Das letzte Mal, als wir Sie auf eine schwerwiegende Sicherheitsverletzung aufmerksam gemacht haben, war, dass die Passwortdatenbank von Adobe manipuliert wurde schwache und häufig wiederverwendete Passwörter) gefährdet. Heute warnen wir Sie vor einem viel größeren Sicherheitsproblem, dem Heartbleed-Bug, der potentiell zweieinhalb Drittel der sicheren Websites im Internet kompromittiert hat. Sie müssen Ihre Passwörter ändern, und Sie müssen jetzt damit beginnen.
Wichtiger Hinweis: How-To Geek ist von diesem Fehler nicht betroffen.
In Ihre typische Sicherheitsverletzung, die Benutzerdatensätze / Kennwörter eines einzelnen Unternehmens sind offengelegt. Das ist schrecklich, wenn es passiert, aber es ist eine isolierte Angelegenheit. Unternehmen X hat eine Sicherheitsverletzung, sie warnen ihre Benutzer und die Leute wie wir erinnern alle daran, dass es an der Zeit ist, gute Sicherheitshygiene zu praktizieren und ihre Passwörter zu aktualisieren. Diese, leider, typischen Brüche sind schlimm genug, wie es ist. Der Heartbleed Bug ist etwas viel, viel, schlimmer.
Der Heartbleed Bug untergräbt genau das Verschlüsselungsschema, das uns schützt, während wir E-Mails, Banks und andere Interaktionen mit Websites durchführen, von denen wir glauben, dass sie sicher sind. Hier ist eine einfache englische Beschreibung der Sicherheitslücke von Codenomicon, der Sicherheitsgruppe, die die Öffentlichkeit für den Fehler entdeckt und alarmiert hat:
Der Heartbleed Bug ist eine ernsthafte Sicherheitslücke in der populären kryptografischen OpenSSL-Softwarebibliothek. Diese Schwäche ermöglicht es, die Informationen unter normalen Bedingungen durch die SSL / TLS-Verschlüsselung zu schützen, die zum Schutz des Internets verwendet wird. SSL / TLS bietet Kommunikationssicherheit und Datenschutz über das Internet für Anwendungen wie Internet, E-Mail, Instant Messaging (IM) und einige virtuelle private Netzwerke (VPNs).
Der Heartbleed-Bug ermöglicht jedem im Internet den Speicher des Systeme, die durch die anfälligen Versionen der OpenSSL-Software geschützt sind. Dies kompromittiert die geheimen Schlüssel, die verwendet werden, um die Dienstanbieter zu identifizieren und den Verkehr, die Namen und Kennwörter der Benutzer und den tatsächlichen Inhalt zu verschlüsseln. Dadurch können Angreifer die Kommunikation abhören, Daten direkt von den Diensten und Benutzern stehlen und sich als Dienste und Benutzer ausgeben.
Das klingt ziemlich schlecht, ja? Es klingt noch schlimmer, wenn Sie feststellen, dass etwa zwei Drittel aller Websites, die SSL verwenden, diese anfällige Version von OpenSSL verwenden. Es geht nicht um kleine Zeitseiten wie Hot-Rod-Foren oder Sammelkartenspiel-Tauschbörsen, sondern um Banken, Kreditkartenunternehmen, große E-Händler und E-Mail-Anbieter. Schlimmer noch, diese Schwachstelle ist seit etwa zwei Jahren in der Wildnis. Das sind zwei Jahre, in denen jemand mit den entsprechenden Kenntnissen und Fähigkeiten die Login-Daten und die private Kommunikation eines von Ihnen genutzten Dienstes (und nach den von Codenomicon durchgeführten Tests, ohne dass es Spuren gibt) abgegriffen haben könnte.
Für einen ausgeglichenen bessere Darstellung, wie der Heartbleed-Fehler funktioniert. Lies dieses xkcd comic.
Obwohl keine Gruppe sich gemeldet hat, um alle Anmeldeinformationen und Informationen, die sie mit dem Exploit gesammelt haben, zur Schau zu stellen, musst du an diesem Punkt davon ausgehen, dass die Zugangsdaten für die Webseiten, die du benutzt hast kompromittiert.
Jede Verletzung der Majoritätssicherheit (und dies ist sicherlich in großem Umfang erforderlich) erfordert, dass Sie Ihre Passwortverwaltungspraktiken beurteilen. Angesichts der großen Reichweite des Heartbleed-Bugs ist dies eine perfekte Gelegenheit, ein bereits reibungslos funktionierendes Passwort-Management-System zu überprüfen oder, wenn Sie Ihre Füße gezogen haben, einen zu erstellen.
Bevor Sie sofort Ihre Passwörter ändern Beachten Sie, dass die Sicherheitsanfälligkeit nur behoben wird, wenn das Unternehmen auf die neue Version von OpenSSL aktualisiert wurde. Die Geschichte brach am Montag, und wenn Sie eilen würden, um sofort Ihre Passwörter auf jeder Seite zu ändern, hätten die meisten von ihnen immer noch die anfällige Version von OpenSSL ausgeführt.
RELATED: Wie man eine letzte Sicherheitsüberprüfung durchführt (und warum es nicht warten kann)
Jetzt, Mitte der Woche, haben die meisten Websites mit dem Prozess der Aktualisierung begonnen und am Wochenende ist es vernünftig, die Mehrheit der hochkarätigen Webseiten anzunehmen wird umgeschaltet.
Sie können hier den Heartbleed-Bug-Checker verwenden, um zu sehen, ob die Sicherheitslücke noch offen ist, oder, selbst wenn die Site nicht auf Anfragen des oben genannten Checkers reagiert, können Sie die SSL-Datumskontrolle von LastPass verwenden Wenn der betreffende Server kürzlich sein SSL-Zertifikat aktualisiert hat (wenn er nach dem 4.7.2014 aktualisiert wurde, ist dies ein guter Hinweis darauf, dass er die Sicherheitslücke gepatcht hat.) Hinweis: wenn Sie phhsnews.com ausführen Beim Bug Checker wird ein Fehler zurückgegeben, da wir die SSL-Verschlüsselung überhaupt nicht verwenden, und wir haben auch überprüft, dass auf unseren Servern keine betroffene Software läuft.
Es sieht so aus, als würde sich dieses Wochenende entwickeln ein gutes Wochenende sein, um sich ernsthaft mit der Aktualisierung Ihrer Passwörter zu beschäftigen. Zuerst benötigen Sie ein Passwort-Management-System. Lesen Sie unseren Leitfaden zum Einstieg in LastPass, um eine der sichersten und flexibelsten Optionen für die Passwortverwaltung einzurichten. Sie müssen LastPass nicht verwenden, aber Sie benötigen ein System, mit dem Sie ein eindeutiges und sicheres Passwort für jede von Ihnen besuchte Website verfolgen und verwalten können.
Zweitens müssen Sie Ihre Kennwörter ändern . Die Übersicht über das Krisenmanagement in unserem Leitfaden "Wie Sie nach dem Verlust Ihres E-Mail-Passworts wiederherstellen können" ist eine großartige Möglichkeit, um sicherzustellen, dass Sie keine Passwörter verpassen. Außerdem werden hier die Grundlagen für eine gute Passworthygiene aufgezeigt:
- Passwörter sollten immer länger sein als das Minimum, das der Dienst für zulässt. Wenn der betreffende Dienst 6 bis 20 Zeichen lange Passwörter erlaubt, wählen Sie das längste Passwort, das Sie sich merken können.
- Verwenden Sie keine Wörterbuchwörter als Teil Ihres Passwortes . Ihr Passwort sollte nie so einfach sein, dass ein flüchtiger Scan mit einer Wörterbuchdatei es aufdecken würde. Geben Sie niemals Ihren Namen, einen Teil des Login oder der E-Mail oder andere leicht identifizierbare Elemente wie Ihren Firmennamen oder Ihren Straßennamen ein. Vermeiden Sie auch die Verwendung gängiger Tastaturkombinationen wie "qwerty" oder "asdf" als Teil Ihres Passworts.
- Verwenden Sie Passphrasen anstelle von Passwörtern . Wenn Sie keinen Passwortmanager verwenden, um sich wirklich zufällige Passwörter zu merken ( Ja, wir wissen, dass wir wirklich die Idee haben, einen Passwort-Manager zu verwenden. Dann können Sie sich an stärkere Passwörter erinnern, indem Sie sie in Passphrasen verwandeln. Für Ihr Amazon-Konto könnten Sie zum Beispiel das leicht zu merkende Passwort "Ich liebe Bücher" erstellen und dann in ein Passwort wie "! Luv2ReadBkz" einteilen. Es ist leicht zu merken und es ist ziemlich stark.
Drittens, wann immer möglich, möchten Sie die Zwei-Faktor-Authentifizierung aktivieren. Sie können hier mehr über die Zwei-Faktor-Authentifizierung lesen, aber kurz gesagt können Sie Ihrem Login eine zusätzliche Identifikationsebene hinzufügen.
VERWANDT: Was ist Zwei-Faktor-Authentifizierung und warum brauche ich sie?
Bei Google Mail zum Beispiel erfordert die Zwei-Faktor-Authentifizierung nicht nur Ihr Login und Passwort, sondern den Zugriff auf das in Ihrem Google Mail-Konto registrierte Mobiltelefon, damit Sie bei der Anmeldung von einem neuen Textcode Code eingeben können Computer.
Bei aktivierter Zwei-Faktor-Authentifizierung ist es für jemanden, der Zugang zu Ihrem Login und Passwort hat (wie bei Heartbleed Bug), sehr schwierig, auf Ihr Konto zuzugreifen.
Sicherheitslücken, besonders solche mit so weit reichenden Implikationen, sind nie lustig, aber sie bieten eine Gelegenheit für uns, unsere Passwort-Praktiken zu straffen und sicherzustellen, dass einzigartige und starke Passwörter den Schaden, wenn es auftritt, enthalten.
Der komplette Leitfaden zum Kauf eines tragbaren Bluetooth-Lautsprechers
Bluetooth-Lautsprecher sind heutzutage überall und es ist, ehrlich gesagt, ziemlich schwer, sich von dem anderen zu unterscheiden. Anstatt einen Lautsprecher vor allem als die ultimative Lösung für Ihre kabellosen Musikbedürfnisse zu halten, werfen Sie stattdessen einen Blick auf die gesamte Gadget-Kategorie und markieren Sie die für Sie optimalen Funktionen.
So stimmen Sie Ihre Gitarre mit dem Amazon Echo ab
Während das Amazon Echo dafür bekannt ist, Nachrichten und Verkehrsinformationen bereitzustellen oder Musik zu spielen und Ihnen Ihre Hörbücher vorzulesen, ist das nur der Tipp von der Eisberg. Mit einem Add-on Skill können Sie das sprachgesteuerte Gerät verwenden, um Ihre Gitarre ohne zusätzliche Werkzeuge abzustimmen.