Anasayfa » nasıl » Heartbleed, Şimdi Neden Parolalarınızı Değiştirmeniz Gerekenleri Açıkladı

    Heartbleed, Şimdi Neden Parolalarınızı Değiştirmeniz Gerekenleri Açıkladı

    Sizi büyük bir güvenlik ihlali konusunda en son uyardığımız zaman, Adobe'nin şifre veritabanını tehlikeye attığında, milyonlarca kullanıcıyı (özellikle zayıf ve sık kullanılan şifreleri olanlar) riske sokmaktı. Bugün sizi daha büyük bir güvenlik sorunu hakkında uyarıyoruz, İnternet'teki güvenli web sitelerinin şaşırtıcı 2 / 3'ünü potansiyel olarak tehlikeye atmış olan Heartbleed Bug. Şifrelerinizi değiştirmeniz ve şimdi yapmaya başlamanız gerekir..

    Önemli not: Nasıl Yapılır Geek bu hatadan etkilenmez.

    Heartbleed Nedir ve Neden Bu Kadar Tehlikelidir??

    Tipik güvenlik ihlallerinde, tek bir şirketin kullanıcı kayıtları / şifreleri ortaya çıkar. Olduğu zaman korkunç, ama yalıtılmış bir ilişki. X Şirketinin güvenlik ihlali var, kullanıcılarına bir uyarı veriyorlar ve bizim gibi insanlar herkese iyi güvenlik hijyeni uygulamaya başlamanın ve şifrelerini güncellemenin zamanı geldiğini hatırlatıyor. Bunlar ne yazık ki, tipik ihlaller olduğu gibi yeterince kötü. Heartbleed Böceği çok şey, çok, daha da kötüsü.

    Heartbleed Böceği, e-posta gönderirken, banka işlem yaparken ve güvenli olduğuna inandığımız web siteleriyle etkileşime girdiğimizde bizi koruyan şifreleme düzenini baltalıyor. Burada, kamuoyunu hataya bildiren ve bu konuda uyarıda bulunan güvenlik grubu olan Codenomicon'un güvenlik açığı ile ilgili açık bir İngilizce açıklama:

    Heartbleed Bug, popüler OpenSSL kriptografik yazılım kütüphanesinde ciddi bir güvenlik açığıdır. Bu zayıflık, normal şartlar altında korunan bilgilerin İnternet'i korumak için kullanılan SSL / TLS şifrelemesi ile çalınmasına olanak sağlar. SSL / TLS, web, e-posta, anında mesajlaşma (IM) ve bazı sanal özel ağlar (VPN'ler) gibi uygulamalar için İnternet üzerinden iletişim güvenliği ve gizlilik sağlar..

    Heartbleed hatası, Internet'teki herkesin OpenSSL yazılımının savunmasız sürümleri tarafından korunan sistemlerin belleğini okumasına izin verir. Bu, servis sağlayıcıları tanımlamak ve trafiği, kullanıcıların adlarını ve şifrelerini ve gerçek içeriği şifrelemek için kullanılan gizli anahtarları tehlikeye atar. Bu, saldırganların iletişimi dinlemelerine, doğrudan hizmetlerden ve kullanıcılardan veri çalmalarına ve hizmetleri ve kullanıcıları taklit etmeye izin verir.

    Kulağa çok kötü geliyor, değil mi? SSL kullanan tüm web sitelerinin yaklaşık üçte ikisinin OpenSSL'nin bu savunmasız sürümünü kullandığını farkettiğinizde daha da kötü geliyor. Hot rod forumları veya tahsil edilebilir kart oyunu takas siteleri gibi küçük zamanlı sitelerden bahsetmiyoruz, bankalar, kredi kartı şirketleri, büyük e-perakendeciler ve e-posta sağlayıcıları gibi konuşuyoruz. Daha da kötüsü, bu güvenlik açığı yaklaşık iki yıldır vahşi yaşamda bulunuyor. Bu, iki yıl boyunca, uygun bilgi ve becerilere sahip bir kişi, kullandığınız bir hizmetin giriş bilgilerini ve özel iletişimini kullanabiliyor olabilirdi (ve Codenomicon tarafından yapılan testlere göre, iz bırakmadan)..

    Heartbleed böceğinin nasıl çalıştığının daha iyi bir örneği için. bu xkcd çizgi romanı oku.

    Hiçbir grup, istismarla sifon ettikleri tüm bilgileri ve bilgileri göstermek için gelmemiş olsa da, oyunun bu noktasında, sık sık kullandığınız web siteleri için giriş kimlik bilgilerinin tehlikeye girdiğini varsaymanız gerekir..

    Heartbleed hata sonrası ne yapmalı

    Herhangi bir çoğunluk güvenliği ihlali (ve bu kesinlikle büyük ölçüde hak kazanır), şifre yönetimi uygulamalarınızı değerlendirmenizi gerektirir. Heartbleed Böceğinin geniş erişimi göz önüne alındığında, bu, halihazırda sorunsuz çalışan bir şifre yönetim sistemini gözden geçirmek veya ayaklarınızı sürüklediyseniz, birini kurmak için mükemmel bir fırsattır..

    Şifrelerinizi derhal değiştirmeden önce, güvenlik açığının yalnızca şirket OpenSSL’nin yeni sürümüne yükseltme yaptığında düzeltilebileceğini unutmayın. Hikaye Pazartesi günü başladı ve her sitedeki şifrelerinizi hemen değiştirmek için acele ettiyseniz, çoğu hala OpenSSL’in savunmasız sürümünü kullanıyor olacaktı..

    Şimdi, hafta ortası, çoğu site güncelleme sürecine başladı ve hafta sonu itibariyle yüksek profilli web sitelerinin çoğunun değiştirileceğini varsaymak makul olacaktır..

    Güvenlik açığının hala açık olup olmadığını görmek için Heartbleed Hata denetleyicisini kullanabilir veya site yukarıda belirtilen denetleyiciden gelen isteklere yanıt vermese bile, söz konusu sunucunun güncellenip güncellenmediğini görmek için LastPass’ın SSL tarih denetleyicisini kullanabilirsiniz. Yakın zamanda SSL sertifikası (4/7/2014 tarihinden sonra güncellerlerse, güvenlik açığını tespit ettikleri iyi bir göstergedir.)  Not: howtogeek.com’u bug denetleyicisi üzerinden çalıştırırsanız, ilk başta SSL şifrelemesi kullanmayacağımız ve sunucularımızın etkilenen herhangi bir yazılımı çalıştırmadığını doğruladığımızdan, bir hata döndürecektir..

    Bununla birlikte, bu haftasonu şifrelerinizi güncelleme konusunda ciddi olmak için iyi bir hafta sonu olmaya hazırlanıyor. İlk önce bir şifre yönetim sistemine ihtiyacınız var. En güvenli ve esnek parola yönetimi seçeneklerinden birini kurmak için LastPass'a başlamak için kılavuzumuzu inceleyin. LastPass kullanmak zorunda değilsiniz, ancak ziyaret ettiğiniz her web sitesi için benzersiz ve güçlü bir parola izlemenizi ve yönetmenizi sağlayacak bir tür sisteme ihtiyacınız var.

    İkincisi, şifrelerinizi değiştirmeye başlamanız gerekir. Rehberimizdeki kriz yönetimi taslağı, E-posta Şifrenizden Sonra Nasıl Kurtarılır, hiçbir şifreyi kaçırmadığınızdan emin olmanın harika bir yoludur; ayrıca burada belirtilen iyi şifre hijyeninin temellerini vurgulamaktadır:

    • Şifreler her zaman servisin izin verdiği minimumdan daha uzun olmalıdır. Söz konusu servis 6-20 karakterlik şifreler içeriyorsa, hatırlayabileceğiniz en uzun şifre için.
    • Sözlüğünüzü şifrenizin bir parçası olarak kullanmayın.. Şifreniz asla o kadar basit olun ki bir sözlük dosyasına sahip bir cursory taraması bunu ortaya çıkaracaktır. Asla adınızı, giriş bilgilerinin veya e-postaların bir kısmını veya şirket adınız veya cadde adınız gibi kolayca tanımlanabilecek diğer öğeleri eklemeyin. Ayrıca şifrenizin bir parçası olarak “qwerty” veya “asdf” gibi genel klavye kombinasyonlarını kullanmaktan kaçının.
    • Parola yerine parola kullan. Gerçekten rastgele şifreleri hatırlamak için bir şifre yöneticisi kullanmıyorsanız (evet, gerçekten bir şifre yöneticisi kullanma fikrinden yararlandığımızı anlıyoruz), daha sonra şifreleri şifreler haline getirerek daha güçlü şifreleri hatırlayabilirsiniz. Örneğin, Amazon hesabınız için, “Kitap okumayı çok seviyorum” gibi kolay hatırlanabilen bir parola oluşturabilir ve sonra bunu “! Luv2ReadBkz” gibi bir parola haline getirebilirsiniz. Hatırlaması kolay ve oldukça güçlü..

    Üçüncüsü, mümkün olduğunda iki faktörlü kimlik doğrulamayı etkinleştirmek istersiniz. Burada iki faktörlü kimlik doğrulaması hakkında daha fazla bilgi edinebilirsiniz, ancak kısacası giriş bilgilerinize ek bir kimlik katmanı eklemenizi sağlar.

    Örneğin, Gmail’de iki faktörlü kimlik doğrulaması yalnızca giriş bilgilerinizi ve şifrenizi değil, Gmail hesabınıza kayıtlı olan cep telefonuna erişmenizi gerektirir, böylece yeni bir bilgisayardan giriş yaparken giriş yapmak için kısa mesaj kodunu kabul edebilirsiniz..

    İki faktörlü kimlik doğrulaması etkinken, giriş bilgilerinize ve şifrenize erişmiş birinin (Heartbleed Bug'da olduğu gibi) hesabınıza gerçekten erişmesini zorlaştırır.


    Özellikle bu kadar geniş kapsamlı sonuçları olan güvenlik açıkları hiç eğlenceli değil, ancak bize şifre uygulamalarımızı sıkılaştırma ve benzersiz ve güçlü parolaların gerçekleştiğinde zarar vermesini sağlama fırsatı veriyorlar..