לא מסווג

מה שאתה צריך לדעת על Heartbleed ושינוי הסיסמאות שלך

מה שאתה צריך לדעת על Heartbleed ושינוי הסיסמאות שלך


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[מקור תמונה:לבבות]

אז אולי שמעתם על Heartbleed לאחרונה וכל החברים שלכם אולי אומרים לכם לשנות את כל הסיסמאות. עם זאת, לפני שתשנה את הסיסמאות שלך, עליך לדעת שהאתר המדובר לקח את כל את הצעדים הדרושים כדי להגן על עצמו מפני Heartbleed, אחרת הסיסמה החדשה שלך תישאר פגיעה באותה מידה. כמה רשימות שמסתובבות ומספרות לך שאתרים מוכנים לשינוי סיסמה, אולם לא בדקו את כל שלבי האבטחה הדרושים. המשך לקרוא כדי ללמוד עוד:

נ.ב. אנו הולכים (לנסות) להסביר בדיוק מהי הפרת האבטחה של Heartbleed באופן ש כולם יכולים להבין וגם יידע את הנקודות החשובות היכן ומתי עליך לשנות את הסיסמה שלך.

מהו באג Heartbleed?

קומיקס האינטרנט xkcd שרטט סרט מצויר קטן שמסביר את Heartbleed בצורה הפשוטה ביותר שראינו:

ראשית, עליכם לדעת כי אבטחת האינטרנט ניתנת על ידי תוכנה המכונה OpenSSL (שכבת שקעים מאובטחת), שמצפנת (מקשקש) את הנתונים הנשלחים למחשב של המשתמש ומשרת האתר (שם האתר מאוחסן / מאוחסן). חשוב מכך, חשוב על דברים כמו שמות משתמש, סיסמאות ואפילו פרטי כרטיס אשראי וכתובת שתשלח לטפסים מקוונים, שיעברו מהמחשב שלך לשרת האתרים.

Heartbleed מנצל משהו המכונה "דופק לב" בין המחשב של המשתמש לשרת האתרים - בעצם, כשאתה ניגש לאתר האתר יגיב להודיע ​​למחשב שלך שהוא פעיל ומחכה לבקשות שלך בלב. פעימות הלב אמורות להיות תגובה השווה לכמות הנתונים שהמחשב שלך שלח בעת הגשת הבקשה. עם זאת, באג בתוכנה מאפשר להאקרים לבקש נתונים נוספים מזיכרון השרתים מעבר לנתונים הכוללים של הבקשה הראשונית עד 65 536 בתים. מידע נוסף זה המתקבל בבקשה עשוי להכיל כל דבר, החל מסיסמאות ועד פרטי כרטיס אשראי שאנשים אחרים שלחו (ראה את הסרט המצויר למעלה).

נאמר כי הבאג של Heartbleed הוא טעות כנה שעשה המתכנת רובין סגגלמן, שהוסיף לתוכנת הקוד הפתוח, OpenSSL, בערב השנה האזרחית החדשה. המשמעות היא שחור האבטחה קיים כבר יותר משנתיים והכי גרוע. החלק הוא שאין דרך לדעת אם האקר הגיש בקשה למידע נוסף מדופק הלב. במילים אחרות, אין דרך לדעת אם מישהו גנב אי פעם סיסמאות או מידע רגיש אחר מאתר.

מתי עלי לשנות את הסיסמה שלי?

אתרים רבים מציעים רשימות המציעות עצות באילו אתרים עליך לשנות והאם עליך לשנות את הסיסמה שלך עדיין. עם זאת, מומחי אבטחה רבים (כמו ברוס שנייר, טרוי האנט ואנשי AgileBits), אומרים כי עליכם לבדוק שלושה דברים:

  1. האתר (או החומרה / האפליקציה כ- Heartbleed משפיע על יותר מאתרים) השתמש בגרסת OpenSSL שהייתה פגיעה למעשה ל- Heartbleed (גרסאות 1.0.1 במרץ 2012 עד 1.0.1f). הגרסה המכילה את התיקון היא 1.0.1 גרם אשר פורסמה ב- 7 באפריל 2014.
  2. האתר תוקן את הבאג של OpenSSL.
  3. האתר חידש את מפתחות האבטחה ואז הוציא אישור אבטחה (SSL) חדש.

אם כל זה ג'מבו מומבתי מדי עבורכם, דווח כי בודק HeartPed של LastPass הוא כיום שיטת הבדיקה האמינה ביותר אם אינכם יכולים לבדוק את עצמכם באופן ידני. לעיון מעמיק יותר בכדי לוודא שאתר מוכן להחלפת סיסמא, עבור אל ITWorld.

כמה רשימות באינטרנט של אתרים שאתה צריך לשנות את הסיסמה שלהם בדקו רק שהאתרים תיקנו את הבאג של OpenSSL למשל ולא בדקו אם הונפקו אישורי אבטחה חדשים (SSL). מכיוון שאי אפשר לדעת אם שרת היה קורבן להתקף Heartbleed, לא ברור אם האקר הוריד מפתחות אבטחה, שעדיין ישאירו את האתר פגיע אם שלושת השלבים לעיל לא הושלמו.

פשוט פיצח את האתגר של @CloudFlare: https://t.co/8ZPSxyKF4D. מעניין מתי הם יעדכנו את הדף.

- פדור אינדוטני (@indutny) 11 ניסן 2014

לאחרונה, רשת הפצת התוכן Cloudflare בחנה את חומרת הבאג בכך שגרמה לחוקריה לנסות להשתמש ב- Heartbleed להשגת מפתחות אבטחה SSL וכשל. עם זאת, כאשר הם הציבו את האתגר לציבור, האקר מצוות Node.js המכונה פדור הצליח לאחזר בהצלחה את מפתחות ה- SSL הפרטיים.

אנו מקווים שזה יעזור לך להבין את Heartbleed ושתעשה את שינויי הסיסמה הנדרשים ומתוזמנים כדי להבטיח את ביטחונך באופן מקוון. כנקודה אחרונה, ברצוננו להזכיר לך לֹא להשתמש באותה סיסמה לכל האתרים מכיוון שזו עלולה להיות הרת אסון. אם אינך יכול לעקוב אחר כל כך הרבה סיסמאות שונות, אנו ממליצים להשתמש בתוכנית כמו LastPass.

כמו כן, עיין בקמפיין Logme Once Kickstarter המציע מנהל סיסמאות, אבטחה דיגיטלית, כמו גם התקן אחסון USB מאובטח ומטען סוללות נייד בחבילה אחת:

LogmeOnce ממלא צורך יומיומי. מי לא דואג בימינו להיפרץ, לשכוח את הסיסמאות או סתם להיות פגיע מכיוון שיש לו סיסמאות חלשות? LogmeOnce מציעה אלטרנטיבה מאובטחת ונוחה לשימוש לדאגות אלו וסיסמאות שנכתבו בחופזה על שאריות נייר


צפו בסרטון: Week 4 (יוני 2022).