Ongekategoriseer

Wat u moet weet oor Heartbleed en die verandering van u wagwoorde

Wat u moet weet oor Heartbleed en die verandering van u wagwoorde



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Beeldbron:Hartseer]

U het dus die afgelope tyd dalk van Heartbleed gehoor en al u vriende sê dalk dat u al u wagwoorde moet verander. Voordat u u wagwoorde verander, moet u egter weet dat die betrokke webwerf gebruik is almal die nodige stappe om homself teen Heartbleed te beskerm, anders bly u nuwe wagwoord net so kwesbaar. Sommige lyste wat ronddryf, sê dat webwerwe gereed is vir wagwoordveranderinge, maar het nie al die nodige sekuriteitsstappe nagegaan nie. Lees verder om meer uit te vind:

P.S. Ons gaan presies (probeer) verduidelik wat die Heartbleed-sekuriteitsbreuk is op 'n manier wat almal kan verstaan en vertel u ook die belangrike punte van waar en wanneer u u wagwoord moet verander.

Wat is die Heartbleed-gogga?

Web comic xkcd het 'n tekenprentjie geskets wat Heartbleed op die eenvoudigste manier verduidelik wat ons gesien het:

Eerstens moet u weet dat websekuriteit verskaf word deur sagteware bekend as OpenSSL (beveiligde sockets laag), wat die data wat na en van 'n gebruiker se rekenaar en die webwerfbediener (waar die webwerf aangebied word / gestoor word), versleutelt (skrap). So belangrik, dink aan dinge soos gebruikersname, wagwoorde en selfs kredietkaart- en adresbesonderhede wat u aan aanlynvorms sou stuur, wat van u rekenaar na die webwerfbediener sou beweeg.

Heartbleed maak gebruik van iets wat bekend staan ​​as die "hartklop" tussen die gebruiker se rekenaar en die webwerfbediener - as u 'n webwerf besoek, reageer die webwerf om u rekenaar te laat weet dat dit aktief is en met 'n hartslag op u versoek wag. Die hartklop is veronderstel om 'n reaksie te wees wat gelyk is aan die hoeveelheid data wat u rekenaar gestuur het tydens die versoek. 'N Fout in die sagteware laat hackers egter toe om tot 65 536 grepe meer data van die geheue van die bedieners aan te vra as die totale data van die aanvanklike versoek. Hierdie ekstra inligting wat in die versoek ontvang word, kan enigiets bevat, van wagwoorde tot kredietkaartbesonderhede wat ander mense gestuur het (sien die tekenprent hierbo).

Die Heartbleed-gogga is na bewering 'n eerlike fout wat die programmeerder Robin Seggelmann begaan het, wat op Oujaarsaand 2011 by die open source-sagteware, OpenSSL, gevoeg het. Dit beteken dat die veiligheidsgat al meer as 2 jaar bestaan ​​en die ergste is. deel is dat daar geen manier is om te weet of 'n hacker 'n versoek om ekstra inligting uit die hartklop gedoen het nie. Met ander woorde, daar is geen manier om te weet of iemand ooit wagwoorde of ander sensitiewe inligting van 'n webwerf gesteel het nie.

Wanneer moet ek my wagwoord verander?

Baie webwerwe bied lyste met advies oor watter webwerwe u moet verander en of u u wagwoord nog moet verander. Baie veiligheidskenners (soos Bruce Schneier, Troy Hunt en die mense by AgileBits) sê egter dat u drie dinge moet nagaan:

  1. Die webwerf (of hardeware / app soos Heartbleed beïnvloed meer as webwerwe) het 'n weergawe van OpenSSL gebruik wat eintlik kwesbaar was vir Heartbleed (weergawes 1.0.1 Maart 2012 tot en met 1.0.1f). Die weergawe wat die oplossing bevat, is 1.0.1g wat op 7 April 2014 vrygestel is.
  2. Die webwerf het die OpenSSL-fout opgelaai.
  3. Die webwerf het die sekuriteitsleutels hernu en daarna 'n nuwe beveiligingsertifikaat (SSL) uitgereik.

As dit vir u 'n bietjie te mumbo-jumbo is, word berig dat LastPass se Heartbleed-kontrole tans die betroubaarste metode is om te kontroleer as u uself nie handmatig kan kontroleer nie. Vir 'n meer diepgaande ondersoek om seker te maak dat 'n webwerf gereed is vir wagwoordveranderings, gaan na ITWorld.

Sommige lyste op die internet van webwerwe waarvoor u u wagwoord moet verander, het slegs gekontroleer dat die webwerwe byvoorbeeld die OpenSSL-fout geplak het en nie gekontroleer of daar nuwe beveiligings (SSL) sertifikate uitgereik is nie. Aangesien dit onmoontlik is om te sien of 'n bediener die slagoffer van 'n Heartbleed-aanval was, is dit onduidelik of 'n hacker dalk sekuriteitsleutels afgelaai het, wat die webwerf steeds kwesbaar sou laat as die drie bogenoemde stappe nie voltooi is nie.

Net gekraak @CloudFlare se uitdaging: https://t.co/8ZPSxyKF4D. Ek wonder wanneer hulle die bladsy sal opdateer.

- Fedor Indutny (@indutny) 11 Nisan 2014

Onlangs het die inhoudverspreidingsnetwerk Cloudflare na die erns van die fout gekyk deur navorsers te laat gebruik om Heartbleed te gebruik om SSL-beveiligingsleutels te bekom en te misluk. Toe hulle die uitdaging aan die publiek stel, kon 'n hacker van die Node.js-span, bekend as Fedor, egter die private SSL-sleutels suksesvol ophaal.

Ons hoop dat dit u help om Heartbleed te verstaan ​​en dat u die nodige en tydige wagwoordveranderings sal doen om u veiligheid aanlyn te verseker. As laaste punt wil ons u daaraan herinner nie om dieselfde wagwoord vir alle webwerwe te gebruik, aangesien dit rampspoedig kan wees. As u nie soveel wagwoorde kan byhou nie, beveel ons aan om 'n program soos LastPass te gebruik.

Kyk ook na die Logme Once Kickstarter-veldtog wat 'n wagwoordbestuurder, digitale sekuriteit, sowel as 'n veilige USB-stoorapparaat en mobiele batterylader in een pakket bied:

LogmeOnce voorsien in 'n alledaagse behoefte. Wie is deesdae nie bekommerd daaroor om gekap te word, hul wagwoorde te vergeet of bloot kwesbaar te wees omdat hulle swak wagwoorde het nie? LogmeOnce bied 'n veilige, maklik om te gebruik alternatief vir hierdie probleme en haastig geskrewe wagwoorde op stukkies papier


Kyk die video: HeartBleed Exploit Kali Linux (Augustus 2022).