Heartbleed объяснил, почему вам нужно изменить свои пароли сейчас

В последний раз мы предупреждали вас о серьезном нарушении безопасности, когда была взломана база паролей Adobe, что поставило под угрозу миллионы пользователей (особенно тех, у кого были слабые и часто используемые пароли). Сегодня мы предупреждаем вас о гораздо более серьезной проблеме безопасности, об ошибке Heartbleed, которая потенциально скомпрометировала ошеломляющие 2/3 защищенных веб-сайтов в Интернете. Вам нужно изменить свои пароли, и вам нужно начать делать это сейчас.

Важное примечание: эта ошибка не распространяется на How-To Geek.

Что такое Heartbleed и почему это так опасно?

При типичном нарушении безопасности раскрываются пользовательские записи / пароли одной компании. Это ужасно, когда это происходит, но это изолированное дело. Компания X имеет брешь в безопасности, они предупреждают своих пользователей, и такие люди, как мы, напоминают всем, что пришло время начать соблюдать правила безопасности и обновить свои пароли. Те, к сожалению, типичные нарушения достаточно плохи, как есть. Ошибка Heartbleed это что-то много, много, хуже.

Ошибка Heartbleed подрывает саму схему шифрования, которая защищает нас, когда мы отправляем электронную почту, размещаем банковские операции и иным образом взаимодействуем с веб-сайтами, которые мы считаем безопасными. Вот простое английское описание уязвимости от Codenomicon, группы безопасности, которая обнаружила и предупредила общественность об ошибке:

Ошибка Heartbleed - серьезная уязвимость в популярной библиотеке криптографического программного обеспечения OpenSSL. Этот недостаток позволяет похищать информацию, защищенную в нормальных условиях шифрованием SSL / TLS, используемым для защиты Интернета. SSL / TLS обеспечивает безопасность и конфиденциальность связи через Интернет для таких приложений, как Интернет, электронная почта, обмен мгновенными сообщениями (IM) и некоторые виртуальные частные сети (VPN)..

Ошибка Heartbleed позволяет любому пользователю Интернета читать память систем, защищенных уязвимыми версиями программного обеспечения OpenSSL. Это компрометирует секретные ключи, используемые для идентификации поставщиков услуг и для шифрования трафика, имен и паролей пользователей и фактического контента. Это позволяет злоумышленникам подслушивать сообщения, красть данные непосредственно у служб и пользователей и выдавать себя за службы и пользователей.

Звучит довольно плохо, да? Это звучит еще хуже, когда вы понимаете, что примерно две трети всех веб-сайтов, использующих SSL, используют эту уязвимую версию OpenSSL. Мы не говорим о небольших временных сайтах, таких как форумы хот-родов или сайты обмена коллекционными карточными играми, мы говорим о банках, компаниях, выпускающих кредитные карты, крупных электронных магазинах и поставщиках электронной почты. Хуже того, эта уязвимость была в дикой природе около двух лет. Вот уже два года кто-то с соответствующими знаниями и навыками мог бы использовать учетные данные для входа в систему и личные сообщения службы, которую вы используете (и, согласно тестированию, проведенному Codenomicon, делать это без следа).

Для еще лучшей иллюстрации того, как работает ошибка Heartbleed. прочитайте этот комикс xkcd.

Хотя ни одна группа не выдвинула возможности выставлять напоказ все учетные данные и информацию, которую они взяли с помощью эксплойта, на этом этапе игры вы должны предположить, что учетные данные для входа на часто посещаемые вами сайты были скомпрометированы.

Что делать после сообщения об ошибке Heartbleed

Любое большинство нарушений безопасности (и это, безусловно, вполне приемлемо) требует от вас оценки ваших методов управления паролями. Учитывая широкий охват ошибки Heartbleed, это прекрасная возможность ознакомиться с уже отлаженной системой управления паролями или, если вы тянули время, настроить ее..

Прежде чем приступить к немедленному изменению своих паролей, имейте в виду, что уязвимость исправляется только в том случае, если компания обновилась до новой версии OpenSSL. История разразилась в понедельник, и если бы вы поспешили немедленно сменить свои пароли на каждом сайте, большинство из них по-прежнему работали бы с уязвимой версией OpenSSL..

Теперь, в середине недели, большинство сайтов начали процесс обновления, и к выходным разумно предположить, что большинство крупных веб-сайтов перешли.

Вы можете использовать средство проверки ошибок Heartbleed здесь, чтобы узнать, открыта ли еще уязвимость или, даже если сайт не отвечает на запросы от вышеупомянутой программы проверки, вы можете использовать средство проверки даты LastPass для проверки того, обновил ли данный сервер свои SSL-сертификат недавно (если они обновили его после 7.04.2014, это хороший показатель того, что они исправили уязвимость.)  Замечания: если вы запустите howtogeek.com через средство проверки ошибок, он вернет ошибку, потому что мы в первую очередь не используем шифрование SSL, и мы также убедились, что на наших серверах не работает какое-либо уязвимое программное обеспечение..

Тем не менее, похоже, что эти выходные будут хорошими выходными, чтобы серьезно отнестись к обновлению ваших паролей. Во-первых, вам нужна система управления паролями. Ознакомьтесь с нашим руководством по началу работы с LastPass, чтобы настроить один из самых безопасных и гибких вариантов управления паролями. Вам не нужно использовать LastPass, но вам нужна какая-то система, которая позволит вам отслеживать и управлять уникальным и надежным паролем для каждого посещаемого вами сайта..

Во-вторых, вам нужно начать менять свои пароли. Схема антикризисного управления в нашем руководстве «Как восстановить пароль после взлома» - это отличный способ убедиться, что вы не пропустили ни одного пароля; здесь также освещены основы правильной гигиены паролей, приведенные здесь:

• Пароли всегда должны быть длиннее минимума, который позволяет сервис. Если рассматриваемая служба позволяет использовать пароли из 6-20 символов, используйте самый длинный пароль, который вы можете запомнить..
• Не используйте слова из словаря как часть вашего пароля. Ваш пароль должен никогда быть настолько простым, что при быстром сканировании файла словаря это может быть обнаружено. Никогда не указывайте свое имя, часть логина или адреса электронной почты или другие легко идентифицируемые элементы, такие как название вашей компании или название улицы. Также не используйте в качестве пароля общие комбинации клавиш, такие как «qwerty» или «asdf»..
• Используйте пароли вместо паролей. Если вы не используете менеджер паролей для запоминания действительно случайных паролей (да, мы понимаем, что мы действительно исходим из идеи использовать менеджер паролей), то вы можете запомнить более надежные пароли, превратив их в парольные фразы. Например, для своей учетной записи Amazon вы можете создать парольную фразу «Я люблю читать книги», которую легко запомнить, и затем преобразовать ее в пароль типа «! Luv2ReadBkz». Это легко запомнить и довольно сильно.

В-третьих, по возможности вы хотите включить двухфакторную аутентификацию. Вы можете прочитать больше о двухфакторной аутентификации здесь, но вкратце это позволяет вам добавить дополнительный уровень идентификации к вашему логину.

Например, в Gmail для двухфакторной аутентификации требуется, чтобы у вас был не только логин и пароль, но и доступ к мобильному телефону, зарегистрированному в вашей учетной записи Gmail, чтобы вы могли принять код текстового сообщения для ввода при входе с нового компьютера..

При включенной двухфакторной аутентификации кому-то, кто получил доступ к вашему логину и паролю (как они могли бы с помощью Heartbleed Bug), очень трудно получить доступ к вашей учетной записи..

Уязвимости безопасности, особенно те, которые имеют столь далеко идущие последствия, никогда не доставляют удовольствия, но они действительно дают нам возможность ужесточить нашу практику паролей и гарантировать, что уникальные и надежные пароли сохраняют ущерб, когда он возникает, сдерживая.