Video: Heartbleed Exploit - Discovery & Exploitation (Tháng mười một 2024)
Tuần này chúng tôi đã biết rằng một thư viện tiền điện tử phổ biến đã hoàn toàn dễ bị tấn công trong hai năm. Lỗi này, được đặt tên là "Heartbleed" bởi những người phát hiện ra nó, cho phép các cybercrook phá hoại dịch vụ nhịp tim giữ kết nối an toàn mở giữa hai máy tính. Khi họ vào, họ có thể đánh cắp các khóa bảo mật, thông tin đăng nhập và tất cả dữ liệu được mã hóa. Tệ hơn, một cuộc tấn công như vậy không để lại dấu vết.
Cá nhân bạn không thể làm gì để khắc phục vấn đề. Chủ sở hữu các máy chủ chạy phần mềm dễ bị tổn thương cần phải hành động. Cụ thể, họ phải cập nhật lên phiên bản mới nhất không dễ bị tổn thương, thu hồi tất cả các khóa bảo mật của trang web và sau đó cấp lại các khóa. Tuy nhiên, bạn có thể làm gì đó về mật khẩu bị lộ của mình; thay đổi tất cả
Ai dễ bị tổn thương?
Đúng là không phải tất cả các trang web bảo mật của bạn đều dễ bị tấn công, mặc dù các chuyên gia ước tính rằng có đến 2/3 trong số tất cả các máy chủ có thể có lỗi. Bạn có thể kiểm tra bất kỳ tên miền cụ thể bằng cách sử dụng thử nghiệm này. Bài kiểm tra do LastPass cung cấp thậm chí còn cung cấp nhiều thông tin hơn. Ví dụ: một trang web sử dụng OpenSSL và tạo lại chứng chỉ bảo mật của nó trong hai ngày qua có thể đã bị tổn thương trước đó.
Bạn sẽ muốn đi qua và kiểm tra tất cả các trang web an toàn bạn sử dụng. Ghi lại bất kỳ điều gì hiện đang dễ bị tổn thương; bạn sẽ phải xem lại những cái đó Trên thực tế, suy nghĩ cẩn thận về những người dễ bị tổn thương. Bạn có thực sự cần và sử dụng chúng? Nếu không, hãy xem xét xóa hồ sơ của bạn và tất cả các thông tin khác và đóng tài khoản.
Thay đổi tất cả!
Không quan trọng mật khẩu hiện tại của bạn là "mật khẩu" hay "C5H8 & bY! 6BDB6g66rRWJ." Cho dù nó mạnh đến đâu, những kẻ xấu cũng có thể rút nó ra khỏi bộ nhớ của máy chủ lỗi. Dù là mật khẩu nào, họ cũng đã có nó, cùng với tên người dùng của bạn và bất kỳ dữ liệu an toàn nào bạn đã truyền. Ngoài ra, bất kỳ trang web nào khác mà bạn sử dụng cùng một mật khẩu cũng được hiển thị.
Các trang web bảo mật của bạn thuộc ba loại, những loại vẫn dễ bị tổn thương, những loại dễ bị tổn thương trong quá khứ và những loại không bao giờ dễ bị tổn thương. Hoàn toàn cần thiết để thay đổi mật khẩu của bạn trên những người dễ bị tổn thương trong quá khứ. Không thể thay đổi những người mà dường như họ không bao giờ dễ bị tổn thương, đặc biệt là vì bạn không thể chắc chắn. Đối với những thứ vẫn dễ bị tổn thương, bạn sẽ phải thay đổi chúng một lần nữa, nhưng bằng cách quét sạch ngay bây giờ và đảm bảo bạn không có mật khẩu trùng lặp, bạn sẽ giúp việc cập nhật mật khẩu lần thứ hai dễ dàng hơn.
Làm thế nào để làm nó
Lên mạng mà không có người quản lý mật khẩu là việc kinh doanh rủi ro. Nếu bạn chưa sử dụng một cái, bây giờ là thời gian để bắt đầu. Lựa chọn của biên tập viên LastPass là miễn phí. Dashlane, cũng là một EC, có giá chỉ 19, 99 đô la mỗi năm.
Cả LastPass và Dashlane đều cung cấp báo cáo phân tích mật khẩu xác định mật khẩu yếu và trùng lặp. Từ báo cáo, bạn có thể nhấp vào một liên kết để truy cập một trang web và thay đổi mật khẩu; người quản lý mật khẩu sẽ nhận thay đổi. Đừng bận tâm đến việc nghĩ ra mật khẩu. Hãy để người quản lý mật khẩu tạo ra thứ gì đó không ai có thể đoán được.
Jill Duffy của chúng tôi báo cáo rằng cô ấy đã dọn sạch tình huống mật khẩu của mình trong năm tuần, được Dashlane giúp đỡ. Tin tức Heartbleed đòi hỏi một chút khẩn cấp hơn. Tôi khuyên bạn nên thay thế tất cả mật khẩu của mình bằng mật khẩu mới, duy nhất càng sớm càng tốt.
Nó chưa kết thúc
Thay đổi mật khẩu trên các trang web vẫn dễ bị lỗi Heartbleed ít nhất đảm bảo rằng bạn không để lộ các trang web khác sử dụng cùng một mật khẩu. Tuy nhiên, mật khẩu hoàn toàn mới có nguy cơ. Nếu có thể, hãy tránh xa các trang web này cho đến khi chúng được sửa chữa. Và khi họ làm, thay đổi mật khẩu một lần nữa. Ít nhất bạn sẽ có sự giúp đỡ của người quản lý mật khẩu đáng tin cậy để thực hiện công việc.