وأوضح Heartbleed: لماذا تحتاج إلى تغيير كلمات المرور الخاصة بك الآن

جدول المحتويات:

فيديو: وأوضح Heartbleed: لماذا تحتاج إلى تغيير كلمات المرور الخاصة بك الآن

فيديو: وأوضح Heartbleed: لماذا تحتاج إلى تغيير كلمات المرور الخاصة بك الآن
فيديو: تقليل حجم ملفات pdf ، ضغط ملفات pdf بدون التعديل عليها 2024, مارس
وأوضح Heartbleed: لماذا تحتاج إلى تغيير كلمات المرور الخاصة بك الآن
وأوضح Heartbleed: لماذا تحتاج إلى تغيير كلمات المرور الخاصة بك الآن
Anonim
كانت آخر مرة نبهوك فيها إلى انتهاك أمني كبير عندما تم اختراق قاعدة بيانات كلمات مرور Adobe ، مما يعرض الملايين من المستخدمين (خاصةً أولئك الذين لديهم كلمات مرور ضعيفة ومتكررة الاستخدام) للخطر. نحن اليوم نحذركم من مشكلة أمنية أكبر بكثير ، وهي Heartbleed Bug ، التي من المحتمل أن تتسبب في اختراق عدد مذهل من المواقع الإلكترونية الآمنة على الإنترنت. تحتاج إلى تغيير كلمات المرور الخاصة بك ، وتحتاج إلى البدء في القيام بذلك الآن.
كانت آخر مرة نبهوك فيها إلى انتهاك أمني كبير عندما تم اختراق قاعدة بيانات كلمات مرور Adobe ، مما يعرض الملايين من المستخدمين (خاصةً أولئك الذين لديهم كلمات مرور ضعيفة ومتكررة الاستخدام) للخطر. نحن اليوم نحذركم من مشكلة أمنية أكبر بكثير ، وهي Heartbleed Bug ، التي من المحتمل أن تتسبب في اختراق عدد مذهل من المواقع الإلكترونية الآمنة على الإنترنت. تحتاج إلى تغيير كلمات المرور الخاصة بك ، وتحتاج إلى البدء في القيام بذلك الآن.

Important note: How-To Geek is not affected by this bug.

ما هو Heartbleed ولماذا هو خطير جدا؟

في خرق الأمان النموذجي ، يتم كشف سجلات المستخدم / كلمات المرور الخاصة بشركة واحدة. هذا فظيع عندما يحدث ، لكنه أمر معزول. لدى شركة X انتهاك أمني ، فإنها تصدر تحذيرًا لمستخدميها ، ويذكر الأشخاص مثلنا الجميع بأن الوقت قد حان لبدء ممارسة الأمان الجيد وتحديث كلمات المرور الخاصة بهم. تلك ، للأسف ، الاختراقات المعتادة سيئة بما فيه الكفاية. الخطأ Heartbleed هو شيء كثير ،كثير، أسوأ.

يقوض نظام Heartbleed Bug نظام التشفير الذي يحمينا أثناء قيامنا بالبريد الإلكتروني والبنك والتفاعل مع مواقع الويب التي نعتقد أنها آمنة. فيما يلي وصفًا سهلًا للإنجليزية للثغرة الأمنية من Codenomicon ، وهي مجموعة الأمان التي اكتشفت الجمهور ونبهت إلى الخطأ:

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.

هذا يبدو سيئا جدا ، نعم؟ يبدو الأمر أسوأ عندما تدرك أن حوالي ثلثي جميع مواقع الويب التي تستخدم طبقة المقابس الآمنة تستخدم هذه النسخة الضعيفة من OpenSSL. نحن لا نتحدث عن مواقع صغيرة الحجم مثل منتديات القضبان الساخنة أو مواقع تبادل لعب الورق القابلة للتحصيل ، نحن نتحدث البنوك وشركات بطاقات الائتمان وتجار التجزئة الرئيسيين وموفري البريد الإلكتروني. والأسوأ من ذلك ، أن هذه الثغرة موجودة في البرية منذ حوالي عامين. كان ذلك الشخص الذي يمتلك معرفة ومهارات مناسبة لمدة عامين قد تم استغلاله في بيانات اعتماد تسجيل الدخول والاتصالات الخاصة للخدمة التي تستخدمها (ووفقًا للاختبار الذي أجرته Codenomicon ، فافعل ذلك بدون أي أثر).

لتوضيح أفضل لكيفية عمل حشرة هارتبليد. قراءة هذا الهزلي xkcd.

Image
Image

على الرغم من عدم تقدم أي مجموعة لتباهي جميع أوراق الاعتماد والمعلومات التي استحوذوا عليها مع استغلالها ، في هذه المرحلة من اللعبة عليك أن تفترض أن بيانات تسجيل الدخول الخاصة بمواقع الويب التي تكررها قد تم اختراقها.

ما يجب القيام به بوستليد Bug

يتطلب أي اختراق أمني للأغلبية (وهذا بالتأكيد مؤهل على نطاق واسع) تقييم ممارسات إدارة كلمات المرور الخاصة بك. وبالنظر إلى مدى وصول Heartbleed Bug الواسع ، فإن هذه فرصة مثالية لمراجعة نظام إدارة كلمات المرور السلس حاليًا ، أو إذا كنت تمشي قدميك ، فقم بإعداد واحدة.

قبل الغوص في تغيير كلمات المرور الخاصة بك على الفور ، يجب أن تكون على علم بأن الثغرة الأمنية يتم تصحيحها فقط إذا قامت الشركة بالترقية إلى الإصدار الجديد من OpenSSL. اندلعت القصة يوم الاثنين ، وإذا كنت قد هرعت لتغيير كلمات السر الخاصة بك على الفور في كل موقع ، فإن معظمها لا يزال قيد الإصدار الضعيف من OpenSSL.

الآن ، في منتصف الأسبوع ، بدأت معظم المواقع عملية التحديث وبحلول نهاية الأسبوع من المعقول أن نفترض أن غالبية مواقع الويب البارزة ستنتقل.

يمكنك استخدام مدقق الأخطاء Heartbleed Bug هنا لمعرفة ما إذا كانت الثغرة مفتوحة أو ، حتى إذا كان الموقع لا يستجيب للطلبات الواردة من المدقق المذكور ، يمكنك استخدام مدقق تاريخ SSL لـ LastPass لمعرفة ما إذا كان الخادم المعني قد قام بتحديث شهادة SSL مؤخرًا (إذا قاموا بتحديثها بعد 4/7/2014 ، فهذا مؤشر جيد على أنهم قاموا بتصحيح الثغرة). ملحوظة: إذا قمت بتشغيل howtogeek.com من خلال أداة فحص الأخطاء ، فستعرض رسالة خطأ لأننا لا نستخدم تشفير SSL في المقام الأول ، كما تحققنا أيضًا من عدم تشغيل خوادمنا لأي برامج متأثرة.

ومع ذلك ، يبدو أن عطلة نهاية الأسبوع هذه ستتحول إلى عطلة نهاية أسبوع جيدة لكي تكون جادًا بشأن تحديث كلمات المرور الخاصة بك. أولاً ، تحتاج إلى نظام إدارة كلمات المرور. اطلع على دليلنا لبدء استخدام LastPass لإعداد أكثر خيارات إدارة كلمات المرور أمانًا ومرونة. لست بحاجة إلى استخدام LastPass ، ولكنك تحتاج إلى نوع من النظام في مكان يسمح لك بتتبع وإدارة كلمة مرور فريدة وقوية لكل موقع ويب تزوره.

ثانيًا ، يجب عليك البدء في تغيير كلمات المرور الخاصة بك. إن الخطوط العريضة لإدارة الأزمات في دليلنا ، كيفية الاسترداد بعد اختراق كلمة سر البريد الإلكتروني ، هي طريقة رائعة لضمان عدم تفويت أي كلمات مرور ؛ كما يسلط الضوء على أساسيات النظافة الجيدة لكلمات المرور ، والتي يتم اقتباسها هنا:

  • Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
  • Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
  • Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.

ثالثًا ، كلما أمكن ، ترغب في تمكين المصادقة الثنائية. يمكنك قراءة المزيد عن المصادقة الثنائية هنا ، ولكن باختصار يسمح لك بإضافة طبقة إضافية من الهوية لتسجيل الدخول.

باستخدام Gmail ، على سبيل المثال ، تتطلب المصادقة الثنائية ليس فقط تسجيل الدخول وكلمة المرور ولكن الوصول إلى الهاتف المحمول المسجل إلى حساب Gmail الخاص بك حتى تتمكن من قبول رمز رسالة نصية للإدخال عند تسجيل الدخول من جهاز كمبيوتر جديد.

مع تمكين المصادقة الثنائية ، يجعل الأمر صعبًا جدًا على الشخص الذي تمكن من الوصول إلى معلومات تسجيل الدخول وكلمة المرور (مثلما كان بإمكانه من خلال Heartbleed Bug) للوصول فعليًا إلى حسابك.

إن نقاط الضعف الأمنية ، خاصة تلك التي لها آثار بعيدة المدى ، ليست ممتعة أبداً ولكنها توفر فرصة بالنسبة لنا لتشديد ممارسات كلمة المرور الخاصة بنا والتأكد من أن كلمات المرور الفريدة والقوية تحافظ على الضرر ، عند حدوثه ، محتواة.

موصى به: