Den siste gangen vi varslet deg om et større sikkerhetsbrudd var det da Adobe's passorddatabase ble kompromittert, og satt millioner av brukere (spesielt de med svake og ofte gjenbrukte passord) i fare. I dag advarer vi deg om et mye større sikkerhetsproblem, Heartbleed Bug, som potensielt har kompromittert en svimlende 2/3 av de sikre nettstedene på internett. Du må endre passordene dine, og du må begynne å gjøre det nå.

Viktig merknad: How-To Geek påvirkes ikke av denne feilen.

Hva er Heartbleed og hvorfor er det så farlig? Din typiske sikkerhetsbrudd, et enkelt selskaps brukeroppføringer / passord blir eksponert. Det er forferdelig når det skjer, men det er en isolert affære. Selskap X har et sikkerhetsbrudd, de utsteder en advarsel til brukerne, og folk som oss påminner alle om at det er på tide å begynne å praktisere god sikkerhetshygiene og oppdatere passordene sine. De, dessverre, typiske brudd er dårlige nok som det er. Heartbleed Bug er noe mye,

mye, verre. Heartbleed Bug undergraver selve krypteringsprogrammet som beskytter oss mens vi e-post, bank og på annen måte samhandler med nettsteder som vi mener er sikre. Her er en engelsk-engelsk beskrivelse av sikkerhetsproblemet fra Codenomicon, sikkerhetsgruppen som oppdaget og varslet offentligheten til feilen:

Heartbleed Bug er et alvorlig sårbarhet i det populære OpenSSL kryptografiske programvarebiblioteket. Denne svakheten gjør det mulig å stjele informasjonen som er beskyttet, under normale forhold, ved hjelp av SSL / TLS-kryptering som brukes til å sikre Internett. SSL / TLS gir kommunikasjonssikkerhet og personvern over Internett for applikasjoner som web, e-post, direktemeldinger (IM) og enkelte virtuelle private nettverk (VPN).

Heartbleed bug gjør at alle på Internett kan lese minnet om systemer som er beskyttet av de sårbare versjonene av OpenSSL-programvaren. Dette kompromitterer de hemmelige nøklene som brukes til å identifisere tjenesteleverandørene og kryptere trafikken, navnene og passordene til brukerne og det faktiske innholdet. Dette tillater angripere å avlyse på kommunikasjon, stjele data direkte fra tjenestene og brukerne, og å etterligne tjenester og brukere.

Det høres ganske dårlig ut, ja? Det høres enda verre ut når du skjønner om lag to tredjedeler av alle nettsteder som bruker SSL, bruker denne sårbare versjonen av OpenSSL. Vi snakker ikke små tidssider som hot rod forums eller samlebare kortspill bytte nettsteder, vi snakker banker, kredittkortselskaper, store e-forhandlere og e-postleverandører. Enda verre, har dette sårbarheten vært i naturen i rundt to år. Det er to år kan noen med riktig kunnskap og ferdigheter ha slått inn på innloggingsinformasjonen og privatkommunikasjon av en tjeneste du bruker (og ifølge en test utført av Codenomicon, gjør du det uten spor).

For en jevn bedre illustrasjon av hvordan Heartbleed-feilen fungerer. les dette xkcd-tegneserien.

Selv om ingen gruppe har kommet fram for å flaunere alle legitimasjonene og informasjonen de siphoned opp med utnytte, må du på dette tidspunktet anta at innloggingsinformasjonen for nettsidene du hyppig har vært kompromittert.

Hva skal du gjøre etter Heartbleed Bug

Enhver flertalls sikkerhetsbrudd (og dette sikkert kvalifiserer på stor skala) krever at du vurderer passordhåndteringspraksis. Gitt den brede rekkevidden til Heartbleed Bug er dette en perfekt mulighet til å gjennomgå et allerede løst løpende passordstyringssystem, eller hvis du har dradd føttene, for å sette opp en gang.

Før du dykker inn umiddelbart, endrer du passordene dine Vær oppmerksom på at sikkerhetsproblemet bare oppdateres hvis selskapet har oppgradert til den nye versjonen av OpenSSL. Historien brøt på mandag, og hvis du rushed ut for å umiddelbart endre passordene dine på hvert nettsted, ville de fleste av dem fortsatt ha kjørt den sårbare versjonen av OpenSSL.

RELATED:

Slik kjører du en siste pass Security Security (og hvorfor det ikke kan vente) Nå, midt i uken, har de fleste nettstedene begynt å oppdatere og i helgen er det rimelig å anta de fleste profilerte nettsteder vil ha byttet over.

Du kan bruke Heartbleed Bug-kontrolløren her for å se om sikkerhetsproblemet er åpen, eller, selv om nettstedet ikke svarer på forespørsler fra den ovennevnte kontrolløren, kan du bruke LastPass SSL-datokontroller for å se hvis den aktuelle serveren har oppdatert sitt SSL-sertifikat nylig (hvis de oppdaterte den etter 4/7/2014, er det en god indikator på at de har patched sikkerhetsproblemet.)

Merk: Hvis du kjører phhsnews.com gjennom feilkontrollen vil det returnere en feil fordi vi ikke bruker SSL-kryptering i utgangspunktet, og vi har også bekreftet at våre servere ikke kjører noen berørt programvare. Det ser ut til at denne helgen er å forme å være en god helg for å bli seriøs om å oppdatere passordene dine. Først må du ha et passordstyringssystem. Ta en titt på vår guide for å komme i gang med LastPass for å sette opp et av de mest sikre og fleksible passordbehandlingsalternativene rundt. Du trenger ikke å bruke LastPass, men du trenger noen form for system som lar deg spore og administrere et unikt og sterkt passord for hvert nettsted du besøker.

For det andre må du begynne å endre passordene dine . Krisestyringsoversikten i vår guide, Hvordan gjenopprette etter at passordet ditt er kompromittert, er en flott måte å sikre at du ikke går glipp av passord; det fremhever også grunnleggende om god passordhygiene, citeres her:

Passordene bør alltid være lengre enn det minimum tjenesten tillater

• . Hvis den aktuelle tjenesten tillater 6-20 tegn, går passordene til det lengste passordet du kan huske. Ikke bruk ordlisteord som en del av passordet ditt
• . Passordet ditt bør aldri være så enkelt at en oversiktlig skanning med en ordlistefil vil avsløre den. Ikke ta med navnet ditt, en del av påloggingen eller e-posten, eller andre lett identifiserbare elementer som firmaets navn eller gatenavn. Du må også unngå å bruke vanlige tastaturkombinasjoner som "qwerty" eller "asdf" som en del av passordet ditt. Bruk passord i stedet for passord
• . Hvis du ikke bruker en passordbehandling for å huske virkelig tilfeldige passord ( ja, vi skjønner at vi virkelig har harp på ideen om å bruke en passordbehandling), da kan du huske sterkere passord ved å slå dem inn i passord. For din Amazon-konto, for eksempel, kan du opprette lett husk passordet "Jeg elsker å lese bøker" og deretter knase det inn i et passord som "! Luv2ReadBkz". Det er lett å huske og det er ganske sterkt. For det tredje, når det er mulig, vil du aktivere tofaktorautentisering. Du kan lese mer om tofaktorautentisering her, men kort sagt, det lar deg legge til et ekstra lag med identifikasjon til påloggingen.

RELATED:

Hva er tofaktorautentisering, og hvorfor trenger jeg det? Med Gmail krever for eksempel tofaktorautentisering at du ikke bare har innlogging og passord, men tilgang til mobiltelefonen registrert i Gmail-kontoen din, slik at du kan godta en tekstmeldingskode som skal legges inn når du logger inn fra en ny datamaskin.

Med tofaktorautentisering aktivert gjør det det svært vanskelig for noen som har fått tilgang til innlogging og passord (som de kunne med Heartbleed Bug) for å få tilgang til kontoen din.

Sikkerhetsproblemer, spesielt de med så vidtgående implikasjoner, er aldri morsomme, men de gir oss mulighet til å stramme våre passordpraksis og sikre at unike og sterke passord holder skaden inneholdt.

Slik legger du til mer lagringsplass på PlayStation 4, Xbox One eller Wii U

Konsoller har kommet langt fra kassetter. I dag er de praktisk talt bare spill-PCer og inkluderer innebygd lagring for lagre filer, spilloppdateringer og digitale nedlastingsspill. Det er en god sjanse for at du vil ha mer lagringsplass enn hva konsollen din inneholder, og alle konsoller lar deg få mer plass.

(how-to)

Slik aktiverer du alltid-på VPN på en iPhone eller iPad

VPN-er på iPhone eller iPad har fortsatt et stort problem. Du kan ikke enkelt aktivere en "Alltid på VPN" -modus som tvinger programmene dine til å koble bare gjennom en VPN. Med iOS 8 har Apple lagt til denne funksjonen - selv om den er skjult og vanskelig å få tilgang til. "Alltid på VPN" er designet for bedrifter og andre organisasjoner, så det må være aktivert med en konfigurasjonsprofil eller en styringsserver for mobilenhet.

(how-to)