Heartbleed Explained Waarom u uw wachtwoorden nu moet wijzigen
De laatste keer dat we u op de hoogte brachten van een ernstige inbreuk op de beveiliging, was het feit dat de wachtwoorddatabase van Adobe in gevaar was gebracht, waardoor miljoenen gebruikers (vooral degenen met zwakke en vaak gebruikte wachtwoorden) risico liepen. Vandaag waarschuwen we u voor een veel groter veiligheidsprobleem, de Heartbleed Bug, die mogelijk een duizelingwekkende 2 / 3rds van de beveiligde websites op het internet heeft aangetast. U moet uw wachtwoorden wijzigen en u moet het nu doen.
Belangrijke opmerking: How-To Geek wordt niet beïnvloed door deze bug.
Wat is Heartbleed en waarom is het zo gevaarlijk??
In uw gebruikelijke beveiligingsinbreuk worden de gebruikersrecords / wachtwoorden van een enkel bedrijf weergegeven. Dat is vreselijk als het gebeurt, maar het is een geïsoleerde aangelegenheid. Bedrijf X heeft een beveiligingsinbreuk, ze geven een waarschuwing aan hun gebruikers en de mensen zoals wij herinneren iedereen eraan dat het tijd is om te beginnen met het oefenen van goede veiligheidshygiëne en het updaten van hun wachtwoorden. Die, helaas, typische overtredingen zijn al erg genoeg. De Heartbleed Bug is iets veel, veel, erger.
De Heartbleed-bug ondermijnt het coderingsschema dat ons beschermt terwijl we e-mailen, bankieren en op andere manieren communiceren met websites die volgens ons veilig zijn. Hier is een duidelijke Engelse beschrijving van de kwetsbaarheid van Codenomicon, de beveiligingsgroep die het publiek heeft ontdekt en gewaarschuwd voor de bug:
De Heartbleed-bug is een ernstige kwetsbaarheid in de populaire cryptografische softwarebibliotheek OpenSSL. Door deze zwakte kan de informatie worden gestolen die onder normale omstandigheden wordt beschermd door de SSL / TLS-codering die wordt gebruikt om internet te beveiligen. SSL / TLS biedt communicatiebeveiliging en privacy via internet voor toepassingen zoals web, e-mail, instant messaging (IM) en sommige virtuele privénetwerken (VPN's).
Met de Heartbleed-bug kan iedereen op internet het geheugen van de systemen lezen die worden beschermd door de kwetsbare versies van de OpenSSL-software. Dit compromitteert de geheime sleutels die worden gebruikt om de serviceproviders te identificeren en om het verkeer, de namen en wachtwoorden van de gebruikers en de feitelijke inhoud te versleutelen. Hiermee kunnen aanvallers mededelingen afluisteren, gegevens direct van de services en gebruikers stelen en services en gebruikers nabootsen.
Dat klinkt behoorlijk slecht, ja? Het klinkt nog erger wanneer je je realiseert dat ongeveer twee derde van alle websites die SSL gebruiken deze kwetsbare versie van OpenSSL gebruiken. We hebben het niet over kleine websites zoals hot rod-forums of swap-sites voor verzamelaars, we hebben het over banken, creditcardbedrijven, grote e-retailers en e-mailproviders. Erger nog, deze kwetsbaarheid is al ongeveer twee jaar in het wild. Dat is twee jaar iemand met de juiste kennis en vaardigheden die de aanmeldingsreferenties en privécommunicatie van een service die je gebruikt had kunnen gebruiken (en, volgens de tests uitgevoerd door Codenomicon, het zonder een spoor doen).
Voor een nog betere illustratie van hoe de Heartbleed-bug werkt. lees deze xkcd-strip.
Hoewel er geen groep naar voren is gekomen om alle referenties en informatie te tonen die ze met de exploit hebben overgeheveld, moet je op dit moment in het spel ervan uitgaan dat de inloggegevens voor de websites die je vaak bezoekt in gevaar zijn gebracht.
Wat te doen Post Heartbleed Bug
Elke meerderheidsbeveiligingsinbreuk (en deze komt zeker op grote schaal in aanmerking) vereist dat u uw procedures voor wachtwoordbeheer beoordeelt. Gezien het brede bereik van de Heartbleed Bug is dit een perfecte gelegenheid om een reeds soepel lopend wachtwoordbeheersysteem te herzien of, als je je voeten hebt gesleept, om er een op te zetten.
Voordat u begint aan het onmiddellijk wijzigen van uw wachtwoorden, moet u er rekening mee houden dat het beveiligingslek pas wordt hersteld als het bedrijf een upgrade naar de nieuwe versie van OpenSSL heeft uitgevoerd. Het verhaal brak maandag en als je snel naar buiten zou gaan om onmiddellijk je wachtwoorden op elke site te wijzigen, zouden de meesten van hen nog steeds de kwetsbare versie van OpenSSL draaien..
Nu, halverwege de week, zijn de meeste sites begonnen met het updaten en in het weekend is het redelijk om te veronderstellen dat de meerderheid van de high-profile websites zal zijn overgestapt.
U kunt hier de Heartbleed Bug-controle gebruiken om te zien of het lek nog steeds open is of, zelfs als de site niet reageert op verzoeken van de eerder genoemde checker, u de SSL-datumcontrole van LastPass kunt gebruiken om te zien of de betreffende server hun SSL-certificaat recentelijk (als ze het na 4/7/2014 hebben bijgewerkt, is dit een goede indicator dat ze het beveiligingslek hebben hersteld.) Notitie: als je howtogeek.com uitvoert via de bug checker zal het een foutmelding geven omdat we in de eerste plaats geen SSL-codering gebruiken, en we hebben ook geverifieerd dat onze servers geen getroffen software gebruiken.
Dat gezegd hebbende, lijkt het erop dat dit weekend een goed weekend wordt om serieus te worden over het updaten van je wachtwoorden. Ten eerste hebt u een wachtwoordbeheersysteem nodig. Bekijk onze handleiding om aan de slag te gaan met LastPass om een van de meest veilige en flexibele opties voor wachtwoordbeheer in te stellen. U hoeft LastPass niet te gebruiken, maar u hebt wel een systeem nodig dat u in staat stelt een uniek en sterk wachtwoord bij te houden en te beheren voor elke website die u bezoekt.
Ten tweede moet u beginnen met het wijzigen van uw wachtwoorden. Het overzicht van de crisisbeheersing in onze gids, Hoe te herstellen nadat uw e-mailwachtwoord mislukt is, is een goede manier om ervoor te zorgen dat u geen wachtwoorden mist; het benadrukt ook de basis van goede wachtwoordhygiëne, die hier wordt aangehaald:
- Wachtwoorden moeten altijd langer zijn dan het minimum dat de service toestaat. Als de service in kwestie 6-20 tekens lang wacht, ga dan voor het langste wachtwoord dat u kunt onthouden.
- Gebruik geen woordenboekwoorden als onderdeel van uw wachtwoord. Uw wachtwoord zou moeten nooit zo eenvoudig zijn dat een vluchtige scan met een woordenboekbestand het zou onthullen. Nooit uw naam, een deel van de login of e-mail of andere gemakkelijk identificeerbare items zoals uw bedrijfsnaam of straatnaam opnemen. Vermijd ook het gebruik van veelgebruikte toetsenbordcombinaties zoals "qwerty" of "asdf" als onderdeel van uw wachtwoord.
- Gebruik wachtzinnen in plaats van wachtwoorden. Als u geen wachtwoordbeheerder gebruikt om echt willekeurige wachtwoorden te onthouden (ja, we realiseren ons dat we echt hameren op het idee om een wachtwoordbeheerder te gebruiken), dan kunt u sterkere wachtwoorden onthouden door ze in wachtzinnen te veranderen. Voor uw Amazon-account kunt u bijvoorbeeld de eenvoudig te onthouden wachtzin "Ik ben dol op boeken lezen" maken en die vervolgens in een wachtwoord als "! Luv2ReadBkz" crunchen. Het is gemakkelijk te onthouden en het is vrij sterk.
Ten derde, wanneer mogelijk wilt u two-factor authenticatie inschakelen. U kunt hier meer lezen over two-factor authenticatie, maar kort samengevat kunt u een extra identificatielaag toevoegen aan uw login.
Met Gmail moet je voor authenticatie met twee factoren niet alleen je inlognaam en wachtwoord hebben, maar ook toegang tot de mobiele telefoon die is geregistreerd bij je Gmail-account, zodat je een sms-code kunt accepteren om in te voeren wanneer je inlogt vanaf een nieuwe computer.
Met tweefactorauthenticatie ingeschakeld maakt dit het erg moeilijk voor iemand die toegang heeft gekregen tot uw login en wachtwoord (zoals ze konden met de Heartbleed-bug) om daadwerkelijk toegang tot uw account te krijgen.
Beveiligingskwetsbaarheden, vooral die met zulke verreikende implicaties, zijn nooit leuk, maar ze bieden ons wel een kans om onze wachtwoordpraktijken aan te scherpen en ervoor te zorgen dat unieke en sterke wachtwoorden de schade, wanneer deze zich voordoet,.