Den siste gangen vi varslet deg om et større sikkerhetsbrudd var det da Adobe's passorddatabase ble kompromittert, og satt millioner av brukere (spesielt de med svake og ofte gjenbrukte passord) i fare. I dag advarer vi deg om et mye større sikkerhetsproblem, Heartbleed Bug, som potensielt har kompromittert en svimlende 2/3 av de sikre nettstedene på internett. Du må endre passordene dine, og du må begynne å gjøre det nå.
Viktig merknad: How-To Geek påvirkes ikke av denne feilen.
mye, verre. Heartbleed Bug undergraver selve krypteringsprogrammet som beskytter oss mens vi e-post, bank og på annen måte samhandler med nettsteder som vi mener er sikre. Her er en engelsk-engelsk beskrivelse av sikkerhetsproblemet fra Codenomicon, sikkerhetsgruppen som oppdaget og varslet offentligheten til feilen:
Heartbleed Bug er et alvorlig sårbarhet i det populære OpenSSL kryptografiske programvarebiblioteket. Denne svakheten gjør det mulig å stjele informasjonen som er beskyttet, under normale forhold, ved hjelp av SSL / TLS-kryptering som brukes til å sikre Internett. SSL / TLS gir kommunikasjonssikkerhet og personvern over Internett for applikasjoner som web, e-post, direktemeldinger (IM) og enkelte virtuelle private nettverk (VPN).
Heartbleed bug gjør at alle på Internett kan lese minnet om systemer som er beskyttet av de sårbare versjonene av OpenSSL-programvaren. Dette kompromitterer de hemmelige nøklene som brukes til å identifisere tjenesteleverandørene og kryptere trafikken, navnene og passordene til brukerne og det faktiske innholdet. Dette tillater angripere å avlyse på kommunikasjon, stjele data direkte fra tjenestene og brukerne, og å etterligne tjenester og brukere.
Det høres ganske dårlig ut, ja? Det høres enda verre ut når du skjønner om lag to tredjedeler av alle nettsteder som bruker SSL, bruker denne sårbare versjonen av OpenSSL. Vi snakker ikke små tidssider som hot rod forums eller samlebare kortspill bytte nettsteder, vi snakker banker, kredittkortselskaper, store e-forhandlere og e-postleverandører. Enda verre, har dette sårbarheten vært i naturen i rundt to år. Det er to år kan noen med riktig kunnskap og ferdigheter ha slått inn på innloggingsinformasjonen og privatkommunikasjon av en tjeneste du bruker (og ifølge en test utført av Codenomicon, gjør du det uten spor).
For en jevn bedre illustrasjon av hvordan Heartbleed-feilen fungerer. les dette xkcd-tegneserien.
Selv om ingen gruppe har kommet fram for å flaunere alle legitimasjonene og informasjonen de siphoned opp med utnytte, må du på dette tidspunktet anta at innloggingsinformasjonen for nettsidene du hyppig har vært kompromittert.
Hva skal du gjøre etter Heartbleed Bug
Før du dykker inn umiddelbart, endrer du passordene dine Vær oppmerksom på at sikkerhetsproblemet bare oppdateres hvis selskapet har oppgradert til den nye versjonen av OpenSSL. Historien brøt på mandag, og hvis du rushed ut for å umiddelbart endre passordene dine på hvert nettsted, ville de fleste av dem fortsatt ha kjørt den sårbare versjonen av OpenSSL.
RELATED:
Slik kjører du en siste pass Security Security (og hvorfor det ikke kan vente) Nå, midt i uken, har de fleste nettstedene begynt å oppdatere og i helgen er det rimelig å anta de fleste profilerte nettsteder vil ha byttet over.
Du kan bruke Heartbleed Bug-kontrolløren her for å se om sikkerhetsproblemet er åpen, eller, selv om nettstedet ikke svarer på forespørsler fra den ovennevnte kontrolløren, kan du bruke LastPass SSL-datokontroller for å se hvis den aktuelle serveren har oppdatert sitt SSL-sertifikat nylig (hvis de oppdaterte den etter 4/7/2014, er det en god indikator på at de har patched sikkerhetsproblemet.)
Merk: Hvis du kjører phhsnews.com gjennom feilkontrollen vil det returnere en feil fordi vi ikke bruker SSL-kryptering i utgangspunktet, og vi har også bekreftet at våre servere ikke kjører noen berørt programvare. Det ser ut til at denne helgen er å forme å være en god helg for å bli seriøs om å oppdatere passordene dine. Først må du ha et passordstyringssystem. Ta en titt på vår guide for å komme i gang med LastPass for å sette opp et av de mest sikre og fleksible passordbehandlingsalternativene rundt. Du trenger ikke å bruke LastPass, men du trenger noen form for system som lar deg spore og administrere et unikt og sterkt passord for hvert nettsted du besøker.
For det andre må du begynne å endre passordene dine . Krisestyringsoversikten i vår guide, Hvordan gjenopprette etter at passordet ditt er kompromittert, er en flott måte å sikre at du ikke går glipp av passord; det fremhever også grunnleggende om god passordhygiene, citeres her:
Passordene bør alltid være lengre enn det minimum tjenesten tillater
- . Hvis den aktuelle tjenesten tillater 6-20 tegn, går passordene til det lengste passordet du kan huske. Ikke bruk ordlisteord som en del av passordet ditt
- . Passordet ditt bør aldri være så enkelt at en oversiktlig skanning med en ordlistefil vil avsløre den. Ikke ta med navnet ditt, en del av påloggingen eller e-posten, eller andre lett identifiserbare elementer som firmaets navn eller gatenavn. Du må også unngå å bruke vanlige tastaturkombinasjoner som "qwerty" eller "asdf" som en del av passordet ditt. Bruk passord i stedet for passord
- . Hvis du ikke bruker en passordbehandling for å huske virkelig tilfeldige passord ( ja, vi skjønner at vi virkelig har harp på ideen om å bruke en passordbehandling), da kan du huske sterkere passord ved å slå dem inn i passord. For din Amazon-konto, for eksempel, kan du opprette lett husk passordet "Jeg elsker å lese bøker" og deretter knase det inn i et passord som "! Luv2ReadBkz". Det er lett å huske og det er ganske sterkt. For det tredje, når det er mulig, vil du aktivere tofaktorautentisering. Du kan lese mer om tofaktorautentisering her, men kort sagt, det lar deg legge til et ekstra lag med identifikasjon til påloggingen.
RELATED:
Hva er tofaktorautentisering, og hvorfor trenger jeg det? Med Gmail krever for eksempel tofaktorautentisering at du ikke bare har innlogging og passord, men tilgang til mobiltelefonen registrert i Gmail-kontoen din, slik at du kan godta en tekstmeldingskode som skal legges inn når du logger inn fra en ny datamaskin.
Med tofaktorautentisering aktivert gjør det det svært vanskelig for noen som har fått tilgang til innlogging og passord (som de kunne med Heartbleed Bug) for å få tilgang til kontoen din.
Sikkerhetsproblemer, spesielt de med så vidtgående implikasjoner, er aldri morsomme, men de gir oss mulighet til å stramme våre passordpraksis og sikre at unike og sterke passord holder skaden inneholdt.
Facebook har nå to "skjulte" meldingsinnboksene, Slik får du tilgang til dem
Du har kanskje hørt at det er en noe ukjent Facebook-innboks hvor potensielt scads av filtrerte meldinger går til å dø. Det viser seg, det er faktisk to. Slik sørger du for at du får alle meldingene dine. Ting endres, og med det, Facebook. For en kort tid siden var Internettet oppslukt over en "skjult" og "hemmelig" innboks som holdt en mengde tapte meldinger.
Amazon's Fire OS vs. Googles Android: Hva er forskjellen?
Amazon's Fire-tabletter kjører Amazons eget "Fire OS" operativsystem. Brann-operativsystemet er basert på Android, men det har ikke noen av Googles apper eller tjenester. Her er hva det betyr, og hvor nøyaktig de er forskjellige. Det er egentlig ikke riktig å si at Amazonas Brann-tabletter kjører Android.