it.phhsnews.com


it.phhsnews.com / Spiegazione di Heartbleed: Perché è necessario modificare le password adesso

Spiegazione di Heartbleed: Perché è necessario modificare le password adesso


L'ultima volta che ti abbiamo avvisato di una grave violazione della sicurezza è stato quando il database delle password di Adobe è stato compromesso, mettendo milioni di utenti (specialmente quelli con password deboli e spesso riutilizzate) a rischio. Oggi vi stiamo avvertendo di un problema di sicurezza molto più grande, l'Heartbleed Bug, che ha potenzialmente compromesso gli incredibili 2/3 dei siti Web sicuri su Internet. Devi cambiare le tue password e devi iniziare a farlo ora.

Nota importante: How-To Geek non è affetto da questo bug.

Cosa è Heartbleed e Why It It Dangerous?

In la tipica violazione della sicurezza, i record / password utente di una singola azienda sono esposti. È terribile quando succede, ma è un affare isolato. La società X ha una violazione della sicurezza, invia un avvertimento ai propri utenti e le persone come noi ricordano a tutti che è ora di iniziare a praticare una buona igiene della sicurezza e aggiornare le proprie password. Quelle, sfortunatamente, le violazioni tipiche sono già abbastanza gravi. L'Insetto Heartbleed è qualcosa di molto, molto, peggio.

L'Heartbleed Bug mina lo schema di crittografia che ci protegge mentre inviamo email, banca e in altro modo interagiamo con siti Web che riteniamo sicuri. Ecco una semplice descrizione in inglese della vulnerabilità di Codenomicon, il gruppo di sicurezza che ha scoperto e avvisato il pubblico del bug:

L'Heartbleed Bug è una seria vulnerabilità nella popolare libreria software crittografica OpenSSL. Questa debolezza consente il furto delle informazioni protette, in condizioni normali, dalla crittografia SSL / TLS utilizzata per proteggere Internet. SSL / TLS fornisce sicurezza di comunicazione e privacy su Internet per applicazioni quali web, email, messaggistica istantanea (IM) e alcune reti private virtuali (VPN).

Il bug Heartbleed consente a chiunque su Internet di leggere la memoria del sistemi protetti dalle versioni vulnerabili del software OpenSSL. Ciò compromette le chiavi segrete utilizzate per identificare i provider di servizi e per crittografare il traffico, i nomi e le password degli utenti e il contenuto effettivo. Ciò consente agli aggressori di intercettare le comunicazioni, rubare i dati direttamente dai servizi e dagli utenti e impersonare servizi e utenti.

Sembra abbastanza brutto, sì? Sembra ancora peggio quando ti rendi conto che circa i due terzi di tutti i siti web che utilizzano SSL utilizzano questa versione vulnerabile di OpenSSL. Non stiamo parlando di siti di piccole dimensioni come i forum di hot rod o siti di scambio di carte collezionabili, stiamo parlando di banche, società di carte di credito, importanti rivenditori di e-mail e provider di posta elettronica. Peggio ancora, questa vulnerabilità è stata in circolazione per circa due anni. Sono due anni che qualcuno con le conoscenze e le competenze appropriate avrebbe potuto attingere alle credenziali di accesso e alle comunicazioni private di un servizio che usi (e, secondo i test condotti da Codenomicon, farlo senza lasciare traccia).

Per un pari migliore illustrazione di come funziona l'insetto Heartbleed. leggi questo fumetto xkcd.

Anche se nessun gruppo si è fatto avanti per ostentare tutte le credenziali e le informazioni che hanno sifonato con l'exploit, a questo punto del gioco devi presupporre che le credenziali di accesso per i siti web che frequenti sono state compromesso.

Cosa fare Bug di Heartbleed post

Qualsiasi violazione della sicurezza di maggioranza (e questo certamente si qualifica su larga scala) richiede di valutare le pratiche di gestione della password. Data l'ampia portata del Bug Heartbleed, questa è un'opportunità perfetta per rivedere un sistema di gestione delle password già fluido o, se stai trascinando i tuoi piedi, per crearne uno.

Prima di immergerti immediatamente nel cambiare le tue password , tenere presente che la vulnerabilità viene corretta solo se la società ha eseguito l'aggiornamento alla nuova versione di OpenSSL. La storia è finita lunedì, e se ti sei precipitato a cambiare immediatamente le tue password su ogni sito, la maggior parte di loro avrebbe comunque eseguito la versione vulnerabile di OpenSSL.

RELATED: Come eseguire un controllo sicurezza ultimo passaggio (e perché non può attendere)

Ora, a metà settimana, la maggior parte dei siti ha avviato il processo di aggiornamento e nel fine settimana è ragionevole assumere la maggior parte dei siti Web di alto profilo

Puoi utilizzare il correttore di bug di Heartbleed qui per vedere se la vulnerabilità è ancora aperta o, anche se il sito non risponde alle richieste del checker di cui sopra, puoi usare il controllo della data SSL di LastPass per vedere se il server in questione ha aggiornato il proprio certificato SSL di recente (se lo ha aggiornato dopo il 4/7/2014 è un buon indicatore di aver corretto la vulnerabilità). Nota: se si esegue phhsnews.com tramite il correttore di bug restituirà un errore perché in primo luogo non usiamo la crittografia SSL e abbiamo anche verificato che i nostri server non eseguono alcun software interessato.

Detto questo, sembra che questo weekend si prenda forma essere un buon fine settimana per fare sul serio l'aggiornamento delle password. Innanzitutto, è necessario un sistema di gestione delle password. Consulta la nostra guida su come iniziare con LastPass per configurare una delle opzioni di gestione delle password più sicure e flessibili disponibili. Non devi usare LastPass, ma hai bisogno di un sistema che ti permetta di tracciare e gestire una password unica e sicura per ogni sito web che visiti.

In secondo luogo, devi iniziare a cambiare le tue password . Lo schema di gestione delle crisi nella nostra guida, Come recuperare dopo che la tua password di posta elettronica è compromessa, è un ottimo modo per assicurarti di non perdere nessuna password; evidenzia anche le basi della buona igiene della password, citata qui:

  • Le password devono sempre essere più lunghe del minimo consentito dal servizio . Se il servizio in questione consente di utilizzare password di 6-20 caratteri, è possibile utilizzare la password più lunga che è possibile ricordare.
  • Non utilizzare le parole del dizionario come parte della password . La tua password dovrebbe mai essere così semplice che una scansione rapida con un file di dizionario lo rivelerebbe. Non includere mai il tuo nome, parte del login o e-mail o altri elementi facilmente identificabili come il nome della tua azienda o il nome della via. Evita inoltre di usare combinazioni di tasti comuni come "qwerty" o "asdf" come parte della tua password.
  • Usa passphrase invece di password . Se non usi un gestore di password per ricordare password davvero casuali ( sì, ci rendiamo conto che stiamo davvero insistendo sull'idea di utilizzare un gestore di password), quindi puoi ricordare password più forti trasformandole in passphrase. Ad esempio, per il tuo account Amazon potresti creare la frase di accesso "I love to read books", facile da ricordare e poi croccarla in una password come "! Luv2ReadBkz". È facile da ricordare ed è abbastanza forte.

Terzo, se possibile, si desidera abilitare l'autenticazione a due fattori. Puoi leggere ulteriori informazioni sull'autenticazione a due fattori qui, ma in breve ti consente di aggiungere un ulteriore livello di identificazione al tuo login.

CORRELATO: Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?

Con Gmail, ad esempio, l'autenticazione a due fattori richiede che tu non abbia solo il tuo login e password ma l'accesso al cellulare registrato al tuo account Gmail in modo da poter accettare un codice di testo da inserire quando accedi da un nuovo computer.

Con l'autenticazione a due fattori attivata rende molto difficile per qualcuno che ha ottenuto l'accesso al tuo login e password (come potrebbero con il bug Heartbleed) per accedere effettivamente al tuo account.


Vulnerabilità della sicurezza, specialmente quelle con implicazioni di così vasta portata, non sono mai divertenti ma offrono un'opportunità per noi di stringere le nostre pratiche relative alle password e garantire che password uniche e resistenti mantengano il danno, quando si verifica, contenuto.


Come funzionano i

Come funzionano i "dispositivi affidabili" su Windows 10 (e perché non è più necessario "fidarsi di questo PC")

Windows 8 ti chiedeva di "fidarti di questo PC" dopo aver effettuato l'accesso con un account Microsoft. Questo messaggio è scomparso in Windows 10, sostituito da un nuovo sistema "Dispositivi attendibili" che funziona in modo diverso. Come "Fidati di questo PC" ha funzionato su Windows 8 Su Windows 8, vedresti un messaggio che ti chiede di "Fidati di questo PC" dopo aver effettuato l'accesso con il tuo account Microsoft.

(how-to)

Come creare il proprio video di guida Time-Lapse

Come creare il proprio video di guida Time-Lapse

Hai mai desiderato creare un video time-lapse di un drive attraverso un'area panoramica, o una gita lungo un'autostrada veloce di notte ? In realtà è piuttosto facile. Con uno smartphone e circa $ 25, puoi creare i tuoi video di guida time-lapse. La prima cosa di cui avrai bisogno è uno smartphone, ovviamente.

(how-to)