heartbleed解釋:為什麼你現在需要更改密碼
上一次我們提醒你一個重大的安全漏洞是當Adobe的密碼資料庫被破壞,使數以百萬計的使用者(尤其是那些密碼脆弱和頻繁重複使用的使用者)處於危險之中。今天我們要警告你一個更大的安全問題,Heartbleed Bug,它有可能危害網際網路上2/3的安全網站。你需要修改密碼,現在就開始吧。
Important note: How-To Geek is not affected by this bug.
什麼是心碎為什麼(heartbleed and why)?
在典型的安全漏洞中,單個公司的使用者記錄/密碼被暴露。發生這種事很可怕,但這是一件孤立的事情。X公司有一個安全漏洞,他們向他們的使用者發出警告,像我們這樣的人提醒大家,是時候開始實行良好的安全衛生和更新他們的密碼。不幸的是,這些典型的違規行為已經夠糟糕的了。心血蟲是更糟糕的東西。
Heartbleed Bug破壞了加密機制,這種加密機制在我們傳送電子郵件、存入銀行或以其他方式與我們認為安全的網站互動時保護我們。以下是Codenomicon(發現並提醒公眾該漏洞的安全組)對該漏洞的簡單英文描述:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditi***, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applicati*** such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versi*** of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communicati***, steal data directly from the services and users and to impersonate services and users.
聽起來很糟糕,是嗎?當您意識到大約三分之二使用SSL的網站都在使用這個易受攻擊的OpenSSL版本時,情況就更糟了。我們談論的不是像熱棒論壇或收藏卡遊戲交換網站這樣的小型網站,而是銀行、信用卡公司、主要電子零售商和電子郵件提供商。更糟糕的是,這種脆弱性已經存在了大約兩年。也就是說,兩年前,一個擁有適當知識和技能的人可能會利用你使用的服務的登入憑據和私人通訊(而且,根據Codenomicon進行的測試,這樣做沒有任何痕跡)。
為了更好地說明Heartbleed bug的工作原理。請閱讀xkcd漫畫。
儘管還沒有任何組織站出來炫耀他們利用漏洞竊取的所有憑據和資訊,但在遊戲的這一點上,您必須假設您經常訪問的網站的登入憑據已被洩露。
心碎後怎麼辦
任何多數安全漏洞(這當然是大規模的)都需要您評估您的密碼管理實踐。考慮到Heartbleed Bug的廣泛影響,這是一個很好的機會來回顧一個已經順利執行的密碼管理系統,或者,如果你一直拖拖拉拉的話,建立一個。
在開始立即更改密碼之前,請注意,只有當公司升級到新版本的OpenSSL時,才會修補該漏洞。這個故事在週一被曝光,如果你在每個網站上都匆忙更改密碼,大多數網站仍然會執行易受攻擊的OpenSSL版本。
相關:如何執行Last-Pass安全審計(以及為什麼它不能等待)
現在,在本週中,大多數網站已經開始更新,到了週末,我們可以合理地假設大多數知名網站都將切換。
您可以在此處使用Heartbleed Bug檢查器檢視漏洞是否仍處於開啟狀態,或者即使站點沒有響應上述檢查器的請求,您可以使用LastPass的SSL日期檢查器檢視相關伺服器是否最近更新了其SSL證書(如果他們在2014年4月7日之後更新了該證書,則表明他們已修補該漏洞。)注意:如果您執行tl80.cn網站透過錯誤檢查器,它將返回一個錯誤,因為我們在第一次使用SSL加密我們還驗證了我們的伺服器沒有執行任何受影響的軟體。
這就是說,看起來這個週末是一個很好的週末,認真更新你的密碼。首先,你需要一個密碼管理系統。請參閱我們的LastPass入門指南,設定最安全、最靈活的密碼管理選項之一。你不必使用LastPass,但你確實需要某種系統,它允許你跟蹤和管理你訪問的每一個網站的唯一和強大的密碼。
第二,你需要開始修改你的密碼。我們指南中的危機管理大綱,即電子郵件密碼洩露後如何恢復,是確保您不會錯過任何密碼的好方法;它還強調了良好密碼衛生的基本知識,引用如下:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinati*** like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
第三,只要有可能,就要啟用雙因素身份驗證。您可以在這裡閱讀有關雙因素身份驗證的更多資訊,但簡而言之,它允許您為登入新增額外的標識層。
相關:什麼是雙因素認證,為什麼我需要它?
以Gmail為例,雙因素身份驗證要求你不僅要有登入名和密碼,還要有註冊到Gmail賬戶的**訪問許可權,這樣你就可以接受從新電腦登入時輸入的簡訊程式碼。
由於啟用了雙因素身份驗證,因此很難讓訪問您的登入名和密碼的人(就像使用Heartbleed Bug一樣)真正訪問您的帳戶。
安全漏洞,尤其是那些具有如此深遠影響的漏洞,從來都不是一件有趣的事情,但它們確實為我們提供了一個機會,讓我們加強密碼實踐,並確保獨特而強大的密碼在發生損害時,能夠將其控制住。
- 發表於 2021-04-09 04:37
- 閱讀 ( 36 )
- 分類:網際網路
你可能感興趣的文章
如何建立一個強大的密碼,你不會忘記
...向您展示瞭如何建立一個安全且易於記憶的密碼。我們還解釋了為什麼密碼管理器可以幫助您提高帳戶的安全性。現在該由你把這些知識付諸行動了。如何生成強密碼?你用過線上密碼生成器嗎?你有沒有因為密碼太弱而被駭客...
如何更改mac的mac地址(以及原因)
... 有很多原因可以解釋為什麼你想改變你的MAC地址。 ...
cloudflare正在洩漏資料,請更改您的密碼
...能陷入這場混亂,這被非正式地稱為“Cloudbleed”以紀念Heartbleed。可能受到影響的網站包括Patreon、OKCupid、Uber、Yelp、4chan和Fitbit。如果您積極使用此列表中的任何網站,建議您立即更改密碼。 ...
如何找出你的facebook帳戶是否被駭客入侵
...,因此位置可能不完全準確。但是要留意任何你的VPN無法解釋的奇怪位置或裝置。 ...
4種將密碼匯入chrome的簡單方法
... 有幾個原因可以解釋為什麼你想把密碼匯入Chrome。也許你從另一個瀏覽器切換到Chrome,你想帶上所有儲存的密碼。 ...
如何啟用雙因素身份驗證和保護您的環帳戶
...設定。點選“關閉”開始設定過程。 Ring應用程式現在將解釋什麼是雙因素身份驗證以及它將如何影響您的帳戶。單擊“繼續”按鈕繼續。 你現在需要驗證你自己。輸入您的電子郵件地址和密碼,然後選擇“繼續”按鈕。 現...
為什麼不應該使用web瀏覽器的密碼管理器
...warden。但是現代的網路瀏覽器有內建的密碼管理器,那麼為什麼要安裝一個不同的呢?有很多很好的理由可以避免使用web瀏覽器的內建工具。 為什麼需要密碼管理器 使用密碼管理器是至關重要的。你的線上賬戶面臨的最大風...
為什麼公司仍然用純文字儲存密碼?
...r被刪除後的一次交易中,一位T-Mobile的代表向一位使用者解釋說,該公司以明文形式儲存密碼。透過這種方式儲存密碼,****代表可以看到密碼的前四個字母以進行確認。當其他Twitter使用者恰當地指出如果有人入侵公司伺服器會...
如何加快playstation 4的下載速度
...路的閘道器,最常見的是在公司網路上。一位Reddit使用者解釋瞭如何幫助提高****: Comment from discussion tibiazak’s comment from discussion "PS4 downloads are notoriously slow. I might have an idea why.". 透過在本地網路上安裝一臺計算機來完成一些繁...
如何刪除windows密碼
...Windows讓你不用太麻煩就可以去掉密碼。下面是方法。 為什麼你不該這麼做 在考慮使用本文介紹的技術之前,您應該注意以下幾點。 您必須使用本地帳戶才能使用密碼刪除技巧。如果您使用的是Microsoft帳戶,則無法刪除密碼...
