Important note: How-To Geek is not affected by this bug.
Heartbleed là gì và tại sao nó nguy hiểm như vậy?
Trong vi phạm bảo mật điển hình của bạn, bản ghi / mật khẩu người dùng của một công ty duy nhất được hiển thị. Điều đó thật khủng khiếp khi nó xảy ra, nhưng đó là một chuyện riêng biệt. Công ty X có vi phạm bảo mật, họ đưa ra cảnh báo cho người dùng của họ và những người như chúng tôi nhắc nhở mọi người đến lúc bắt đầu thực hành vệ sinh an toàn tốt và cập nhật mật khẩu của họ. Những người, thật không may, vi phạm điển hình là đủ xấu như nó được. Lỗi Heartbleed là điều gì đó nhiều,nhiều, tệ hơn.
Lỗi Heartbleed làm suy yếu sơ đồ mã hóa bảo vệ chúng tôi trong khi chúng tôi gửi email, ngân hàng và tương tác với các trang web khác mà chúng tôi tin là an toàn. Dưới đây là một mô tả đơn giản về tiếng Anh về lỗ hổng bảo mật từ Codenomicon, nhóm bảo mật đã phát hiện và cảnh báo công chúng về lỗi:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Nghe có vẻ khá tệ, phải không? Nghe có vẻ tồi tệ hơn khi bạn nhận ra khoảng hai phần ba của tất cả các trang web sử dụng SSL đang sử dụng phiên bản OpenSSL dễ bị tấn công này. Chúng tôi không nói các trang web nhỏ như diễn đàn hot rod hoặc trang web trao đổi thẻ thu thập được, chúng tôi đang nói ngân hàng, công ty thẻ tín dụng, nhà bán lẻ điện tử lớn và nhà cung cấp dịch vụ e-mail. Tệ hơn nữa, lỗ hổng này đã được trong tự nhiên trong khoảng hai năm. Đó là hai năm một người có kiến thức và kỹ năng phù hợp có thể đã khai thác thông tin đăng nhập và thông tin liên lạc cá nhân của dịch vụ bạn sử dụng (và, theo thử nghiệm được thực hiện bởi Codenomicon, thực hiện nó mà không có dấu vết).
Để có minh họa tốt hơn về cách hoạt động của lỗi Heartbleed. đọc truyện tranh xkcd này.
Làm gì để đăng bài lỗi Heartbleed
Bất kỳ vi phạm bảo mật phần lớn nào (và điều này chắc chắn đủ điều kiện trên một quy mô lớn) yêu cầu bạn phải đánh giá thực tiễn quản lý mật khẩu của mình. Do phạm vi rộng của lỗi Heartbleed, đây là cơ hội hoàn hảo để xem xét hệ thống quản lý mật khẩu đã chạy mượt mà hoặc nếu bạn đã kéo lê chân, hãy thiết lập một hệ thống.
Trước khi bạn đi sâu vào việc thay đổi mật khẩu ngay lập tức, hãy lưu ý rằng lỗ hổng chỉ được vá nếu công ty đã nâng cấp lên phiên bản OpenSSL mới. Câu chuyện đã nổ ra vào thứ hai và nếu bạn vội vã thay đổi mật khẩu ngay lập tức trên mọi trang web, hầu hết trong số họ vẫn sẽ chạy phiên bản OpenSSL dễ bị tấn công.
Bây giờ, giữa tuần, hầu hết các trang web đã bắt đầu quá trình cập nhật và vào cuối tuần, điều đó là hợp lý để giả định phần lớn các trang web có cấu hình cao sẽ chuyển sang.
Bạn có thể sử dụng trình kiểm tra lỗi Heartbleed tại đây để xem lỗ hổng có đang mở hay không, ngay cả khi trang web không phản hồi các yêu cầu từ trình kiểm tra nói trên, bạn có thể sử dụng trình kiểm tra ngày SSL của LastPass để xem máy chủ được đề cập có cập nhật hay không Giấy chứng nhận SSL gần đây (nếu họ cập nhật nó sau 4/7/2014, đó là một chỉ báo tốt cho thấy họ đã vá lỗ hổng bảo mật). Chú thích: nếu bạn chạy howtogeek.com thông qua trình kiểm tra lỗi, nó sẽ trả về lỗi vì chúng tôi không sử dụng mã hóa SSL ngay từ đầu và chúng tôi cũng đã xác minh rằng các máy chủ của chúng tôi không chạy bất kỳ phần mềm bị ảnh hưởng nào.
Điều đó nói rằng, có vẻ như cuối tuần này đang hình thành một ngày cuối tuần tốt để nghiêm túc về việc cập nhật mật khẩu của bạn. Trước tiên, bạn cần một hệ thống quản lý mật khẩu. Hãy xem hướng dẫn của chúng tôi để bắt đầu với LastPass để thiết lập một trong những tùy chọn quản lý mật khẩu linh hoạt và an toàn nhất xung quanh. Bạn không phải sử dụng LastPass, nhưng bạn cần một số loại hệ thống tại chỗ sẽ cho phép bạn theo dõi và quản lý mật khẩu độc đáo và mạnh mẽ cho mọi trang web bạn truy cập.
Thứ hai, bạn cần phải bắt đầu thay đổi mật khẩu của bạn. Bản phác thảo quản lý khủng hoảng trong hướng dẫn của chúng tôi, Cách khôi phục sau khi mật khẩu email của bạn bị xâm phạm, là một cách tuyệt vời để đảm bảo bạn không bỏ lỡ bất kỳ mật khẩu nào; nó cũng nêu bật những điều cơ bản về vệ sinh mật khẩu tốt, được trích dẫn ở đây:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Thứ ba, bất cứ khi nào có thể bạn muốn bật xác thực hai yếu tố. Bạn có thể đọc thêm về xác thực hai yếu tố tại đây, nhưng trong ngắn hạn nó cho phép bạn thêm một lớp nhận dạng bổ sung vào thông tin đăng nhập của bạn.
Ví dụ: với Gmail, xác thực hai yếu tố yêu cầu bạn không chỉ đăng nhập và mật khẩu mà còn truy cập vào điện thoại di động đã đăng ký vào tài khoản Gmail của bạn để bạn có thể chấp nhận mã tin nhắn văn bản để nhập khi bạn đăng nhập từ một máy tính mới.
Với xác thực hai yếu tố được bật, điều này khiến cho người nào đó có quyền truy cập vào thông tin đăng nhập và mật khẩu của bạn rất khó khăn (giống như họ có thể thực hiện với lỗi Heartbleed) để thực sự truy cập vào tài khoản của bạn.
Các lỗ hổng bảo mật, đặc biệt là các lỗ hổng bảo mật, không bao giờ thú vị nhưng chúng cung cấp một cơ hội để chúng tôi thắt chặt thực tiễn mật khẩu của mình và đảm bảo rằng các mật khẩu độc đáo và mạnh mẽ giữ được thiệt hại khi nó xảy ra.
