sv.phhsnews.com


sv.phhsnews.com / Heartbleed Förklarad: Varför behöver du ändra dina lösenord nu

Heartbleed Förklarad: Varför behöver du ändra dina lösenord nu


Förra gången vi varnade för en större säkerhetsbrott var när Adobes lösenordsdatabas äventyras, sätter miljontals användare (särskilt de med svaga och ofta återanvända lösenord) i fara. Idag varnar vi dig om ett mycket större säkerhetsproblem, Heartbleed Bug, som potentiellt har äventyrat en svimlande 2 / 3rds av de säkra webbplatserna på internet. Du måste ändra dina lösenord, och du måste börja göra det nu.

Viktig anteckning: Hur-till-geek påverkas inte av denna bugg.

Vad är heartbleed och varför är det så farligt? ditt typiska säkerhetsbrott, ett enskilt företags användarregister / lösenord exponeras. Det är hemskt när det händer, men det är en isolerad affär. Företag X har en säkerhetsbrott, de utfärdar en varning till sina användare och människorna som oss påminner alla om att det är dags att börja träna bra säkerhetshygien och uppdatera sina lösenord. De, tyvärr, typiska överträdelser är dåliga nog som det är. Heartbleed Bug är något mycket

mycket, värre. Heartbleed Bug undergräver det mycket krypteringsschema som skyddar oss medan vi mailar, bankar och på annat sätt interagerar med webbplatser som vi tror är säkra. Här är en ren engelsk beskrivning av sårbarheten från Codenomicon, säkerhetsgruppen som upptäckte och varnade allmänheten för buggan:

Heartbleed Bug är en allvarlig sårbarhet i det populära OpenSSL kryptografiska programbiblioteket. Denna svaghet tillåter att informationen skyddas, under normala förhållanden, genom SSL / TLS-kryptering som används för att säkra Internet. SSL / TLS tillhandahåller kommunikationssäkerhet och integritet över Internet för applikationer som webb, e-post, snabbmeddelanden (IM) och vissa virtuella privata nätverk (VPN).

Med Heartbleed bug kan alla på Internet läsa minnet om System som skyddas av de sårbara versionerna av OpenSSL-programvaran. Detta kompromissar de hemliga nycklarna som används för att identifiera tjänsteleverantörerna och kryptera trafiken, användarnas namn och lösenord och det faktiska innehållet. Detta gör det möjligt för angripare att avlyssna på kommunikation, stjäla data direkt från tjänsterna och användarna och att imitera tjänster och användare.

Det låter ganska dåligt, ja? Det låter ännu värre när du inser ungefär två tredjedelar av alla webbplatser som använder SSL använder den här sårbara versionen av OpenSSL. Vi pratar inte om små tidssidor som hot rod forum eller samlarbara kortspel bytesplatser, vi pratar banker, kreditkortsföretag, större e-återförsäljare och e-postleverantörer. Ännu värre har denna sårbarhet varit i det vilda i ungefär två år. Det är två år att någon med lämplig kunskap och färdigheter kunde ha slagit in på inloggningsuppgifter och privat kommunikation av en tjänst du använder (och enligt en test som utförts av Codenomicon gör det utan spår).

För en jämn bättre illustration av hur Heartbleed bug fungerar. Läs denna xkcd comic.

Även om ingen grupp har kommit fram för att flaunt alla uppgifter och uppgifter som de höll på med utnyttjandet, måste du på det här laget anta att inloggningsuppgifterna för de webbplatser du ofta har varit komprometterad.

Vad gör du efter Heartbleed Bug

Varje majoritetssäkerhetsbrott (och det här verkligen uppfyller kraven på stor skala) kräver att du utvärderar dina lösenordshanteringsmetoder. Med tanke på den breda räckvidden av Heartbleed Bug är det här ett perfekt tillfälle att granska ett redan löpande lösenordshanteringssystem eller, om du har dragit fötterna, för att ställa in en.

Innan du dyker in omedelbart byter du lösenord , var medveten om att sårbarheten bara patchas om företaget har uppgraderat till den nya versionen av OpenSSL. Historien bröt på måndag, och om du rusade ut för att omedelbart ändra dina lösenord på varje sajt, skulle de flesta fortfarande ha kört den sårbara versionen av OpenSSL.

RELATERADE:

Hur man kör en säkerhetsgranskning för senaste passet (och varför den inte kan vänta) Nu, i mitten av veckan, har de flesta webbplatser börjat uppdatera processen och i helgen är det rimligt att anta majoriteten av högprofilerade webbplatser kommer att ha bytt över.

Du kan använda Heartbleed Bug-kontrollören här för att se om sårbarheten är öppen fortfarande, eller om webbplatsen inte svarar på förfrågningar från den tidigare nämnda kontrollören, kan du använda LastPass SSL-datumkontrollör för att se om den aktuella servern har uppdaterat sitt SSL-certifikat nyligen (om de uppdaterade den efter 4/7/2014 är det en bra indikator på att de har korrigerat sårbarheten.)

Obs! om du kör phhsnews.com genom bugkontrollen kommer att returnera ett fel eftersom vi inte använder SSL-kryptering i första hand och vi har också verifierat att våra servrar inte kör någon påverkad programvara. Det är så att det ser ut som i helgen är att forma att vara en bra helg för att bli allvarlig om att uppdatera dina lösenord. Först behöver du ett lösenordshanteringssystem. Kolla in vår guide för att komma igång med LastPass för att skapa ett av de mest säkra och flexibla alternativen för lösenordshantering runt. Du behöver inte använda LastPass, men du behöver ett slags system på plats som låter dig spåra och hantera ett unikt och starkt lösenord för varje webbplats du besöker.

För det andra måste du ändra dina lösenord . Krishanteringsplanen i vår guide, Hur återställs efter att ditt lösenord är kompromissat är ett bra sätt att se till att du inte saknar några lösenord. Det framhäver också grunderna för god lösenordshygien, citerad här:

Lösenord bör alltid vara längre än det minsta möjliga tjänsten tillåter

  • . Om den aktuella tjänsten tillåter 6-20 tecken går lösenord till det längsta lösenordet du kan komma ihåg. Använd inte ordlistor som en del av ditt lösenord
  • . Ditt lösenord bör aldrig vara så enkelt att en överskådlig sökning med en ordlighetsfil skulle avslöja den. Ta aldrig med ditt namn, del av inloggningen eller e-postmeddelandet eller andra lätt identifierbara saker som ditt företags namn eller gatunamn. Undvik också att använda vanliga tangentbordskombinationer som "qwerty" eller "asdf" som en del av ditt lösenord. Använd lösenordsord i stället för lösenord
  • . Om du inte använder en lösenordshanterare för att komma ihåg riktigt slumpmässiga lösenord ja, vi inser att vi verkligen har harp på idén om att använda en lösenordshanterare) då kan du komma ihåg starkare lösenord genom att göra dem till lösenordsfraser. För ditt Amazon-konto kan du till exempel skapa det lätt minnas lösenfrasen "Jag älskar att läsa böcker" och sedan knäcka det i ett lösenord som "! Luv2ReadBkz". Det är lätt att komma ihåg och det är ganska starkt. För det tredje, när det är möjligt, vill du aktivera tvåfaktors autentisering. Du kan läsa mer om tvåfaktorsautentisering här, men kort sagt, det tillåter dig att lägga till ytterligare ett lager av identifiering till din inloggning.

RELATERAD:

Vad är tvåfaktorautentisering och varför behöver jag det? Med Gmail kräver till exempel tvåfaktorsautentisering att du inte bara har din inloggning och ditt lösenord men tillgång till mobilen som är registrerad i ditt Gmail-konto så att du kan acceptera en textmeddelandekod som ska matas in när du loggar in från en ny dator.

Med tvåfaktors autentisering aktiverad gör det det väldigt svårt för någon som har fått tillgång till ditt inloggningslösenord och lösenord (som de kunde med Heartbleed Bug) att få tillgång till ditt konto.

Säkerhetsproblem, speciellt de med sådana långtgående konsekvenser är aldrig roliga men de erbjuder ett tillfälle för oss att strama våra lösenordsrutiner och se till att unika och starka lösenord skyddar skadan när den uppstår.



Hur återställer du ett tangentbords kartläggning efter en april-dumts pranksvår det?

Hur återställer du ett tangentbords kartläggning efter en april-dumts pranksvår det?

Några små harmlösa pranks mellan vänner är en sak, men vad gör du när du är offer för en prank som gör nyckeln kartläggning för ditt tangentbord till ett komplett tåg vrak? Dagens SuperUser Q & A-post har svaren som en frustrerad läsare behöver för att hantera hans tangentbordskläder. Dagens Frågor och svarssession kommer till vår tjänst med SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.

(how-to)

Så här ser du andra enheter som loggats in på ditt Facebook-konto

Så här ser du andra enheter som loggats in på ditt Facebook-konto

Du loggade in på ditt Facebook-konto på din väns dator och du är inte säker på om du loggat ut. Eller kanske du är orolig någon annan har ditt lösenord. Lyckligtvis följer Facebook var du är inloggad så att du kan se varje enhet som är inloggad på ditt konto och avsluta alla sessioner som du inte vill ha aktiva.

(how-to)