heartbleed解释：为什么你现在需要更改密码

上一次我们提醒你一个重大的安全漏洞是当Adobe的密码数据库被破坏，使数以百万计的用户（尤其是那些密码脆弱和频繁重复使用的用户）处于危险之中。今天我们要警告你一个更大的安全问题，Heartbleed Bug，它有可能危害互联网上2/3的安全网站。你需要修改密码，现在就开始吧。...

上一次我们提醒你一个重大的安全漏洞是当Adobe的密码数据库被破坏，使数以百万计的用户（尤其是那些密码脆弱和频繁重复使用的用户）处于危险之中。今天我们要警告你一个更大的安全问题，Heartbleed Bug，它有可能危害互联网上2/3的安全网站。你需要修改密码，现在就开始吧。

Important note: How-To Geek is not affected by this bug.

什么是心碎为什么(heartbleed and why)？

在典型的安全漏洞中，单个公司的用户记录/密码被暴露。发生这种事很可怕，但这是一件孤立的事情。X公司有一个安全漏洞，他们向他们的用户发出警告，像我们这样的人提醒大家，是时候开始实行良好的安全卫生和更新他们的密码。不幸的是，这些典型的违规行为已经够糟糕的了。心血虫是更糟糕的东西。

Heartbleed Bug破坏了加密机制，这种加密机制在我们发送电子邮件、存入银行或以其他方式与我们认为安全的网站交互时保护我们。以下是Codenomicon（发现并提醒公众该漏洞的安全组）对该漏洞的简单英文描述：

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditi***, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applicati*** such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versi*** of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communicati***, steal data directly from the services and users and to impersonate services and users.

听起来很糟糕，是吗？当您意识到大约三分之二使用SSL的网站都在使用这个易受攻击的OpenSSL版本时，情况就更糟了。我们谈论的不是像热棒论坛或收藏卡游戏交换网站这样的小型网站，而是银行、信用卡公司、主要电子零售商和电子邮件提供商。更糟糕的是，这种脆弱性已经存在了大约两年。也就是说，两年前，一个拥有适当知识和技能的人可能会利用你使用的服务的登录凭据和私人通信（而且，根据Codenomicon进行的测试，这样做没有任何痕迹）。

为了更好地说明Heartbleed bug的工作原理。请阅读xkcd漫画。

heartbleed解释：为什么你现在需要更改密码

尽管还没有任何组织站出来炫耀他们利用漏洞窃取的所有凭据和信息，但在游戏的这一点上，您必须假设您经常访问的网站的登录凭据已被泄露。

心碎后怎么办

任何多数安全漏洞（这当然是大规模的）都需要您评估您的密码管理实践。考虑到Heartbleed Bug的广泛影响，这是一个很好的机会来回顾一个已经顺利运行的密码管理系统，或者，如果你一直拖拖拉拉的话，建立一个。

在开始立即更改密码之前，请注意，只有当公司升级到新版本的OpenSSL时，才会修补该漏洞。这个故事在周一被曝光，如果你在每个网站上都匆忙更改密码，大多数网站仍然会运行易受攻击的OpenSSL版本。

相关：如何运行Last-Pass安全审计（以及为什么它不能等待）

现在，在本周中，大多数网站已经开始更新，到了周末，我们可以合理地假设大多数知名网站都将切换。

您可以在此处使用Heartbleed Bug检查器查看漏洞是否仍处于打开状态，或者即使站点没有响应上述检查器的请求，您可以使用LastPass的SSL日期检查器查看相关服务器是否最近更新了其SSL证书（如果他们在2014年4月7日之后更新了该证书，则表明他们已修补该漏洞。）注意：如果您运行tl80.cn网站通过错误检查器，它将返回一个错误，因为我们在第一次使用SSL加密我们还验证了我们的服务器没有运行任何受影响的软件。

这就是说，看起来这个周末是一个很好的周末，认真更新你的密码。首先，你需要一个密码管理系统。请参阅我们的LastPass入门指南，设置最安全、最灵活的密码管理选项之一。你不必使用LastPass，但你确实需要某种系统，它允许你跟踪和管理你访问的每一个网站的唯一和强大的密码。

第二，你需要开始修改你的密码。我们指南中的危机管理大纲，即电子邮件密码泄露后如何恢复，是确保您不会错过任何密码的好方法；它还强调了良好密码卫生的基本知识，引用如下：

Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinati*** like “qwerty” or “asdf” as part of your password.
Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.

第三，只要有可能，就要启用双因素身份验证。您可以在这里阅读有关双因素身份验证的更多信息，但简而言之，它允许您为登录添加额外的标识层。

相关：什么是双因素认证，为什么我需要它？

以Gmail为例，双因素身份验证要求你不仅要有登录名和密码，还要有注册到Gmail账户的**访问权限，这样你就可以接受从新电脑登录时输入的短信代码。

由于启用了双因素身份验证，因此很难让访问您的登录名和密码的人（就像使用Heartbleed Bug一样）真正访问您的帐户。

安全漏洞，尤其是那些具有如此深远影响的漏洞，从来都不是一件有趣的事情，但它们确实为我们提供了一个机会，让我们加强密码实践，并确保独特而强大的密码在发生损害时，能够将其控制住。