Heartbleed giải thích lý do tại sao bạn cần thay đổi mật khẩu của bạn ngay bây giờ
Lần cuối cùng chúng tôi cảnh báo bạn về một vi phạm bảo mật lớn là khi cơ sở dữ liệu mật khẩu của Adobe bị xâm phạm, khiến hàng triệu người dùng (đặc biệt là những người có mật khẩu yếu và thường xuyên sử dụng lại) gặp nguy hiểm. Hôm nay chúng tôi cảnh báo bạn về một vấn đề bảo mật lớn hơn nhiều, Lỗi Heartbleed, có khả năng đã làm tổn hại 2/3 số trang web bảo mật đáng kinh ngạc trên internet. Bạn cần thay đổi mật khẩu của mình và bạn cần bắt đầu thực hiện ngay bây giờ.
Lưu ý quan trọng: How-To Geek không bị ảnh hưởng bởi lỗi này.
Heartbleed là gì và tại sao nó quá nguy hiểm?
Trong vi phạm bảo mật thông thường của bạn, hồ sơ / mật khẩu người dùng của một công ty bị lộ. Điều đó thật tồi tệ khi nó xảy ra, nhưng đó là một sự cô lập. Công ty X có vi phạm bảo mật, họ đưa ra cảnh báo cho người dùng của mình và những người như chúng tôi nhắc nhở mọi người đã đến lúc bắt đầu thực hành vệ sinh an ninh tốt và cập nhật mật khẩu của họ. Thật không may, những vi phạm điển hình là đủ xấu như nó là. Lỗi Heartbleed là một cái gì đó nhiều, nhiều, tệ hơn.
Lỗi Heartbleed làm suy yếu chính chương trình mã hóa bảo vệ chúng tôi trong khi chúng tôi gửi email, ngân hàng và tương tác với các trang web mà chúng tôi cho là an toàn. Dưới đây là một mô tả bằng tiếng Anh về lỗ hổng từ Codenomicon, nhóm bảo mật đã phát hiện và cảnh báo công chúng về lỗi này:
Lỗi Heartbleed là một lỗ hổng nghiêm trọng trong thư viện phần mềm mã hóa OpenSSL nổi tiếng. Điểm yếu này cho phép đánh cắp thông tin được bảo vệ, trong điều kiện bình thường, bằng mã hóa SSL / TLS được sử dụng để bảo mật Internet. SSL / TLS cung cấp bảo mật và quyền riêng tư liên lạc qua Internet cho các ứng dụng như web, email, nhắn tin tức thời (IM) và một số mạng riêng ảo (VPN).
Lỗi Heartbleed cho phép mọi người trên Internet đọc bộ nhớ của các hệ thống được bảo vệ bởi các phiên bản dễ bị tổn thương của phần mềm OpenSSL. Điều này thỏa hiệp các khóa bí mật được sử dụng để xác định nhà cung cấp dịch vụ và mã hóa lưu lượng, tên và mật khẩu của người dùng và nội dung thực tế. Điều này cho phép kẻ tấn công nghe lén thông tin liên lạc, đánh cắp dữ liệu trực tiếp từ các dịch vụ và người dùng và mạo danh dịch vụ và người dùng.
Nghe có vẻ khá tệ phải không? Nghe còn tệ hơn nữa khi bạn nhận ra khoảng hai phần ba tất cả các trang web sử dụng SSL đang sử dụng phiên bản OpenSSL dễ bị tổn thương này. Chúng tôi không nói về các trang web thời gian nhỏ như các diễn đàn nóng bỏng hoặc các trang web trao đổi trò chơi sưu tập thẻ, chúng tôi đang nói về các ngân hàng, công ty thẻ tín dụng, nhà bán lẻ điện tử lớn và nhà cung cấp e-mail. Tệ hơn nữa, lỗ hổng này đã tồn tại trong khoảng hai năm. Đó là hai năm, một người có kiến thức và kỹ năng phù hợp có thể đã khai thác thông tin đăng nhập và thông tin liên lạc riêng tư của một dịch vụ bạn sử dụng (và, theo thử nghiệm được thực hiện bởi Codenomicon, thực hiện nó mà không có dấu vết).
Để minh họa rõ hơn về cách thức hoạt động của lỗi Heartbleed. đọc truyện tranh xkcd này.
Mặc dù không có nhóm nào tiến lên để phô trương tất cả các thông tin và thông tin mà họ đã khai thác với việc khai thác, nhưng tại thời điểm này trong trò chơi, bạn phải cho rằng thông tin đăng nhập cho các trang web bạn thường xuyên bị xâm phạm.
Làm gì để đăng lỗi Heartbleed
Bất kỳ vi phạm bảo mật đa số (và điều này chắc chắn đủ điều kiện trên quy mô lớn) yêu cầu bạn đánh giá các thực hành quản lý mật khẩu của mình. Với phạm vi rộng của Bug Heartbleed, đây là một cơ hội hoàn hảo để xem xét một hệ thống quản lý mật khẩu đã hoạt động trơn tru hoặc, nếu bạn đã kéo chân mình, để thiết lập một hệ thống.
Trước khi bạn bắt đầu thay đổi mật khẩu ngay lập tức, hãy lưu ý rằng lỗ hổng chỉ được vá nếu công ty đã nâng cấp lên phiên bản OpenSSL mới. Câu chuyện đã bị phá vỡ vào thứ Hai và nếu bạn vội vã thay đổi mật khẩu ngay lập tức trên mọi trang web, hầu hết trong số họ vẫn sẽ chạy phiên bản OpenSSL dễ bị tổn thương.
Bây giờ, giữa tuần, hầu hết các trang web đã bắt đầu quá trình cập nhật và vào cuối tuần, thật hợp lý khi cho rằng phần lớn các trang web có cấu hình cao sẽ chuyển sang.
Bạn có thể sử dụng trình kiểm tra Lỗi Heartbleed tại đây để xem lỗ hổng vẫn đang mở hay, ngay cả khi trang web không phản hồi yêu cầu từ trình kiểm tra nói trên, bạn có thể sử dụng trình kiểm tra ngày SSL của LastPass để xem máy chủ đang nghi vấn có cập nhật không Chứng chỉ SSL gần đây (nếu họ cập nhật nó sau ngày 4/7/2014 thì đó là một dấu hiệu tốt cho thấy họ đã vá lỗ hổng.) Chú thích: nếu bạn chạy howtogeek.com thông qua trình kiểm tra lỗi, nó sẽ trả về lỗi vì chúng tôi không sử dụng mã hóa SSL ở nơi đầu tiên và chúng tôi cũng đã xác minh rằng máy chủ của chúng tôi không chạy bất kỳ phần mềm bị ảnh hưởng nào.
Điều đó nói rằng, có vẻ như cuối tuần này sẽ là một ngày cuối tuần tốt để nghiêm túc về việc cập nhật mật khẩu của bạn. Đầu tiên, bạn cần một hệ thống quản lý mật khẩu. Hãy xem hướng dẫn của chúng tôi để bắt đầu với LastPass để thiết lập một trong những tùy chọn quản lý mật khẩu an toàn và linh hoạt nhất xung quanh. Bạn không phải sử dụng LastPass, nhưng bạn cần một số loại hệ thống phù hợp cho phép bạn theo dõi và quản lý mật khẩu mạnh và duy nhất cho mỗi trang web bạn truy cập.
Thứ hai, bạn cần bắt đầu thay đổi mật khẩu của mình. Phác thảo xử lý khủng hoảng trong hướng dẫn của chúng tôi, Cách khôi phục sau khi mật khẩu email của bạn bị xâm phạm, là một cách tuyệt vời để đảm bảo bạn không bỏ lỡ bất kỳ mật khẩu nào; nó cũng nhấn mạnh những điều cơ bản về vệ sinh mật khẩu tốt, được trích dẫn ở đây:
- Mật khẩu phải luôn dài hơn mức tối thiểu mà dịch vụ cho phép. Nếu dịch vụ được đề cập cho phép mật khẩu 6-20 ký tự, hãy sử dụng mật khẩu dài nhất bạn có thể nhớ.
- Không sử dụng các từ trong từ điển như một phần của mật khẩu của bạn. Mật khẩu của bạn nên không bao giờ đơn giản đến mức việc quét chữ thảo với tệp từ điển sẽ tiết lộ nó. Không bao giờ bao gồm tên của bạn, một phần của thông tin đăng nhập hoặc email hoặc các mục dễ nhận dạng khác như tên công ty hoặc tên đường phố của bạn. Ngoài ra, tránh sử dụng các kết hợp bàn phím phổ biến như, dịch vụ điện tử như là một phần của mật khẩu của bạn.
- Sử dụng cụm mật khẩu thay vì mật khẩu. Nếu bạn không sử dụng trình quản lý mật khẩu để nhớ mật khẩu thực sự ngẫu nhiên (vâng, chúng tôi nhận ra rằng chúng tôi thực sự hiểu ý tưởng sử dụng trình quản lý mật khẩu) thì bạn có thể nhớ mật khẩu mạnh hơn bằng cách biến chúng thành cụm mật khẩu. Ví dụ, đối với tài khoản Amazon của bạn, bạn có thể tạo cụm mật khẩu dễ nhớ, tôi thích đọc sách, và sau đó đọc mật khẩu đó như mật khẩu! Luv2ReadBkz. Nó dễ nhớ và khá mạnh.
Thứ ba, bất cứ khi nào có thể bạn muốn kích hoạt xác thực hai yếu tố. Bạn có thể đọc thêm về xác thực hai yếu tố tại đây, nhưng tóm lại, nó cho phép bạn thêm một lớp nhận dạng bổ sung vào thông tin đăng nhập của mình.
Ví dụ, với Gmail, xác thực hai yếu tố yêu cầu bạn không chỉ đăng nhập và mật khẩu mà còn truy cập vào điện thoại di động đã đăng ký vào tài khoản Gmail của bạn để bạn có thể chấp nhận mã tin nhắn văn bản để nhập khi bạn đăng nhập từ máy tính mới.
Với tính năng xác thực hai yếu tố được kích hoạt, rất khó để một người nào đó có quyền truy cập vào thông tin đăng nhập và mật khẩu của bạn (giống như có thể với Lỗi Heartbleed) để thực sự truy cập vào tài khoản của bạn.
Các lỗ hổng bảo mật, đặc biệt là các lỗ hổng có ảnh hưởng sâu rộng như vậy, không bao giờ vui nhưng chúng mang lại cơ hội cho chúng tôi thắt chặt các thực hành mật khẩu của chúng tôi và đảm bảo rằng các mật khẩu mạnh và duy nhất sẽ ngăn chặn thiệt hại, khi nó xảy ra, có.