Important note: How-To Geek is not affected by this bug.
Что такое сердцебиение и почему это так опасно?
При типичном нарушении безопасности пользовательские записи / пароли одной компании раскрываются. Это ужасно, когда это происходит, но это изолированное дело. Компания X имеет нарушения безопасности, они вызывают предупреждение своим пользователям, и люди, подобные нам, напоминают всем, что пришло время начать практиковать хорошую гигиену безопасности и обновить свои пароли. К сожалению, типичные нарушения достаточно плохи, как есть. The Heartbleed Bug - это нечто,много, хуже.
The Heartbleed Bug подрывает схему шифрования, которая защищает нас, когда мы отправляем электронную почту, банки и иным образом взаимодействуем с веб-сайтами, которые мы считаем безопасными. Ниже приведено простое английское описание уязвимости от Codenomicon, группы безопасности, которая обнаружила и предупредила общественность об ошибке:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Это звучит довольно плохо, да? Это звучит еще хуже, когда вы понимаете, что примерно две трети всех сайтов, использующих SSL, используют эту уязвимую версию OpenSSL. Мы не говорим о небольших сайтах времени, таких как форумы с горячей штангой или обмениваемые сайтами коллекционных карточных игр, мы говорим о банках, компаниях кредитных карт, крупных интернет-магазинах и поставщиках электронной почты. Хуже того, эта уязвимость находится в дикой природе около двух лет. Уже через два года кто-то с соответствующими знаниями и навыками мог бы использовать учетные данные для входа в систему и личные сообщения службы, которую вы используете (и, согласно результатам тестирования, проведенного Codenomicon, он делает это без следа).
Для еще лучшей иллюстрации того, как работает ошибка Heartbleed. прочитайте этот комикс xkcd.
Что делать?
Любое нарушение безопасности большинства (и это, безусловно, оценивается в широких масштабах) требует от вас оценки практики управления паролями. Учитывая широкий охват Heartbleed Bug, это прекрасная возможность рассмотреть уже плавную систему управления паролями или, если вы перетащили ноги, чтобы настроить ее.
Помните, что перед тем, как вы сразу перейдете на свои пароли, эта уязвимость исправляется только в том случае, если компания обновилась до новой версии OpenSSL. История пошла в понедельник, и если вы бросились немедленно менять свои пароли на каждом сайте, большинство из них все равно выполняли бы уязвимую версию OpenSSL.
Теперь, в середине недели, большинство сайтов начали процесс обновления, и к выходным разумно предположить, что большинство громких веб-сайтов перейдут.
Вы можете использовать контрольную панель Heartbleed Bug здесь, чтобы узнать, открыта ли уязвимость до сих пор или даже если сайт не отвечает на запросы вышеупомянутой проверки, вы можете использовать проверку даты SSL LastPass, чтобы проверить, обновил ли этот сервер их SSL недавно (если они обновили его после 4/7/2014, это хороший показатель того, что они исправили эту уязвимость.) Замечания: если вы запустите howtogeek.com через проверку ошибок, он вернет ошибку, потому что мы не используем SSL-шифрование в первую очередь, и мы также подтвердили, что на наших серверах не работает какое-либо уязвимое программное обеспечение.
Тем не менее, похоже, что в этот уик-энд сложились хорошие выходные, чтобы серьезно подходить к обновлению ваших паролей. Во-первых, вам нужна система управления паролями. Ознакомьтесь с нашим руководством по началу работы с LastPass, чтобы настроить один из самых безопасных и гибких вариантов управления паролями. Вам не нужно использовать LastPass, но вам нужна какая-то система, которая позволит вам отслеживать и управлять уникальным и надежным паролем для каждого посещаемого вами веб-сайта.
Во-вторых, вам нужно начать менять свои пароли. Контуры управления кризисом в нашем руководстве, как восстановить после того, как пароль электронной почты был скомпрометирован, - отличный способ гарантировать, что вы не пропустите никаких паролей; в нем также освещаются основы правильной гигиены паролей, приведенные здесь:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
В-третьих, по возможности вы хотите включить двухфакторную аутентификацию. Здесь вы можете узнать больше о двухфакторной аутентификации, но вкратце это позволяет добавить дополнительный уровень идентификации в ваш логин.
Например, в Gmail для двухфакторной аутентификации требуется не только ваш логин и пароль, но и доступ к сотовому телефону, зарегистрированному в вашей учетной записи Gmail, чтобы вы могли принять код текстового сообщения для ввода при входе с нового компьютера.
При использовании двухфакторной аутентификации очень сложно получить доступ к вашей учетной записи для доступа к вашему логину и паролю (например, с помощью Heartbleed Bug).
Уязвимости системы безопасности, особенно с такими далеко идущими последствиями, никогда не бывают забавными, но они дают нам возможность затянуть наши методы паролей и гарантировать, что уникальные и надежные пароли сохраняют ущерб, когда это происходит.
