Nekategorizirano

Što trebate znati o Heartbleedu i promjeni lozinki

Što trebate znati o Heartbleedu i promjeni lozinki


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Izvor slike:Krvarenje iz srca]

Dakle, možda ste u posljednje vrijeme čuli za Heartbleed i svi vam prijatelji možda govore da promijenite sve lozinke. Međutim, prije nego što promijenite lozinke, morate znati da je dotično web mjesto zauzelo svi potrebne korake kako biste se zaštitili od Heartbleeda, inače će vaša nova lozinka ostati jednako ranjiva. Neki popisi plutajući govore vam da su web mjesta spremna za promjenu lozinke, no nisu provjerili sve potrebne sigurnosne korake. Pročitajte kako biste saznali više:

p.s. Idemo (pokušati) objasniti što je točno Heartbleed sigurnosna povreda na način da svi mogu razumjeti i također vas obavijestiti o važnim točkama gdje i kada biste trebali promijeniti lozinku.

Što je Heartbleed bug?

Web strip xkcd nacrtao je mali crtić koji na najjednostavniji način koji smo vidjeli objašnjava Heartbleed:

Prvo, morate znati da web sigurnost pruža softver poznat kao OpenSSL (sloj sigurnih utičnica), koji šifrira (kodira) podatke poslane na i s korisnikova računala i poslužitelja web stranica (gdje je web lokacija hostirana / pohranjena). Tako je važno, razmislite o stvarima kao što su korisnička imena, lozinke, pa čak i podaci o kreditnoj kartici i adresi koje biste predali internetskim obrascima, koji bi putovali s vašeg računala na poslužitelj web stranica.

Heartbleed iskorištava nešto poznato kao "otkucaji srca" između korisnikova računala i poslužitelja web stranica - u osnovi, kada pristupite web mjestu, web mjesto će odgovoriti dajući računalu do znanja da je aktivno i da otkucaje vašeg srca kuca. Otkucaji srca trebali bi biti odgovor jednak količini podataka koju je vaše računalo poslalo prilikom podnošenja zahtjeva. Međutim, greška u softveru omogućuje hakerima da traže više podataka iz memorije poslužitelja izvan ukupnih podataka početnog zahtjeva do 65 536 bajtova. Ove dodatne informacije primljene u zahtjevu mogu sadržavati bilo što, od lozinki do podataka o kreditnoj kartici koje su poslali drugi ljudi (vidi gornji crtić).

Greška u Heartbleedu iskrena je pogreška koju je napravio programer Robin Seggelmann, dodavši softver otvorenog koda OpenSSL na Silvestrovo 2011. To znači da sigurnosna rupa postoji već više od 2 godine i da je najgora dio je da ne postoji način da se utvrdi je li haker podnio zahtjev za dodatnim informacijama od otkucaja srca. Drugim riječima, ne postoji način da se utvrdi je li netko ikad ukrao lozinke ili druge osjetljive podatke s web mjesta.

Kada bih trebao promijeniti lozinku?

Mnoga web mjesta nude popise koji nude savjete o tome koje web stranice trebate promijeniti i biste li trebali promijeniti lozinku. Međutim, mnogi sigurnosni stručnjaci (kao što su Bruce Schneier, Troy Hunt i ljudi iz AgileBits-a) kažu da morate provjeriti tri stvari:

  1. Web lokacija (ili hardver / aplikacija jer Heartbleed utječe više od web stranica) koristila je verziju OpenSSL-a koja je zapravo bila osjetljiva na Heartbleed (verzije od 1.0.1. Ožujka 2012. do 1.0.1f). Verzija koja sadrži popravak je 1.0.1g koja je objavljena 7. travnja 2014.
  2. Web mjesto zakrpilo ​​je programsku pogrešku OpenSSL.
  3. Web mjesto obnovilo je sigurnosne ključeve, a zatim izdalo novi sigurnosni (SSL) certifikat.

Ako je ovo sve previše mumbo za vas, izvještava se da je LastPassov Checker Heartbleed trenutno najpouzdanija metoda provjere ako se ne možete ručno provjeriti. Za dublji uvid u to je li stranica spremna za promjenu lozinke, prijeđite na ITWorld.

Neki popisi na internetu web lokacija za koje trebate promijeniti lozinku provjerili su samo jesu li web stranice zakrpile grešku OpenSSL-a i nisu provjerili jesu li izdani novi sigurnosni (SSL) certifikati. Budući da je nemoguće utvrditi je li poslužitelj žrtva napada Heartbleed, nejasno je je li haker možda preuzeo sigurnosne ključeve, što bi web stranicu ostavilo ranjivom ako tri gornja koraka nisu dovršena.

Upravo sam provalio @CloudFlareov izazov: https://t.co/8ZPSxyKF4D. Zanima me kada će ažurirati stranicu.

- Fedor Indutny (@indutny) 11. lipnja 2014

Nedavno je mreža za distribuciju sadržaja Cloudflare proučila ozbiljnost greške natjeravši svoje istraživače da pokušaju iskoristiti Heartbleed za dobivanje SSL sigurnosnih ključeva i nisu uspjeli. Međutim, kad su izazov stavili u javnost, haker iz tima Node.js poznatog kao Fedor uspio je uspješno doći do privatnih SSL ključeva.

Nadamo se da vam ovo pomaže u razumijevanju Heartbleeda i da ćete izvršiti potrebne i vremenske promjene lozinke kako biste osigurali svoju sigurnost na mreži. Kao posljednju točku, željeli bismo vas podsjetiti ne koristiti istu lozinku za sve web stranice jer bi to moglo biti katastrofalno. Ako ne možete pratiti toliko različitih lozinki, preporučujemo upotrebu programa poput LastPass.

Također, pogledajte kampanju Logme Once Kickstarter koja nudi upravitelj lozinki, digitalnu sigurnost, kao i siguran USB uređaj za pohranu i mobilni punjač baterija u jednom paketu:

LogmeOnce ispunjava svakodnevne potrebe. Tko se danas ne brine hoće li biti hakiran, zaboraviti lozinke ili samo biti ranjiv jer ima slabe lozinke? LogmeOnce nudi sigurnu, jednostavnu zamjenu za ove probleme i na brzinu napisane lozinke na komadićima papira


Gledaj video: Kako Hakovatiukloniti sifru sa sistema (Veljača 2023).