cs.phhsnews.com


cs.phhsnews.com / Vysvětleno: Proč potřebujete změnit hesla

Vysvětleno: Proč potřebujete změnit hesla


Když jsme vás poprvé upozornili na závažné narušení bezpečnosti, bylo to, že byla zablokována databáze hesel Adobe, a to miliony uživatelů slabá a často opakovaně používaná hesla). Dnes vás upozorňujeme na mnohem větší bezpečnostní problém - Heartbleed Bug, který potenciálně ohrozil ohromující 2 / 3r ze zabezpečených webových stránek na internetu. Musíte změnit hesla a musíte začít dělat to nyní.

Důležitá poznámka: Jak to Geek není touto chybou ovlivněn

Co je to srdce a proč je tak nebezpečné? vaše typické narušení zabezpečení jsou vystaveny uživatelské záznamy / hesla jedné společnosti. Je to hrozné, když se to stane, ale je to ojedinělá záležitost. Společnost X má bezpečnostní porušení, vydává varování svým uživatelům a lidé jako my všem připomínají, že je čas začít pracovat s dobrou bezpečnostní hygienou a aktualizovat jejich hesla. Ty, bohužel, typické porušení jsou stejně špatné. Heartbleed Bug je něco,

hodně, horší. Heartbleed Bug podkopává šifrovací schéma, která nás chrání, když jsme e-mailem, bankou a jinak komunikovali s webovými stránkami, které považujeme za bezpečné. Zde je jednoduchý anglický popis zranitelnosti z Codenomicon, bezpečnostní skupiny, která objevila a upozornila veřejnost na chybu:

Heartbleed Bug je vážná zranitelnost v populární knihovně kryptografického softwaru OpenSSL. Tato slabost umožňuje krást chráněných informací za normálních podmínek pomocí šifrování SSL / TLS používaného k zabezpečení internetu. SSL / TLS poskytuje komunikační zabezpečení a soukromí přes Internet pro aplikace jako web, e-mail, chat a některé virtuální privátní sítě (VPN).

Chyba Heartbleed umožňuje komukoliv na Internetu číst paměť systémy chráněné zranitelnými verzemi softwaru OpenSSL. To ohrožuje tajné klíče používané k identifikaci poskytovatelů služeb a šifrování provozu, jména a hesla uživatelů a skutečný obsah. To umožňuje útočníkům odposlouchávat komunikace, ukrást data přímo ze služeb a uživatelů a vydávat se za služby a uživatele.

To zní docela špatně, ano? Zní to ještě horší, když zjistíte, že zhruba dvě třetiny všech webových stránek používajících SSL používají tuto zranitelnou verzi OpenSSL. Nemluvíme o malých časových místech, jako jsou horké tyčové fóra nebo výměnné karty s kartami, mluvíme s bankami, společnostmi s kreditními kartami, hlavními e-maloobchodníky a poskytovateli e-mailů. Ještě horší je, že tato zranitelnost byla ve volné přírodě asi dva roky. To je dva roky, kdy někdo s odpovídajícími znalostmi a dovednostmi mohl využít odpovědi na přihlašovací údaje a soukromou komunikaci služby, kterou používáte (a podle testů provedených společností Codenomicon to dělá bez stopy). lepší ilustraci toho, jak funguje chyba srdce. Přečtěte si tento komiks xkcd.

Přestože žádná skupina se nepokoušela získat všechny pověření a informace, které s využitím využívají, musíte v tomto okamžiku hry předpokládat, že přihlašovací údaje pro často navštěvované weby

Co dělat Post Heartbleed Bug

Jakékoliv většinové narušení zabezpečení (a to jistě splňuje podmínky ve velkém měřítku) vyžaduje, abyste posoudili své postupy pro správu hesel. Vzhledem k širokému dosahu programu Heartbleed Bug je to perfektní příležitost ke kontrole již hladce fungujícího systému správy hesel, nebo pokud jste táhli nohy, nastavte si ji.

Než se ponoříte do okamžité změny hesel , uvědomte si, že tato chyba zabezpečení je opravována pouze v případě, že společnost upgradovala na novou verzi OpenSSL. Příběh se v pondělí rozpadl a pokud byste se vrhli na to, abyste okamžitě změnili hesla na všech stránkách, většina z nich by stále provozovala zranitelnou verzi OpenSSL

SOUVISEJÍCÍ:

Jak spustit bezpečnostní audit posledního průchodu (a proč to nemůže čekat)

Nyní v polovině týdne většina webů začala proces aktualizace a o víkendu je rozumné předpokládat, že většina vysoce profilovaných webových stránek Kontrolou Heartbleed Bug můžete použít tady, abyste zjistili, zda je chyba stále otevřená, nebo dokonce i když web neodpovídá na požadavky z výše uvedené kontroly, můžete použít Kontrola data SSL LastPass pro zobrazení pokud dotyčný server nedávno aktualizoval svůj certifikát SSL (pokud ho aktualizovali po 4. 7. 2014, je to dobrý ukazatel, že tuto chybu zabezpečení opravili.)

Poznámka:

pokud spustíte phhsnews.com kontrola chyby vrátí chybu, protože nejprve používáme šifrování SSL a my jsme také ověřili, že na našich serverech není spuštěn žádný dotčený software. To znamená, že vypadá, že se tento víkend rozvíjí být dobrým víkendem, abyste se vážně zabývali aktualizací hesel. Nejprve potřebujete systém správy hesel. Podívejte se na náš průvodce, jak začít s LastPass nastavit jednu z nejbezpečnějších a nejsnadnějších možností správy hesel. LastPass nemusíte používat, ale potřebujete nějaký systém, který vám umožní sledovat a spravovat jedinečné a silné heslo pro všechny webové stránky, které navštívíte. Za druhé musíte začít s vaší změnou hesla . Struktura krizového managementu v našem průvodci, jak se obnovit po vašem e-mailovém heslu, je kompromisní, je skvělý způsob, jak zajistit, abyste nenechali žádné hesla; také zdůrazňuje základy dobré hygieny hesel, které jsou uvedeny zde:

Hesla by měla být vždy delší než minimální, kterou služba

umožňuje. Pokud daná služba umožňuje hesla o délce 6 až 20 znaků, použijte nejdelší heslo, které si pamatujete.

  • Nepoužívejte slova slovníku jako součást hesla . Vaše heslo by
  • nikdy nemělo být tak jednoduché, že by to zjistilo zkrácené skenování se slovníkovým souborem. Nikdy nezahrnujte své jméno, část přihlašovacího jména nebo e-mail nebo jiné snadno identifikovatelné položky, jako je název vaší firmy nebo název ulice. Vyhněte se také používání běžných kombinací kláves, jako je "qwerty" nebo "asdf", jako součást vašeho hesla. Používejte hesla namísto hesel
  • Pokud nepoužíváte správce hesel k zapamatování skutečně náhodných hesel ano, uvědomujeme si, že jsme skutečně obtěžovali myšlenku použití správce hesel), pak si zapamatujete silnější hesla tím, že je změníte na fráze. Například pro váš Amazonský účet můžete vytvořit snadno přístupnou přístupovou frázi "Ráda číst knihy" a pak ji zkrachovat do hesla jako "! Luv2ReadBkz". Je snadné si je pamatovat a je to poměrně silné. Za třetí, kdykoli je to možné, chcete povolit dvoufaktorovou autentizaci. Více informací o dvoufaktorové autentizaci můžete získat zde, ale zkrátka vám umožní přiřadit další identifikační vrstvu vašemu přihlašování. SOUVISEJÍCÍ:

Co je dvoufaktorové ověřování a proč to potřebuji?

Ve službě Gmail například dvoufaktorové ověřování vyžaduje, abyste neměli pouze přihlašovací jméno a heslo, ale přístup k mobilnímu telefonu, který je registrován do vašeho účtu Gmail, abyste mohli přijmout kód textových zpráv, který chcete zadat při přihlašování z nového Díky dvoufaktorové autentizaci je pro někoho, kdo získal přístup k vašemu přihlašovacímu jménu a heslo (jako by mohli s Heartbleed Bug), velmi obtížné skutečně přistupovat k vašemu účtu.

Bezpečnostní chyby, zejména ty s tak rozsáhlými důsledky, nejsou nikdy zábavné, ale nabízejí nám příležitost zpřísnit naše postupy v oblasti hesel a zajistit, aby jedinečné a silné hesla vedly k poškození, když se to vyskytlo.


Jak poslat sebe-destrukční iMessages s Confide

Jak poslat sebe-destrukční iMessages s Confide

Chcete něco trochu časovější než dovoluje i "Invisible Ink" aplikace iMessage? Configure vám pomůže posílat samorozumitelné zprávy, které jsou zobrazeny jednou a navždy pryč. Jak Confide Works v iMessage Jak jsme si v přehledu funkcí iOS 10 vybrali a poté jsme vstoupili do našeho průvodce v aplikacích iMessage, iMessage nyní má ekosystém aplikace, který je jako miniaturní verze aplikace iOS App Store.

(how-to)

Přidání vaší hudební knihovny do režimu Steam a použití funkce Steam Music Player

Přidání vaší hudební knihovny do režimu Steam a použití funkce Steam Music Player

Steam Music Player vám umožňuje přidat MP3 soubor uložený v počítači do místní hudební knihovny a přehrávat jej zpět - uvnitř nebo vně hry, s ovladačem nebo klávesnicí a myší. To by bylo obzvláště užitečné na parném počítači nebo herním PC v režimu Big Picture. Toto funguje v systému Steam na Windows, Mac, Linux a Steam OS.

(how-to)