Spiegazione di Heartbleed Perché è necessario modificare le password adesso
L'ultima volta che ti abbiamo avvisato di una grave violazione della sicurezza è stato quando il database delle password di Adobe è stato compromesso, mettendo a rischio milioni di utenti (soprattutto quelli con password deboli e spesso riutilizzate). Oggi vi stiamo avvertendo di un problema di sicurezza molto più grande, l'Heartbleed Bug, che ha potenzialmente compromesso gli incredibili 2/3 dei siti Web sicuri su Internet. Devi cambiare le tue password e devi iniziare a farlo ora.
Nota importante: How-To Geek non è influenzato da questo bug.
Che cosa è Heartbleed e perché è così pericoloso?
Nella tipica violazione della sicurezza, vengono esposti i record / password utente di una singola azienda. È terribile quando succede, ma è un affare isolato. La società X ha una violazione della sicurezza, invia un avvertimento ai propri utenti e le persone come noi ricordano a tutti che è tempo di iniziare a praticare una buona igiene della sicurezza e aggiornare le proprie password. Quelle, sfortunatamente, le violazioni tipiche sono già abbastanza gravi. L'insetto Heartbleed è qualcosa di molto, tanto, peggio.
Il bug Heartbleed mina lo schema di crittografia che ci protegge mentre inviamo email, banca e in altro modo interagiamo con siti Web che riteniamo sicuri. Ecco una semplice descrizione in inglese della vulnerabilità di Codenomicon, il gruppo di sicurezza che ha scoperto e avvisato il pubblico del bug:
Il bug Heartbleed è una seria vulnerabilità nella popolare libreria software crittografica OpenSSL. Questa debolezza consente il furto delle informazioni protette, in condizioni normali, dalla crittografia SSL / TLS utilizzata per proteggere Internet. SSL / TLS offre sicurezza delle comunicazioni e privacy su Internet per applicazioni quali web, e-mail, messaggistica istantanea (IM) e alcune reti private virtuali (VPN).
Il bug Heartbleed consente a chiunque su Internet di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL. Ciò compromette le chiavi segrete utilizzate per identificare i provider di servizi e per crittografare il traffico, i nomi e le password degli utenti e il contenuto effettivo. Ciò consente agli aggressori di intercettare comunicazioni, rubare dati direttamente dai servizi e dagli utenti e impersonare servizi e utenti.
Sembra abbastanza brutto, sì? Sembra ancora peggio quando ti rendi conto che circa i due terzi di tutti i siti Web che utilizzano SSL utilizzano questa versione vulnerabile di OpenSSL. Non stiamo parlando di siti di piccole dimensioni come i forum di hot rod o siti di scambio di carte collezionabili, stiamo parlando di banche, società di carte di credito, importanti rivenditori di e-mail e provider di posta elettronica. Peggio ancora, questa vulnerabilità è stata in circolazione per circa due anni. Sono due anni che qualcuno con le conoscenze e le competenze appropriate potrebbe aver attinto alle credenziali di accesso e alle comunicazioni private di un servizio che usi (e, secondo i test condotti da Codenomicon, farlo senza lasciare traccia).
Per un'illustrazione ancora migliore di come funziona l'insetto Heartbleed. leggi questo fumetto di xkcd.
Sebbene nessun gruppo si sia fatto avanti per ostentare tutte le credenziali e le informazioni che hanno sottratto all'exploit, a questo punto del gioco si deve presupporre che le credenziali di accesso ai siti Web che frequenti sono state compromesse.
Cosa fare Post Bug Heartbleed
Qualsiasi violazione della sicurezza di maggioranza (e questo certamente si qualifica su larga scala) richiede di valutare le pratiche di gestione delle password. Data l'ampia portata del Bug Heartbleed, questa è un'opportunità perfetta per rivedere un sistema di gestione password già fluido o, se stai trascinando i tuoi piedi, per crearne uno.
Prima di immergerti immediatamente nella modifica delle password, tieni presente che la vulnerabilità viene corretta solo se la società ha eseguito l'aggiornamento alla nuova versione di OpenSSL. La storia è finita lunedì, e se ti fossi precipitato a cambiare immediatamente le tue password su ogni sito, la maggior parte di loro avrebbe comunque eseguito la versione vulnerabile di OpenSSL.
Ora, a metà settimana, la maggior parte dei siti ha iniziato il processo di aggiornamento e entro il fine settimana è ragionevole presumere che la maggior parte dei siti Web di alto profilo si siano scambiati.
Puoi utilizzare il correttore di bug di Heartbleed qui per vedere se la vulnerabilità è ancora aperta o, anche se il sito non risponde alle richieste del checker di cui sopra, puoi usare il controllo della data SSL di LastPass per vedere se il server in questione ha aggiornato i loro Certificato SSL di recente (se lo hanno aggiornato dopo il 4/7/2014 è un buon indicatore di aver corretto la vulnerabilità). Nota: se si esegue howtogeek.com tramite il correttore di bug, verrà restituito un errore perché in primo luogo non usiamo la crittografia SSL e abbiamo anche verificato che i nostri server non eseguono alcun software interessato.
Detto questo, sembra che questo weekend si preannuncia come un buon fine settimana per fare sul serio l'aggiornamento delle password. Innanzitutto, è necessario un sistema di gestione delle password. Consulta la nostra guida su come iniziare con LastPass per configurare una delle opzioni di gestione delle password più sicure e flessibili disponibili. Non devi usare LastPass, ma hai bisogno di un sistema che ti permetta di tracciare e gestire una password unica e sicura per ogni sito web che visiti.
In secondo luogo, è necessario iniziare a cambiare le password. Lo schema di gestione delle crisi nella nostra guida, Come recuperare dopo che la tua password di posta elettronica è compromessa, è un ottimo modo per assicurarti di non perdere nessuna password; evidenzia anche le basi della buona igiene della password, citata qui:
- Le password dovrebbero sempre essere più lunghe del minimo consentito dal servizio. Se il servizio in questione consente di utilizzare password di 6-20 caratteri, è possibile utilizzare la password più lunga che si ricordi.
- Non usare parole del dizionario come parte della tua password. La tua password dovrebbe mai essere così semplice che una scansione superficiale con un file di dizionario lo rivelerebbe. Non includere mai il tuo nome, parte del login o della posta elettronica o altri elementi facilmente identificabili come il nome della tua azienda o il nome della via. Evita inoltre di utilizzare combinazioni di tasti comuni come "qwerty" o "asdf" come parte della tua password.
- Utilizza passphrase anziché password. Se non si utilizza un gestore di password per ricordare password veramente casuali (sì, ci rendiamo conto che stiamo davvero insistendo sull'idea di utilizzare un gestore di password), quindi è possibile ricordare password più forti trasformandole in passphrase. Ad esempio, per il tuo account Amazon potresti creare la frase di accesso "I love to read books", facile da ricordare e poi croccarla in una password come "! Luv2ReadBkz". È facile da ricordare ed è abbastanza forte.
In terzo luogo, quando possibile, si desidera abilitare l'autenticazione a due fattori. Puoi leggere ulteriori informazioni sull'autenticazione a due fattori qui, ma in breve ti consente di aggiungere un ulteriore livello di identificazione al tuo login.
Con Gmail, ad esempio, l'autenticazione a due fattori richiede che tu abbia non solo il tuo login e la password ma l'accesso al cellulare registrato al tuo account Gmail in modo da poter accettare un codice di testo da inserire quando accedi da un nuovo computer.
Con l'autenticazione a due fattori abilitata rende molto difficile per qualcuno che ha avuto accesso al tuo login e password (come potrebbero fare con il Bug Heartbleed) per accedere effettivamente al tuo account.
Le vulnerabilità della sicurezza, in particolare quelle con implicazioni di vasta portata, non sono mai divertenti ma offrono un'opportunità per noi di stringere le nostre pratiche relative alle password e garantire che password uniche e resistenti mantengano il danno, quando si verifica,.