2024 مؤلف: Peter John Melton | [email protected]. آخر تعديل: 2023-12-16 04:48
Important note: How-To Geek is not affected by this bug.
ما هو Heartbleed ولماذا هو خطير جدا؟
في خرق الأمان النموذجي ، يتم كشف سجلات المستخدم / كلمات المرور الخاصة بشركة واحدة. هذا فظيع عندما يحدث ، لكنه أمر معزول. لدى شركة X انتهاك أمني ، فإنها تصدر تحذيرًا لمستخدميها ، ويذكر الأشخاص مثلنا الجميع بأن الوقت قد حان لبدء ممارسة الأمان الجيد وتحديث كلمات المرور الخاصة بهم. تلك ، للأسف ، الاختراقات المعتادة سيئة بما فيه الكفاية. الخطأ Heartbleed هو شيء كثير ،كثير، أسوأ.
يقوض نظام Heartbleed Bug نظام التشفير الذي يحمينا أثناء قيامنا بالبريد الإلكتروني والبنك والتفاعل مع مواقع الويب التي نعتقد أنها آمنة. فيما يلي وصفًا سهلًا للإنجليزية للثغرة الأمنية من Codenomicon ، وهي مجموعة الأمان التي اكتشفت الجمهور ونبهت إلى الخطأ:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
هذا يبدو سيئا جدا ، نعم؟ يبدو الأمر أسوأ عندما تدرك أن حوالي ثلثي جميع مواقع الويب التي تستخدم طبقة المقابس الآمنة تستخدم هذه النسخة الضعيفة من OpenSSL. نحن لا نتحدث عن مواقع صغيرة الحجم مثل منتديات القضبان الساخنة أو مواقع تبادل لعب الورق القابلة للتحصيل ، نحن نتحدث البنوك وشركات بطاقات الائتمان وتجار التجزئة الرئيسيين وموفري البريد الإلكتروني. والأسوأ من ذلك ، أن هذه الثغرة موجودة في البرية منذ حوالي عامين. كان ذلك الشخص الذي يمتلك معرفة ومهارات مناسبة لمدة عامين قد تم استغلاله في بيانات اعتماد تسجيل الدخول والاتصالات الخاصة للخدمة التي تستخدمها (ووفقًا للاختبار الذي أجرته Codenomicon ، فافعل ذلك بدون أي أثر).
لتوضيح أفضل لكيفية عمل حشرة هارتبليد. قراءة هذا الهزلي xkcd.
على الرغم من عدم تقدم أي مجموعة لتباهي جميع أوراق الاعتماد والمعلومات التي استحوذوا عليها مع استغلالها ، في هذه المرحلة من اللعبة عليك أن تفترض أن بيانات تسجيل الدخول الخاصة بمواقع الويب التي تكررها قد تم اختراقها.
ما يجب القيام به بوستليد Bug
يتطلب أي اختراق أمني للأغلبية (وهذا بالتأكيد مؤهل على نطاق واسع) تقييم ممارسات إدارة كلمات المرور الخاصة بك. وبالنظر إلى مدى وصول Heartbleed Bug الواسع ، فإن هذه فرصة مثالية لمراجعة نظام إدارة كلمات المرور السلس حاليًا ، أو إذا كنت تمشي قدميك ، فقم بإعداد واحدة.
قبل الغوص في تغيير كلمات المرور الخاصة بك على الفور ، يجب أن تكون على علم بأن الثغرة الأمنية يتم تصحيحها فقط إذا قامت الشركة بالترقية إلى الإصدار الجديد من OpenSSL. اندلعت القصة يوم الاثنين ، وإذا كنت قد هرعت لتغيير كلمات السر الخاصة بك على الفور في كل موقع ، فإن معظمها لا يزال قيد الإصدار الضعيف من OpenSSL.
الآن ، في منتصف الأسبوع ، بدأت معظم المواقع عملية التحديث وبحلول نهاية الأسبوع من المعقول أن نفترض أن غالبية مواقع الويب البارزة ستنتقل.
يمكنك استخدام مدقق الأخطاء Heartbleed Bug هنا لمعرفة ما إذا كانت الثغرة مفتوحة أو ، حتى إذا كان الموقع لا يستجيب للطلبات الواردة من المدقق المذكور ، يمكنك استخدام مدقق تاريخ SSL لـ LastPass لمعرفة ما إذا كان الخادم المعني قد قام بتحديث شهادة SSL مؤخرًا (إذا قاموا بتحديثها بعد 4/7/2014 ، فهذا مؤشر جيد على أنهم قاموا بتصحيح الثغرة). ملحوظة: إذا قمت بتشغيل howtogeek.com من خلال أداة فحص الأخطاء ، فستعرض رسالة خطأ لأننا لا نستخدم تشفير SSL في المقام الأول ، كما تحققنا أيضًا من عدم تشغيل خوادمنا لأي برامج متأثرة.
ومع ذلك ، يبدو أن عطلة نهاية الأسبوع هذه ستتحول إلى عطلة نهاية أسبوع جيدة لكي تكون جادًا بشأن تحديث كلمات المرور الخاصة بك. أولاً ، تحتاج إلى نظام إدارة كلمات المرور. اطلع على دليلنا لبدء استخدام LastPass لإعداد أكثر خيارات إدارة كلمات المرور أمانًا ومرونة. لست بحاجة إلى استخدام LastPass ، ولكنك تحتاج إلى نوع من النظام في مكان يسمح لك بتتبع وإدارة كلمة مرور فريدة وقوية لكل موقع ويب تزوره.
ثانيًا ، يجب عليك البدء في تغيير كلمات المرور الخاصة بك. إن الخطوط العريضة لإدارة الأزمات في دليلنا ، كيفية الاسترداد بعد اختراق كلمة سر البريد الإلكتروني ، هي طريقة رائعة لضمان عدم تفويت أي كلمات مرور ؛ كما يسلط الضوء على أساسيات النظافة الجيدة لكلمات المرور ، والتي يتم اقتباسها هنا:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
ثالثًا ، كلما أمكن ، ترغب في تمكين المصادقة الثنائية. يمكنك قراءة المزيد عن المصادقة الثنائية هنا ، ولكن باختصار يسمح لك بإضافة طبقة إضافية من الهوية لتسجيل الدخول.
باستخدام Gmail ، على سبيل المثال ، تتطلب المصادقة الثنائية ليس فقط تسجيل الدخول وكلمة المرور ولكن الوصول إلى الهاتف المحمول المسجل إلى حساب Gmail الخاص بك حتى تتمكن من قبول رمز رسالة نصية للإدخال عند تسجيل الدخول من جهاز كمبيوتر جديد.
مع تمكين المصادقة الثنائية ، يجعل الأمر صعبًا جدًا على الشخص الذي تمكن من الوصول إلى معلومات تسجيل الدخول وكلمة المرور (مثلما كان بإمكانه من خلال Heartbleed Bug) للوصول فعليًا إلى حسابك.
إن نقاط الضعف الأمنية ، خاصة تلك التي لها آثار بعيدة المدى ، ليست ممتعة أبداً ولكنها توفر فرصة بالنسبة لنا لتشديد ممارسات كلمة المرور الخاصة بنا والتأكد من أن كلمات المرور الفريدة والقوية تحافظ على الضرر ، عند حدوثه ، محتواة.
موصى به:
يجب عليك تغيير كلمات المرور الخاصة بك بانتظام؟
نعم ، هناك بعض المواقف التي تريد فيها تغيير كلمات مرورك بانتظام. لكن من المحتمل أن يكون هؤلاء الاستثناء وليس القاعدة. إن إخبار مستخدمي الكمبيوتر العاديين أنهم يحتاجون إلى تغيير كلمات مرورهم بانتظام هو خطأ.
كيفية استخدام مدير كلمات المرور في Google لمزامنة كلمات المرور الخاصة بك في كل مكان
هل تعلم أن لدى Google مديرًا مخصصًا لكلمات المرور؟ إنها أكثر من مجرد مزامنة كلمات مرور مضمنة في متصفح Chrome - يوفر حل Google أيضًا تطبيق ويب وتطبيقات جوالًا وتكاملًا عميقًا مع Android وإنشاء تلقائي لكلمات المرور القوية.
تحذير: "كلمات المرور الخاصة بالتطبيقات الخاصة بك" ليست خاصة بالتطبيقات
كلمات المرور الخاصة بالتطبيق أكثر خطورة مما تبدو عليه. على الرغم من اسمها ، إلا أنها غير محددة للتطبيق. كل كلمة مرور خاصة بالتطبيق تشبه إلى حد كبير مفتاح skeleton الذي يوفر وصولاً غير مقيد إلى حسابك.
حان الوقت: لماذا تحتاج إلى الترقية إلى SSD الحق الآن
حان الوقت للترقية إلى SSD إذا كنت لا تزال تستخدم محرك أقراص ثابتة ميكانيكيًا في جهاز الكمبيوتر الخاص بك. إن SSD هي أكبر عملية ترقية يمكنك منحها لجهاز الكمبيوتر الخاص بك ، وقد انخفضت الأسعار بشكل كبير.
إذا تم اختراق أحد كلمات المرور الخاصة بي هل كلمات المرور الأخرى الخاصة بي تم اختراقها أيضًا؟
إذا تم اختراق إحدى كلمات المرور الخاصة بك ، فهل يعني ذلك تلقائيًا أن كلمات المرور الأخرى قد تم اختراقها أيضًا؟ في حين أن هناك متغيرات قليلة في اللعب ، فإن السؤال هو نظرة مثيرة للاهتمام على ما يجعل كلمة المرور ضعيفة وما يمكنك القيام به لحماية نفسك.