อธิบายอย่างถ่อมใจว่าทำไมคุณต้องเปลี่ยนรหัสผ่านทันที
ครั้งสุดท้ายที่เราแจ้งเตือนคุณถึงการละเมิดความปลอดภัยที่สำคัญคือเมื่อฐานข้อมูลรหัสผ่านของ Adobe ถูกบุกรุกทำให้ผู้ใช้หลายล้านคน (โดยเฉพาะผู้ที่มีรหัสผ่านที่อ่อนแอและใช้ซ้ำบ่อย) มีความเสี่ยง วันนี้เราขอเตือนคุณเกี่ยวกับปัญหาด้านความปลอดภัยที่ใหญ่กว่าเดิมคือ Heartbleed Bug ซึ่งอาจทำให้เว็บไซต์ที่มีความปลอดภัยบนอินเทอร์เน็ตของคุณปลอดภัย คุณต้องเปลี่ยนรหัสผ่านและคุณต้องเริ่มทำทันที.
หมายเหตุสำคัญ: วิธีการ Geek ไม่ได้รับผลกระทบจากข้อผิดพลาดนี้.
Heartbleed คืออะไรและทำไมจึงเป็นอันตราย?
ในการละเมิดความปลอดภัยตามปกติของคุณ บริษัท ผู้ใช้รายเดียวมีการบันทึก / รหัสผ่าน มันแย่มากเมื่อมันเกิดขึ้น แต่มันเป็นเรื่องแยก บริษัท X มีช่องโหว่ด้านความปลอดภัยพวกเขาออกคำเตือนให้กับผู้ใช้และคนอย่างเราเตือนให้ทุกคนถึงเวลาที่จะเริ่มฝึกสุขอนามัยความปลอดภัยที่ดีและอัปเดตรหัสผ่านของพวกเขา น่าเสียดายที่การละเมิดทั่วไปนั้นไม่ดีเท่าที่ควร Heartbleed Bug เป็นอะไรบางอย่างที่มาก, มาก, แย่ลง.
Heartbleed Bug ทำลายรูปแบบการเข้ารหัสที่ปกป้องเราในขณะที่เราส่งอีเมลธนาคารและโต้ตอบกับเว็บไซต์ที่เราเชื่อว่าปลอดภัย นี่เป็นคำอธิบายภาษาอังกฤษแบบธรรมดาเกี่ยวกับช่องโหว่จาก Codenomicon กลุ่มความปลอดภัยที่ค้นพบและแจ้งเตือนสาธารณะถึงข้อบกพร่อง:
Heartbleed Bug เป็นช่องโหว่ที่ร้ายแรงในห้องสมุดซอฟต์แวร์เข้ารหัส OpenSSL ยอดนิยม จุดอ่อนนี้อนุญาตให้ขโมยข้อมูลที่ได้รับการป้องกันภายใต้สภาวะปกติโดยการเข้ารหัส SSL / TLS ที่ใช้ในการรักษาความปลอดภัยอินเทอร์เน็ต SSL / TLS ให้ความปลอดภัยในการสื่อสารและความเป็นส่วนตัวทางอินเทอร์เน็ตสำหรับแอปพลิเคชันเช่นเว็บอีเมลการส่งข้อความทันที (IM) และเครือข่ายส่วนตัวเสมือนจริง (VPN).
Heartbleed bug ช่วยให้ทุกคนบนอินเทอร์เน็ตสามารถอ่านหน่วยความจำของระบบที่ได้รับการป้องกันโดยซอฟต์แวร์ OpenSSL เวอร์ชันที่มีช่องโหว่ การทำเช่นนี้ทำให้คีย์ลับที่ใช้ในการระบุผู้ให้บริการและเข้ารหัสการรับส่งข้อมูลชื่อและรหัสผ่านของผู้ใช้และเนื้อหาจริง วิธีนี้ช่วยให้ผู้โจมตีสามารถดักฟังการสื่อสารขโมยข้อมูลโดยตรงจากบริการและผู้ใช้และเพื่อปลอมแปลงบริการและผู้ใช้.
ฟังดูไม่ดีเลยใช่มั้ย มันฟังดูแย่ยิ่งขึ้นเมื่อคุณรู้ว่าประมาณสองในสามของเว็บไซต์ทั้งหมดที่ใช้ SSL กำลังใช้ OpenSSL เวอร์ชันที่มีช่องโหว่นี้ เราไม่ได้พูดถึงไซต์เล็ก ๆ เช่นฟอรัม hot rod หรือเว็บไซต์แลกเปลี่ยนเกมไพ่สะสมเรากำลังพูดถึงธนาคาร บริษัท บัตรเครดิตผู้ค้าปลีกอิเล็กทรอนิกส์รายใหญ่และผู้ให้บริการอีเมล ยิ่งไปกว่านั้นช่องโหว่นี้ยังคงอยู่ในสภาพเดิมประมาณสองปี นั่นเป็นเวลาสองปีที่คนที่มีความรู้และทักษะที่เหมาะสมสามารถใช้ข้อมูลประจำตัวในการเข้าสู่ระบบและการสื่อสารส่วนตัวของบริการที่คุณใช้ (และจากการทดสอบของ Codenomicon ตามที่ได้ทำการทดสอบ).
สำหรับภาพประกอบที่ดียิ่งขึ้นเกี่ยวกับการทำงานของ Heartbleed bug อ่านการ์ตูน xkcd นี้.
แม้ว่าจะไม่มีกลุ่มใดเลยที่จะอวดข้อมูลประจำตัวและข้อมูลทั้งหมดที่พวกเขาได้รับประโยชน์จากการถูกโจมตี แต่ ณ จุดนี้ในเกมคุณต้องสมมติว่าข้อมูลการเข้าสู่ระบบสำหรับเว็บไซต์ที่คุณถูกโจมตีบ่อยครั้ง.
สิ่งที่ต้องทำโพสต์ Heartbleed Bug
การละเมิดความปลอดภัยส่วนใหญ่ใด ๆ (และสิ่งนี้มีคุณสมบัติในระดับที่ยิ่งใหญ่) คุณจะต้องประเมินการจัดการรหัสผ่านของคุณ ด้วยข้อ จำกัด ที่กว้างขวางของ Heartbleed Bug นี่เป็นโอกาสที่สมบูรณ์แบบในการตรวจสอบระบบการจัดการรหัสผ่านที่ทำงานได้อย่างราบรื่นอยู่แล้วหรือหากคุณลากเท้าเพื่อตั้งค่า.
ก่อนที่คุณจะเปลี่ยนเป็นรหัสผ่านทันทีโปรดทราบว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขหาก บริษัท ได้อัปเกรดเป็น OpenSSL เวอร์ชันใหม่แล้วเท่านั้น เรื่องราวดังกล่าวเกิดขึ้นเมื่อวันจันทร์และหากคุณรีบเปลี่ยนรหัสผ่านของคุณทันทีในทุก ๆ ไซต์พวกเขาส่วนใหญ่จะยังคงใช้ OpenSSL เวอร์ชันที่มีช่องโหว่อยู่.
ตอนนี้กลางสัปดาห์เว็บไซต์ส่วนใหญ่เริ่มกระบวนการอัปเดตและในช่วงสุดสัปดาห์มันสมเหตุสมผลที่จะสมมติว่าเว็บไซต์ส่วนใหญ่ที่มีชื่อเสียงสูงจะมีการเปลี่ยน.
คุณสามารถใช้ตัวตรวจสอบ Heartbleed Bug ที่นี่เพื่อดูว่าช่องโหว่นั้นยังคงเปิดอยู่หรือไม่แม้ว่าไซต์นั้นจะไม่ตอบสนองต่อคำขอจากตัวตรวจสอบข้างต้นคุณสามารถใช้ตัวตรวจสอบวันที่ SSL ของ LastPass เพื่อดูว่าเซิร์ฟเวอร์ที่เป็นปัญหา ใบรับรอง SSL เร็ว ๆ นี้ (หากพวกเขาอัปเดตหลังจาก 4/7/2557 เป็นตัวบ่งชี้ที่ดีว่าพวกเขาได้ทำการแก้ไขช่องโหว่แล้ว) บันทึก: หากคุณเรียกใช้ howtogeek.com ผ่านเครื่องมือตรวจสอบข้อผิดพลาดมันจะส่งคืนข้อผิดพลาดเนื่องจากเราไม่ได้ใช้การเข้ารหัส SSL ในตอนแรกและเราได้ตรวจสอบแล้วว่าเซิร์ฟเวอร์ของเราไม่ได้ใช้งานซอฟต์แวร์ที่ได้รับผลกระทบใด ๆ.
ที่กล่าวว่าดูเหมือนว่าสุดสัปดาห์นี้กำลังจะเป็นวันหยุดสุดสัปดาห์ที่ดีที่จะจริงจังกับการอัปเดตรหัสผ่านของคุณ ก่อนอื่นคุณต้องมีระบบจัดการรหัสผ่าน ลองอ่านคำแนะนำของเราเกี่ยวกับการเริ่มต้นใช้งาน LastPass เพื่อตั้งค่าหนึ่งในตัวเลือกการจัดการรหัสผ่านที่ปลอดภัยและยืดหยุ่นที่สุด คุณไม่จำเป็นต้องใช้ LastPass แต่คุณต้องการระบบบางประเภทที่จะช่วยให้คุณติดตามและจัดการรหัสผ่านที่ไม่ซ้ำใครและแข็งแกร่งสำหรับทุกเว็บไซต์ที่คุณเข้าชม.
ประการที่สองคุณต้องเริ่มเปลี่ยนรหัสผ่าน โครงร่างการจัดการวิกฤตในคำแนะนำของเราวิธีการกู้คืนหลังจากรหัสผ่านอีเมลของคุณถูกบุกรุกเป็นวิธีที่ดีในการรับรองว่าคุณจะไม่พลาดรหัสผ่านใด ๆ มันยังเน้นถึงพื้นฐานของสุขอนามัยของรหัสผ่านที่ดีซึ่งอ้างถึงที่นี่:
- รหัสผ่านควรยาวกว่าขั้นต่ำที่บริการอนุญาต. หากบริการที่เป็นปัญหาอนุญาตให้ใช้รหัสผ่าน 6-20 ตัวอักษรใช้รหัสผ่านที่ยาวที่สุดที่คุณสามารถจำได้.
- อย่าใช้คำในพจนานุกรมเป็นส่วนหนึ่งของรหัสผ่านของคุณ. รหัสผ่านของคุณควร ไม่เคย ง่ายมากที่การสแกนคร่าวๆด้วยไฟล์พจนานุกรมจะเปิดเผย อย่ารวมชื่อของคุณส่วนหนึ่งของการเข้าสู่ระบบหรืออีเมลหรือรายการอื่น ๆ ที่สามารถระบุตัวตนได้อย่างง่ายดายเช่นชื่อ บริษัท หรือชื่อถนนของคุณ นอกจากนี้หลีกเลี่ยงการใช้แป้นพิมพ์ทั่วไปเช่น "qwerty" หรือ "asdf" เป็นส่วนหนึ่งของรหัสผ่านของคุณ.
- ใช้ข้อความรหัสผ่านแทนรหัสผ่าน. หากคุณไม่ได้ใช้ตัวจัดการรหัสผ่านเพื่อจดจำรหัสผ่านแบบสุ่มจริง ๆ (ใช่เรารู้ว่าเราใช้ความคิดในการใช้ตัวจัดการรหัสผ่านมากเกินไป) จากนั้นคุณสามารถจำรหัสผ่านที่แข็งแกร่งกว่าได้โดยเปลี่ยนให้เป็นวลีรหัสผ่าน ตัวอย่างเช่นสำหรับบัญชี Amazon ของคุณคุณสามารถสร้างข้อความรหัสผ่านที่จดจำได้ง่าย“ ฉันชอบอ่านหนังสือ” จากนั้นบีบอัดรหัสผ่านเช่น“! luv2ReadBkz” ง่ายต่อการจดจำและค่อนข้างแข็งแกร่ง.
ประการที่สามเมื่อใดก็ตามที่เป็นไปได้คุณต้องการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย คุณสามารถอ่านเพิ่มเติมเกี่ยวกับการรับรองความถูกต้องด้วยสองปัจจัยได้ที่นี่ แต่ในระยะสั้นจะช่วยให้คุณสามารถเพิ่มการระบุเลเยอร์เพิ่มเติมในการเข้าสู่ระบบของคุณ.
ตัวอย่างเช่นเมื่อใช้ Gmail การรับรองความถูกต้องด้วยสองปัจจัยคุณไม่จำเป็นต้องมีเพียงการเข้าสู่ระบบและรหัสผ่าน แต่ต้องเข้าถึงโทรศัพท์มือถือที่ลงทะเบียนกับบัญชี Gmail ของคุณเพื่อให้คุณสามารถยอมรับรหัสข้อความที่จะป้อนเมื่อคุณลงชื่อเข้าใช้จากคอมพิวเตอร์เครื่องใหม่.
ด้วยการเปิดใช้งานการตรวจสอบสองปัจจัยทำให้ยากสำหรับผู้ที่ได้รับการเข้าสู่ระบบและรหัสผ่านของคุณ (เช่นพวกเขาทำได้ด้วย Heartbleed Bug) เพื่อเข้าถึงบัญชีของคุณ.
ช่องโหว่ด้านความปลอดภัยโดยเฉพาะอย่างยิ่งสิ่งที่มีผลกระทบสูงเช่นนี้จะไม่สนุก แต่ก็เปิดโอกาสให้เรากระชับการปฏิบัติรหัสผ่านของเราและให้แน่ใจว่ารหัสผ่านที่ไม่ซ้ำใครและแข็งแรงจะรักษาความเสียหายเมื่อมันเกิดขึ้น.