Nekategorizirano

Šta trebate znati o Heartbleedu i promjeni lozinki

Šta trebate znati o Heartbleedu i promjeni lozinki

[Izvor slike:Heartbleed]

Dakle, možda ste u posljednje vrijeme čuli za Heartbleed i svi vam prijatelji možda govore da promijenite sve lozinke. Međutim, prije nego što promijenite lozinku, morate znati da je dotična web lokacija zauzeta sve potrebne korake kako biste se zaštitili od Heartbleeda, jer će u protivnom vaša nova lozinka ostati jednako ranjiva. Neke liste plutaju okolo i govore vam da su web lokacije spremne za promjenu lozinke, međutim nisu provjerili sve potrebne sigurnosne korake. Pročitajte kako biste saznali više:

P.S. Mi ćemo (pokušati) tačno objasniti što je Heartbleed sigurnosno kršenje na takav način svi mogu razumjeti a takođe će vas obavijestiti o važnim tačkama gdje i kada trebate promijeniti lozinku.

Šta je Heartbleed bubica?

Web strip xkcd nacrtao je mali crtić koji na najjednostavniji način koji smo vidjeli objašnjava Heartbleed:

Prvo, morate znati da web sigurnost pruža softver poznat kao OpenSSL (sloj sigurnih utičnica), koji šifrira (kodira) podatke koji se šalju na i sa korisničkog računara i servera web lokacija (gdje je web lokacija hostirana / pohranjena). Tako je važno, razmislite o stvarima kao što su korisnička imena, lozinke, pa čak i detalji o kreditnoj kartici i adresi koje biste predali na mrežnim obrascima, koji bi putovali od vašeg računara do servera web lokacija.

Heartbleed iskorištava nešto poznato kao "otkucaji srca" između korisničkog računara i servera web lokacija - u osnovi, kada pristupite web lokaciji, web lokacija će odgovoriti i obavijestiti vaše računalo da je aktivno i otkucaje vaše zahtjeve. Otkucaji srca trebali bi biti odgovor jednak količini podataka koju je vaše računalo poslalo prilikom podnošenja zahtjeva. Međutim, greška u softveru omogućava hakerima da zahtijevaju više podataka iz memorije servera iznad ukupnih podataka početnog zahtjeva do 65 536 bajtova. Ove dodatne informacije primljene u zahtjevu mogu sadržavati bilo što, od lozinki do podataka o kreditnoj kartici koje su poslali drugi ljudi (vidi gornji crtić).

Greška u Heartbleedu iskrena je greška koju je napravio programer Robin Seggelmann, koji je dodao softver otvorenog koda OpenSSL, uoči Nove godine 2011. To znači da sigurnosna rupa postoji već više od 2 godine i da je najgora dio je da ne postoji način da se utvrdi je li haker podnio zahtjev za dodatnim informacijama od otkucaja srca. Drugim riječima, ne postoji način da se utvrdi da li je neko ikada ukrao lozinke ili druge osjetljive podatke s web stranice.

Kada bih trebao promijeniti lozinku?

Mnoge web stranice nude liste koje nude savjete o tome koje web stranice trebate promijeniti i biste li trebali promijeniti lozinku. Međutim, mnogi sigurnosni stručnjaci (poput Brucea Schneiera, Troy Hunt-a i ljudi iz AgileBits-a) kažu da morate provjeriti tri stvari:

  1. Web lokacija (ili hardver / aplikacija jer Heartbleed utječe više od web lokacija) koristila je verziju OpenSSL-a koja je zapravo bila osjetljiva na Heartbleed (verzije od 1.0.1. Marta 2012. do 1.0.1f). Verzija koja sadrži popravak je 1.0.1g koja je objavljena 7. aprila 2014.
  2. Web lokacija je zakrpila grešku OpenSSL-a.
  3. Web lokacija je obnovila sigurnosne ključeve, a zatim izdala novi sigurnosni (SSL) certifikat.

Ako je ovo sve previše mumbo za vas, izvještava se da je LastPassov Checker Heartbleed trenutno najpouzdanija metoda provjere ako se ne možete ručno provjeriti. Za dublji uvid u to da li je web lokacija spremna za promjenu lozinke, idite na ITWorld.

Neke liste na Internetu web lokacija za koje trebate promijeniti lozinku provjerile su samo da li su web lokacije zakrpile grešku OpenSSL-a i nisu provjerile izdaju li se novi sigurnosni (SSL) certifikati. Budući da je nemoguće utvrditi je li poslužitelj žrtva napada Heartbleed, nejasno je da li je haker možda preuzeo sigurnosne ključeve, što bi web stranicu ostavilo ranjivom ako tri gornja koraka nisu dovršena.

Upravo sam provalio @CloudFlareov izazov: https://t.co/8ZPSxyKF4D. Zanima me kada će ažurirati stranicu.

- Fedor Indutny (@indutny) 11. januara 2014

Nedavno je mreža za distribuciju sadržaja Cloudflare proučila ozbiljnost greške tako što je navela svoje istraživače da pokušaju iskoristiti Heartbleed za dobivanje SSL sigurnosnih ključeva i nisu uspjeli. Međutim, kada su izazov postavili javnosti, haker iz Node.js tima poznatog kao Fedor uspio je uspješno doći do privatnih SSL ključeva.

Nadamo se da vam ovo pomaže da razumijete Heartbleed i da ćete izvršiti potrebne i vremenske promjene lozinke kako biste osigurali svoju sigurnost na mreži. Za kraj, željeli bismo vas podsjetiti nije koristiti istu lozinku za sve web stranice jer bi to moglo biti katastrofalno. Ako ne možete pratiti toliko različitih lozinki, onda preporučujemo upotrebu programa poput LastPass.

Također, pogledajte kampanju Logme Once Kickstarter koja nudi menadžer lozinki, digitalnu sigurnost, kao i siguran USB uređaj za pohranu i mobilni punjač baterija u jednom paketu:

LogmeOnce ispunjava svakodnevne potrebe. Ko se danas ne brine zbog hakiranja, zaborava lozinke ili samo ranjivosti jer imaju slabe lozinke? LogmeOnce nudi sigurnu, jednostavnu alternativu za ove probleme i na brzinu napisane lozinke na komadićima papira

Pogledajte video: kako promeniti sifru na kompjuteru (Decembar 2020).