Dijelaskan Heartbleed Mengapa Anda Perlu Mengubah Kata Sandi Anda Sekarang
Terakhir kali kami memberi tahu Anda tentang pelanggaran keamanan besar adalah ketika basis data kata sandi Adobe dikompromikan, menempatkan jutaan pengguna (terutama mereka dengan kata sandi yang lemah dan sering digunakan kembali) dalam risiko. Hari ini kami memperingatkan Anda tentang masalah keamanan yang jauh lebih besar, Heartbleed Bug, yang berpotensi membahayakan 2 / 3rpm situs web aman di internet. Anda perlu mengubah kata sandi Anda, dan Anda harus mulai melakukannya sekarang.
Catatan penting: How-To Geek tidak terpengaruh oleh bug ini.
Apa yang Heartbleed dan Mengapa Begitu Berbahaya?
Dalam pelanggaran keamanan tipikal Anda, catatan pengguna / kata sandi perusahaan tunggal diekspos. Itu mengerikan ketika itu terjadi, tetapi itu adalah urusan yang terisolasi. Perusahaan X memiliki pelanggaran keamanan, mereka mengeluarkan peringatan kepada pengguna mereka, dan orang-orang seperti kami mengingatkan semua orang bahwa sudah waktunya untuk mulai mempraktikkan kebersihan keamanan yang baik dan memperbarui kata sandi mereka. Sayangnya, pelanggaran biasa cukup buruk. Bug Heartbleed adalah sesuatu yang banyak, banyak, lebih buruk.
Heartbleed Bug merusak skema enkripsi yang melindungi kami saat kami mengirim email, bank, dan berinteraksi dengan situs web yang kami yakini aman. Berikut ini adalah deskripsi sederhana bahasa Inggris dari kerentanan dari Codenomicon, grup keamanan yang menemukan dan mengingatkan publik tentang bug:
Heartbleed Bug adalah kerentanan serius dalam pustaka perangkat lunak kriptografi OpenSSL yang populer. Kelemahan ini memungkinkan mencuri informasi yang dilindungi, dalam kondisi normal, oleh enkripsi SSL / TLS yang digunakan untuk mengamankan Internet. SSL / TLS memberikan keamanan komunikasi dan privasi melalui Internet untuk aplikasi seperti web, email, pesan instan (IM) dan beberapa jaringan pribadi virtual (VPN).
Bug Heartbleed memungkinkan siapa pun di Internet membaca memori sistem yang dilindungi oleh versi perangkat lunak OpenSSL yang rentan. Ini mengkompromikan kunci rahasia yang digunakan untuk mengidentifikasi penyedia layanan dan mengenkripsi lalu lintas, nama dan kata sandi pengguna dan konten yang sebenarnya. Ini memungkinkan penyerang menguping komunikasi, mencuri data langsung dari layanan dan pengguna dan untuk meniru layanan dan pengguna.
Kedengarannya sangat buruk, ya? Kedengarannya lebih buruk ketika Anda menyadari sekitar dua pertiga dari semua situs web yang menggunakan SSL menggunakan versi OpenSSL yang rentan ini. Kami tidak membicarakan situs waktu kecil seperti forum hot rod atau situs pertukaran permainan kartu yang dapat ditagih, kami berbicara bank, perusahaan kartu kredit, pengecer e-mail besar, dan penyedia email. Lebih buruk lagi, kerentanan ini telah berada di alam liar selama sekitar dua tahun. Itu dua tahun seseorang dengan pengetahuan dan keterampilan yang sesuai bisa memanfaatkan kredensial login dan komunikasi pribadi dari layanan yang Anda gunakan (dan, menurut pengujian yang dilakukan oleh Codenomicon, melakukannya tanpa jejak).
Untuk ilustrasi yang lebih baik tentang cara kerja bug Heartbleed. baca komik xkcd ini.
Meskipun tidak ada grup yang maju untuk memamerkan semua kredensial dan informasi yang mereka sediakan dengan eksploit, pada titik ini dalam permainan Anda harus mengasumsikan bahwa kredensial login untuk situs web yang sering Anda kompromikan.
Yang Harus Dilakukan Post Bug yang Heartbleed
Setiap pelanggaran keamanan mayoritas (dan ini tentu saja memenuhi syarat dalam skala besar) mengharuskan Anda untuk menilai praktik manajemen kata sandi Anda. Mengingat jangkauan yang luas dari Heartbleed Bug ini adalah kesempatan sempurna untuk meninjau sistem manajemen kata sandi yang sudah berjalan dengan baik atau, jika Anda telah menyeret kaki Anda, untuk mengaturnya.
Sebelum Anda langsung mengubah kata sandi Anda, ketahuilah bahwa kerentanan hanya ditambal jika perusahaan telah meningkatkan ke versi baru OpenSSL. Kisahnya pecah pada hari Senin, dan jika Anda bergegas untuk segera mengubah kata sandi Anda di setiap situs, sebagian besar dari mereka masih akan menjalankan versi rentan OpenSSL.
Sekarang, pertengahan minggu, sebagian besar situs telah memulai proses pembaruan dan pada akhir pekan masuk akal untuk mengasumsikan mayoritas situs web profil tinggi akan beralih.
Anda dapat menggunakan pemeriksa Bug Heartbleed di sini untuk melihat apakah kerentanan masih terbuka atau, bahkan jika situs tidak menanggapi permintaan dari pemeriksa tersebut, Anda dapat menggunakan pemeriksa tanggal SSL LastPass untuk melihat apakah server tersebut telah memperbarui Sertifikat SSL baru-baru ini (jika mereka memperbaruinya setelah 4/7/2014 itu adalah indikator yang baik bahwa mereka telah menambal kerentanan.) catatan: jika Anda menjalankan howtogeek.com melalui pemeriksa kutu, ia akan mengembalikan kesalahan karena kami tidak menggunakan enkripsi SSL, dan kami juga telah memverifikasi bahwa server kami tidak menjalankan perangkat lunak yang terpengaruh.
Yang mengatakan, sepertinya akhir pekan ini akan menjadi akhir pekan yang baik untuk serius memperbarui kata sandi Anda. Pertama, Anda memerlukan sistem manajemen kata sandi. Lihatlah panduan kami untuk memulai dengan LastPass untuk mengatur salah satu opsi manajemen kata sandi yang paling aman dan fleksibel. Anda tidak harus menggunakan LastPass, tetapi Anda membutuhkan semacam sistem yang memungkinkan Anda melacak dan mengelola kata sandi yang unik dan kuat untuk setiap situs web yang Anda kunjungi.
Kedua, Anda harus mulai mengubah kata sandi Anda. Garis besar krisis-manajemen dalam panduan kami, Cara Memulihkan Setelah Email Anda Kata Sandi Dikompromikan, adalah cara yang bagus untuk memastikan Anda tidak kehilangan kata sandi; itu juga menyoroti dasar-dasar kebersihan kata sandi yang baik, dikutip di sini:
- Kata sandi harus selalu lebih panjang dari minimum layanan yang diizinkan. Jika layanan yang dimaksud memungkinkan untuk 6-20 kata sandi, pilih kata sandi terlama yang dapat Anda ingat.
- Jangan menggunakan kata-kata kamus sebagai bagian dari kata sandi Anda. Kata sandi Anda harus tak pernah menjadi sangat sederhana sehingga pemindaian sepintas dengan file kamus akan mengungkapkannya. Jangan pernah memasukkan nama Anda, bagian dari login atau email, atau barang-barang lain yang mudah diidentifikasi seperti nama perusahaan atau nama jalan Anda. Juga hindari menggunakan kombinasi keyboard umum seperti "qwerty" atau "asdf" sebagai bagian dari kata sandi Anda.
- Gunakan frasa sandi alih-alih kata sandi. Jika Anda tidak menggunakan pengelola kata sandi untuk mengingat kata sandi yang benar-benar acak (ya, kami menyadari bahwa kami benar-benar memikirkan ide menggunakan kata sandi pengelola) maka Anda dapat mengingat kata sandi yang lebih kuat dengan mengubahnya menjadi kata sandi. Untuk akun Amazon Anda, misalnya, Anda dapat membuat frasa sandi yang mudah diingat "Saya suka membaca buku" dan kemudian mengelompokkannya menjadi kata sandi seperti "! Luv2ReadBkz". Mudah diingat dan cukup kuat.
Ketiga, bila memungkinkan Anda ingin mengaktifkan otentikasi dua faktor. Anda dapat membaca lebih lanjut tentang otentikasi dua faktor di sini, tetapi singkatnya memungkinkan Anda untuk menambahkan lapisan identifikasi tambahan ke login Anda.
Dengan Gmail, misalnya, otentikasi dua faktor mengharuskan Anda tidak hanya memiliki login dan kata sandi, tetapi juga akses ke ponsel yang terdaftar di akun Gmail Anda sehingga Anda dapat menerima kode pesan teks untuk diinput ketika Anda log in dari komputer baru.
Dengan otentikasi dua faktor yang diaktifkan, sangat sulit bagi seseorang yang telah mendapatkan akses ke login dan kata sandi Anda (seperti yang mereka dapat dengan Bug Heartbleed) untuk benar-benar mengakses akun Anda.
Kerentanan keamanan, terutama yang dengan implikasi yang begitu luas, tidak pernah menyenangkan tetapi mereka menawarkan kesempatan bagi kami untuk memperketat praktik kata sandi kami dan memastikan bahwa kata sandi yang unik dan kuat menjaga kerusakan, ketika itu terjadi, terkandung.