[Bildquelle : Herzbluten ]
Sie haben vielleicht schon davon gehört Herzbluten In letzter Zeit und alle Ihre Freunde fordern Sie möglicherweise auf, alle Ihre Passwörter zu ändern. Bevor Sie jedoch Ihre Passwörter ändern, müssen Sie wissen, dass die betreffende Website übernommen wurde. alle die notwendigen Schritte, um sich vor Heartbleed zu schützen, andernfalls bleibt Ihr neues Passwort genauso anfällig. Einige Listen, die Ihnen mitteilen, dass Websites für Passwortänderungen bereit sind, haben jedoch nicht alle erforderlichen Sicherheitsschritte überprüft. Lesen Sie weiter, um weitere Informationen zu erhalten: :
PS Wir werden versuchen genau zu erklären, was die Heartbleed-Sicherheitsverletzung ist, so dass jeder kann verstehen und lassen Sie Sie auch wissen, wo und wann Sie Ihr Passwort ändern sollten.
Was ist der Heartbleed-Fehler?
Webcomic xkcd skizzierte einen kleinen Cartoon, der Heartbleed auf die einfachste Weise erklärt, die wir je gesehen haben :
Zunächst müssen Sie wissen, dass die Web-Sicherheit durch Software bereitgestellt wird, die als bekannt ist. OpenSSL Secure Sockets Layer, der die Daten verschlüsselt verschlüsselt, die an und von dem Computer eines Benutzers und dem Website-Server auf dem die Website gehostet / gespeichert wird gesendet werden. Benutzernamen, Passwörter und sogar Kreditkarten- und Adressdaten die Sie an Online-Formulare senden würden, die von Ihrem Computer zum Website-Server übertragen würden.
Heartbleed nutzt etwas, das als bekannt ist "Herzschlag" zwischen dem Computer des Benutzers und dem Website-Server - Wenn Sie auf eine Website zugreifen, antwortet die Website Ihrem Computer, dass sie aktiv ist, und wartet mit einem Herzschlag auf Ihre Anforderungen. Der Herzschlag soll eine Antwort sein, die dem entsprichtDatenmenge, die Ihr Computer bei der Anforderung gesendet hat. Aufgrund eines Fehlers in der Software können Hacker jedoch mehr Daten aus dem Speicher des Servers anfordern. über die Gesamtdaten der ersten Anforderung hinaus bis zu 65 536 Byte . Diese zusätzlichen Informationen, die in der Anfrage erhalten wurden, können alles enthalten, von Passwörtern bis zu Kreditkartendaten, die andere Personen gesendet haben siehe den obigen Cartoon.
Der Heartbleed-Fehler soll ein Fehler sein. ehrlicher Fehler des Programmierers Robin Seggelmann , der am Silvesterabend 2011 zur Open-Source-Software OpenSSL hinzugefügt hat. Dies bedeutet, dass die Sicherheitslücke seit mehr als zwei Jahren besteht und das Schlimmste daran ist, dass es keine Möglichkeit gibt, festzustellen, ob ein Hacker dies getan hatMit anderen Worten, es gibt keine Möglichkeit festzustellen, ob jemand jemals Passwörter oder andere vertrauliche Informationen von einer Website gestohlen hat.
Wann sollte ich mein Passwort ändern?
Viele Websites bieten Listen mit Ratschlägen an, welche Websites Sie ändern sollten und ob Sie Ihr Passwort noch ändern sollten. Viele Sicherheitsexperten z. Bruce Schneier , Troy Hunt und die Leute bei AgileBits , sag, dass du drei Dinge überprüfen musst :
- Die Site oder Hardware / App, da Heartbleed mehr als Websites betrifft verwendete eine OpenSSL-Version, die tatsächlich für Heartbleed anfällig war Versionen 1.0.1 März 2012 bis 1.0.1f. Die Version mit dem Fix ist 1.0.1g, das am 7. April 2014 veröffentlicht wurde.
- Die Site hat den OpenSSL-Fehler behoben.
- Die Site hat die Sicherheitsschlüssel erneuert und dann ein neues Sicherheitszertifikat SSL ausgestellt.
Wenn Ihnen das alles etwas zu mumbo jumbo ist, wird berichtet, dass LastPass's Heartbleed Checker ist derzeit die zuverlässigste Überprüfungsmethode, wenn Sie sich nicht manuell überprüfen können. Weitere Informationen dazu, wie Sie sicherstellen können, dass eine Site für Kennwortänderungen bereit ist, finden Sie unter ITWorld .
Einige Listen im Internet mit Websites, für die Sie Ihr Kennwort ändern müssen, haben nur überprüft, ob die Websites beispielsweise den OpenSSL-Fehler behoben haben, und nicht überprüft, ob neue Sicherheitszertifikate SSL ausgestellt wurden. Dies ist nicht möglichWenn ein Server Opfer eines Heartbleed-Angriffs geworden ist, ist unklar, ob ein Hacker möglicherweise Sicherheitsschlüssel heruntergeladen hat. Dadurch wäre die Website weiterhin anfällig, wenn die drei oben genannten Schritte nicht ausgeführt wurden.
Nur geknackt @CloudFlare Herausforderung : https://t.co/8ZPSxyKF4D . Ich frage mich, wann sie die Seite aktualisieren werden.
- Fedor Indutny @indutny 11. Nisan 2014
Vor kurzem untersuchte das Content-Distributionsnetzwerk Cloudflare die Schwere des Fehlers, indem es seine Forscher dazu brachte, Heartbleed zu verwenden, um SSL-Sicherheitsschlüssel zu erhalten, und scheiterte. Als sie jedoch die Herausforderung an die Öffentlichkeit stellten, war ein Hacker von Node.js.Team bekannt als Fedor konnte die privaten SSL-Schlüssel erfolgreich abrufen .
Wir hoffen, dass dies Ihrem Verständnis von Heartbleed hilft und dass Sie die erforderlichen und zeitgesteuerten Kennwortänderungen vornehmen, um Ihre Sicherheit online zu gewährleisten. Abschließend möchten wir Sie daran erinnern. nicht das gleiche Passwort für alle Websites zu verwenden, da dies katastrophal sein kann. Wenn Sie nicht so viele verschiedene Passwörter verfolgen können, empfehlen wir die Verwendung eines Programms wie LastPass .
Siehe auch Logme Once Kickstarter-Kampagne bietet einen Passwort-Manager, digitale Sicherheit sowie ein sicheres USB-Speichergerät und ein mobiles Ladegerät in einem Paket :
LogmeOnce erfüllt einen alltäglichen Bedarf. Wer macht sich heutzutage keine Sorgen darüber, gehackt zu werden, seine Passwörter zu vergessen oder einfach nur verwundbar zu sein, weil er schwache Passwörter hat? LogmeOnce bietet eine sichere, benutzerfreundliche Alternative zu diesen Bedenken und wurde hastig geschriebenPasswörter auf Papierfetzen