Video: Heartbleed Exploit - Discovery & Exploitation (September 2024)
Den här veckan fick vi veta att ett populärt kryptobibliotek har varit helt sårbart för attacker i två år. Buggen, med namnet "Heartbleed" av dess upptäckare, låter cybercrooks underlätta hjärtslagstjänsten som håller en säker anslutning öppen mellan två datorer. När de väl är in kan de stjäla säkerhetsnycklar, inloggningsuppgifter och all krypterad data. Värre är att en sådan attack inte lämnar några spår.
Det finns ingenting du, personligen, kan göra för att lösa problemet. Ägarna till servrar som kör den sårbara programvaran måste vidta åtgärder. De måste specifikt uppdatera till den icke-sårbara senaste versionen, återkalla alla webbplatsens säkerhetsnycklar och sedan utfärda nycklar. Du kan dock göra något åt dina synliga lösenord; ändra dem alla!
Vem är sårbart?
Det är sant att inte alla dina säkra webbplatser är sårbara, men experter uppskattar att så mycket som två tredjedelar av alla servrar kan ha felet. Du kan kontrollera vilken domän som helst med detta test. Testet som erbjuds av LastPass ger ännu mer information. Till exempel kan en webbplats som använder OpenSSL och regenererade sina säkerhetscertifikat under de senaste två dagarna mycket väl ha varit sårbar tidigare.
Du vill gå igenom och testa alla säkra webbplatser du använder. Notera alla som för närvarande är sårbara; du måste gå igenom dessa. Tänk faktiskt noga över de sårbara. Behöver du verkligen och använder dem? Om inte, överväg att radera din profil och all annan information och stänga kontot.
Ändra dem alla!
Det spelar ingen roll om ditt nuvarande lösenord är "lösenord" eller "C5H8 & bY! 6BDB6g66rRWJ." Oavsett hur stark det är, kan skurkarna dra det ur buggy-serverns minne. Oavsett lösenord har de det, tillsammans med ditt användarnamn och all säker data du skickade. Dessutom visas alla andra webbplatser där du använde samma lösenord.
Dina säkra webbplatser ingår i tre kategorier, de som fortfarande är sårbara, de som var sårbara tidigare och de som aldrig var sårbara. Det är absolut nödvändigt att ändra ditt lösenord på de som var sårbara tidigare. Det kunde inte skada att ändra de som verkar som om de aldrig var sårbara, särskilt för att du inte kan vara säker. När det gäller de som förblir sårbara, måste du ändra dem igen, men genom att göra ett rent svep nu och se till att du inte har duplicerade lösenord, kommer du att göra den andra omgången med lösenordsuppdateringar enklare.
Hur man gör det
Att gå online utan lösenordshanterare är riskabelt. Om du inte redan använder en, är det dags att börja. Editors 'Choice LastPass är gratis. Dashlane, också en EG, kostar bara 19, 99 dollar per år.
Både LastPass och Dashlane erbjuder en lösenordsanalysrapport som identifierar svaga och duplicerade lösenord. Från rapporten kan du klicka på en länk för att besöka en webbplats och ändra lösenordet. lösenordshanteraren tar upp ändringen. Bry dig inte om att tänka på ett lösenord. Låt lösenordshanteraren generera något som ingen någonsin kunde gissa.
Vår egen Jill Duffy rapporterar att hon rensade sin lösenordssituation på fem veckor, hjälpt av Dashlane. The Heartbleed-nyheterna kräver lite mer brådskande. Jag rekommenderar att du byter ut alla dina lösenord med nya unika så snart som möjligt.
Det är inte över
Att ändra lösenordet på webbplatser som fortfarande är sårbara för Heartbleed-felet säkerställer åtminstone att du inte avslöjar andra webbplatser som använder samma lösenord. Men det helt nya lösenordet är helt i riskzonen. Om möjligt, håll dig borta från dessa webbplatser tills de fixas. Och när de gör det, ändra lösenordet igen. Åtminstone har du hjälp av din pålitliga lösenordshanterare för att göra jobbet.
