it.phhsnews.com


it.phhsnews.com / Spiegazione di Heartbleed: Perché è necessario modificare le password adesso

Spiegazione di Heartbleed: Perché è necessario modificare le password adesso


L'ultima volta che ti abbiamo avvisato di una grave violazione della sicurezza è stato quando il database delle password di Adobe è stato compromesso, mettendo milioni di utenti (specialmente quelli con password deboli e spesso riutilizzate) a rischio. Oggi vi stiamo avvertendo di un problema di sicurezza molto più grande, l'Heartbleed Bug, che ha potenzialmente compromesso gli incredibili 2/3 dei siti Web sicuri su Internet. Devi cambiare le tue password e devi iniziare a farlo ora.

Nota importante: How-To Geek non è affetto da questo bug.

Cosa è Heartbleed e Why It It Dangerous?

In la tipica violazione della sicurezza, i record / password utente di una singola azienda sono esposti. È terribile quando succede, ma è un affare isolato. La società X ha una violazione della sicurezza, invia un avvertimento ai propri utenti e le persone come noi ricordano a tutti che è ora di iniziare a praticare una buona igiene della sicurezza e aggiornare le proprie password. Quelle, sfortunatamente, le violazioni tipiche sono già abbastanza gravi. L'Insetto Heartbleed è qualcosa di molto, molto, peggio.

L'Heartbleed Bug mina lo schema di crittografia che ci protegge mentre inviamo email, banca e in altro modo interagiamo con siti Web che riteniamo sicuri. Ecco una semplice descrizione in inglese della vulnerabilità di Codenomicon, il gruppo di sicurezza che ha scoperto e avvisato il pubblico del bug:

L'Heartbleed Bug è una seria vulnerabilità nella popolare libreria software crittografica OpenSSL. Questa debolezza consente il furto delle informazioni protette, in condizioni normali, dalla crittografia SSL / TLS utilizzata per proteggere Internet. SSL / TLS fornisce sicurezza di comunicazione e privacy su Internet per applicazioni quali web, email, messaggistica istantanea (IM) e alcune reti private virtuali (VPN).

Il bug Heartbleed consente a chiunque su Internet di leggere la memoria del sistemi protetti dalle versioni vulnerabili del software OpenSSL. Ciò compromette le chiavi segrete utilizzate per identificare i provider di servizi e per crittografare il traffico, i nomi e le password degli utenti e il contenuto effettivo. Ciò consente agli aggressori di intercettare le comunicazioni, rubare i dati direttamente dai servizi e dagli utenti e impersonare servizi e utenti.

Sembra abbastanza brutto, sì? Sembra ancora peggio quando ti rendi conto che circa i due terzi di tutti i siti web che utilizzano SSL utilizzano questa versione vulnerabile di OpenSSL. Non stiamo parlando di siti di piccole dimensioni come i forum di hot rod o siti di scambio di carte collezionabili, stiamo parlando di banche, società di carte di credito, importanti rivenditori di e-mail e provider di posta elettronica. Peggio ancora, questa vulnerabilità è stata in circolazione per circa due anni. Sono due anni che qualcuno con le conoscenze e le competenze appropriate avrebbe potuto attingere alle credenziali di accesso e alle comunicazioni private di un servizio che usi (e, secondo i test condotti da Codenomicon, farlo senza lasciare traccia).

Per un pari migliore illustrazione di come funziona l'insetto Heartbleed. leggi questo fumetto xkcd.

Anche se nessun gruppo si è fatto avanti per ostentare tutte le credenziali e le informazioni che hanno sifonato con l'exploit, a questo punto del gioco devi presupporre che le credenziali di accesso per i siti web che frequenti sono state compromesso.

Cosa fare Bug di Heartbleed post

Qualsiasi violazione della sicurezza di maggioranza (e questo certamente si qualifica su larga scala) richiede di valutare le pratiche di gestione della password. Data l'ampia portata del Bug Heartbleed, questa è un'opportunità perfetta per rivedere un sistema di gestione delle password già fluido o, se stai trascinando i tuoi piedi, per crearne uno.

Prima di immergerti immediatamente nel cambiare le tue password , tenere presente che la vulnerabilità viene corretta solo se la società ha eseguito l'aggiornamento alla nuova versione di OpenSSL. La storia è finita lunedì, e se ti sei precipitato a cambiare immediatamente le tue password su ogni sito, la maggior parte di loro avrebbe comunque eseguito la versione vulnerabile di OpenSSL.

RELATED: Come eseguire un controllo sicurezza ultimo passaggio (e perché non può attendere)

Ora, a metà settimana, la maggior parte dei siti ha avviato il processo di aggiornamento e nel fine settimana è ragionevole assumere la maggior parte dei siti Web di alto profilo

Puoi utilizzare il correttore di bug di Heartbleed qui per vedere se la vulnerabilità è ancora aperta o, anche se il sito non risponde alle richieste del checker di cui sopra, puoi usare il controllo della data SSL di LastPass per vedere se il server in questione ha aggiornato il proprio certificato SSL di recente (se lo ha aggiornato dopo il 4/7/2014 è un buon indicatore di aver corretto la vulnerabilità). Nota: se si esegue phhsnews.com tramite il correttore di bug restituirà un errore perché in primo luogo non usiamo la crittografia SSL e abbiamo anche verificato che i nostri server non eseguono alcun software interessato.

Detto questo, sembra che questo weekend si prenda forma essere un buon fine settimana per fare sul serio l'aggiornamento delle password. Innanzitutto, è necessario un sistema di gestione delle password. Consulta la nostra guida su come iniziare con LastPass per configurare una delle opzioni di gestione delle password più sicure e flessibili disponibili. Non devi usare LastPass, ma hai bisogno di un sistema che ti permetta di tracciare e gestire una password unica e sicura per ogni sito web che visiti.

In secondo luogo, devi iniziare a cambiare le tue password . Lo schema di gestione delle crisi nella nostra guida, Come recuperare dopo che la tua password di posta elettronica è compromessa, è un ottimo modo per assicurarti di non perdere nessuna password; evidenzia anche le basi della buona igiene della password, citata qui:

  • Le password devono sempre essere più lunghe del minimo consentito dal servizio . Se il servizio in questione consente di utilizzare password di 6-20 caratteri, è possibile utilizzare la password più lunga che è possibile ricordare.
  • Non utilizzare le parole del dizionario come parte della password . La tua password dovrebbe mai essere così semplice che una scansione rapida con un file di dizionario lo rivelerebbe. Non includere mai il tuo nome, parte del login o e-mail o altri elementi facilmente identificabili come il nome della tua azienda o il nome della via. Evita inoltre di usare combinazioni di tasti comuni come "qwerty" o "asdf" come parte della tua password.
  • Usa passphrase invece di password . Se non usi un gestore di password per ricordare password davvero casuali ( sì, ci rendiamo conto che stiamo davvero insistendo sull'idea di utilizzare un gestore di password), quindi puoi ricordare password più forti trasformandole in passphrase. Ad esempio, per il tuo account Amazon potresti creare la frase di accesso "I love to read books", facile da ricordare e poi croccarla in una password come "! Luv2ReadBkz". È facile da ricordare ed è abbastanza forte.

Terzo, se possibile, si desidera abilitare l'autenticazione a due fattori. Puoi leggere ulteriori informazioni sull'autenticazione a due fattori qui, ma in breve ti consente di aggiungere un ulteriore livello di identificazione al tuo login.

CORRELATO: Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?

Con Gmail, ad esempio, l'autenticazione a due fattori richiede che tu non abbia solo il tuo login e password ma l'accesso al cellulare registrato al tuo account Gmail in modo da poter accettare un codice di testo da inserire quando accedi da un nuovo computer.

Con l'autenticazione a due fattori attivata rende molto difficile per qualcuno che ha ottenuto l'accesso al tuo login e password (come potrebbero con il bug Heartbleed) per accedere effettivamente al tuo account.


Vulnerabilità della sicurezza, specialmente quelle con implicazioni di così vasta portata, non sono mai divertenti ma offrono un'opportunità per noi di stringere le nostre pratiche relative alle password e garantire che password uniche e resistenti mantengano il danno, quando si verifica, contenuto.


Come abilitare incollare il testo sui siti che lo bloccano

Come abilitare incollare il testo sui siti che lo bloccano

Alcune aziende pensano che aumentino la sicurezza disabilitando la possibilità di incollare i campi del modulo, come il campo della password. Ma in realtà, tutto ciò che stanno facendo è frustrante per gli utenti e probabilmente diminuendo la sicurezza bloccando i gestori di password . Ecco come risolvere questo fastidio in Chrome e Firefox.

(how-to)

Come eseguire la scansione della rete per dispositivi e porte aperte

Come eseguire la scansione della rete per dispositivi e porte aperte

In precedenza avevo scritto un post su come rilevare le leechers WiFi sulla tua rete e menzionato un paio di app per smartphone che puoi usare per scansionare la tua rete domestica. Le app fanno un buon lavoro di scansione della rete automaticamente e ti danno alcuni dettagli su ciascun dispositivo.Non ho approfondito le app in quel post dal momento che era incentrata sulla cattura di utenti non autorizzati sulla tua rete

(How-to)