום שהשירות מאפשר. אם השירות המדובר מאפשר 6-20 סיסמאות אופי ללכת על הסיסמה הארוכה ביותר שאתה יכול לזכור.
- אל תשתמש במילות מילון כחלק מהסיסמה שלך. הסיסמה שלך צריכה לעולם לא להיות כל כך פשוט כי סריקה שטחית עם קובץ מילון יגלה את זה. לעולם אל תכלול את שמך, חלק מהתחברות או הדוא"ל, או פריטים אחרים שניתן לזהותם בקלות, כגון שם החברה או שם הרחוב שלך. כמו כן להימנע משימוש בצירופי מקשים נפוצים כגון "qwerty" או "asdf" כחלק מהסיסמה שלך.
- השתמש במשפטי סיסמה במקום בסיסמאות. אם אתה לא משתמש במנהל סיסמאות כדי לזכור סיסמאות אקראיות באמת (כן, אנחנו מבינים שאנחנו באמת משתולל על הרעיון של שימוש במנהל סיסמאות) אז אתה יכול לזכור סיסמאות חזקות על ידי הפיכתם passphrases. עבור חשבון אמזון שלך, לדוגמה, אתה יכול ליצור את הביטוי לזכור בקלות "אני אוהב לקרוא ספרים" ולאחר מכן לקרוס את זה לתוך סיסמה כמו "! Luv2ReadBkz". זה קל לזכור וזה חזק למדי.
שלישית, בכל פעם שאתה רוצה לאפשר אימות שני גורמים. אתה יכול לקרוא עוד על אימות שני גורמים כאן, אבל בקיצור זה מאפשר לך להוסיף שכבה נוספת של זיהוי הכניסה שלך.
עם Gmail, לדוגמה, אימות של שני גורמים מחייב אותך לא רק את שם המשתמש והסיסמה שלך, אלא לגשת אל הטלפון הסלולרי שנרשם לחשבון Gmail שלך, כך שתוכל לקבל קוד הודעת טקסט כדי להזין בעת כניסה ממחשב חדש.
עם אימות שני גורמים מופעלת זה עושה את זה מאוד קשה עבור מישהו שיש לו גישה אל הכניסה שלך ואת הסיסמה (כמו שהם יכולים עם Heartbleed באג) לגשת למעשה את החשבון שלך.
פגיעויות אבטחה, במיוחד אלה עם השלכות מרחיקות לכת כאלה, הן אף פעם לא כיף אבל הם מציעים הזדמנות לנו להדק את שיטות הסיסמה שלנו ולוודא כי סיסמאות ייחודיות וחזקות לשמור על הנזק, כאשר זה מתרחש, הכיל.