Den sidste gang vi varslede dig om et større sikkerhedsbrud var, da Adobes adgangskode blev kompromitteret, idet millioner af brugere (især dem med svage og ofte genbrugte adgangskoder) i fare. I dag advarer vi dig om et meget større sikkerhedsproblem, Heartbleed Bug, der potentielt har kompromitteret en svimlende 2 / 3rds af de sikre hjemmesider på internettet. Du skal ændre dine adgangskoder, og du skal begynde at gøre det nu.

Vigtig note: Hvordan-til-geek påvirkes ikke af denne fejl.

Hvad er hjertet og hvorfor er det så farligt? Din typiske sikkerhedsbrud, et enkelt selskabs brugerregistre / adgangskoder udsættes. Det er forfærdeligt, når det sker, men det er en isoleret affære. Firma X har et sikkerhedsbrud, de udsteder en advarsel til deres brugere, og folk som os minder os om alle, det er på tide at begynde at øve god sikkerhedshygiejne og opdatere deres adgangskoder. Det er desværre typiske brud, der er dårligt nok, som det er. Heartbleed Bug er noget meget

meget værre. Heartbleed Bug undergraver selve krypteringsordningen, der beskytter os, mens vi e-mail, bank og på anden måde interagerer med hjemmesider, som vi mener er sikre. Her er en almindelig engelsk beskrivelse af sårbarheden fra Codenomicon, sikkerhedsgruppen, der opdagede og varslede offentligheden til fejlen:

Heartbleed Bug er et alvorligt sårbarhed i det populære OpenSSL kryptografiske softwarebibliotek. Denne svaghed gør det muligt at stjæle oplysningerne beskyttet under normale forhold ved hjælp af SSL / TLS-kryptering, der bruges til at sikre internettet. SSL / TLS giver kommunikationssikkerhed og privatliv over internettet til applikationer som web, e-mail, instant messaging (IM) og nogle virtuelle private netværk (VPN'er).

Heartbleed bug gør det muligt for alle på internettet at læse hukommelsen om systemer, der er beskyttet af de sårbare versioner af OpenSSL-softwaren. Dette kompromitterer de hemmelige nøgler, der bruges til at identificere tjenesteudbyderne og kryptere trafikken, brugernavn og adgangskoder og det faktiske indhold. Dette gør det muligt for angribere at aflytte kommunikation, stjæle data direkte fra tjenesterne og brugerne og at efterligne tjenester og brugere.

Det lyder ret dårligt, ja? Det lyder endnu værre, når du indser, at ca. to tredjedele af alle websteder, der bruger SSL, bruger denne sårbare version af OpenSSL. Vi taler ikke om små tidssider som hot rod-fora eller samleobjekter til kortspil, vi taler banker, kreditkortselskaber, store e-detailhandlere og e-mail-udbydere. Endnu værre har denne sårbarhed været i det vilde i omkring to år. Det er to år, at en person med den rette viden og færdigheder kunne have slået ind på loginoplysninger og privat kommunikation af en tjeneste, du bruger (og ifølge testen udført af Codenomicon gør du det uden spor).

For en jævn bedre illustration af hvordan Heartbleed bug fungerer. læs denne xkcd comic.

Selv om ingen gruppe er kommet frem for at flaunt alle de legitimationsoplysninger og oplysninger, de slog ud med udnyttelsen, skal du på dette tidspunkt i spillet antage, at loginoplysningerne for de websteder, du hyppigt har været kompromitteret.

Hvad skal man gøre efter Heartbleed Bug?

Enhver flertals sikkerhedsbrud (og dette helt sikkert kvalificerer sig i stor skala) kræver, at du vurderer dine adgangskodehåndteringspraksis. I betragtning af den brede rækkevidde af Heartbleed Bug er dette en perfekt mulighed for at gennemse et allerede glidende password-styringssystem eller, hvis du har trukket dine fødder, for at indstille en.

Før du dykker ind, ændres dine adgangskoder med det samme Vær opmærksom på, at sårbarheden kun er patched, hvis virksomheden har opgraderet til den nye version af OpenSSL. Historien brød på mandag, og hvis du skyndte ud til at ændre dine adgangskoder på hvert websted, ville de fleste stadig have kørt den sårbare version af OpenSSL.

RELATERET:

Sådan gennemføres en sikkerhedsovervågning for sidste pass (og hvorfor det ikke kan vente) Nu i midten af ​​ugen er de fleste steder begyndt at opdatere processen, og i weekenden er det rimeligt at påtage sig de fleste højt profilerede websteder vil have skiftet over.

Du kan bruge Heartbleed Bug checker til at se, om sårbarheden er åben stadig, eller selvom webstedet ikke reagerer på anmodninger fra den ovennævnte checker, kan du bruge LastPass SSL date checker til at se hvis den pågældende server har opdateret deres SSL-certifikat for nylig (hvis de opdaterede den efter 4/7/2014, er det en god indikator for, at de har patchet sårbarheden.)

Bemærk: Hvis du kører phhsnews.com gennem fejlkøberen det vil returnere en fejl, fordi vi ikke bruger SSL-kryptering i første omgang, og vi har også verificeret, at vores servere ikke kører nogen berørt software. Det ser ud til, at denne weekend formes at være en god weekend for at blive seriøs om at opdatere dine adgangskoder. For det første har du brug for et kodeordstyringssystem. Se vores guide til at komme i gang med LastPass for at oprette en af ​​de mest sikre og fleksible adgangskodehåndteringsmuligheder omkring. Du behøver ikke bruge LastPass, men du har brug for en slags system på plads, der giver dig mulighed for at spore og styre et unikt og stærkt kodeord for hvert websted, du besøger.

For det andet skal du begynde at ændre dine adgangskoder . Krisestyringsoversigt i vores vejledning, Sådan genopretter du efter din e-mail-adgangskode er kompromitteret, er en fantastisk måde at sikre, at du ikke går glip af nogen adgangskoder; det fremhæver også det grundlæggende ved god adgangskodehygiejne, citeret her:

Adgangskoder skal altid være længere end det minimum, som servicen tillader

• . Hvis den pågældende tjeneste tillader 6-20 tegn, går adgangskoder til den længste adgangskode, du kan huske. Brug ikke ordbog ord som en del af dit kodeord
• . Dit kodeord skal aldrig være så simpelt, at en overskuelig scanning med en ordbogsfil vil afsløre den. Indsæt aldrig dit navn, en del af login eller e-mail eller andre let identificerbare emner som dit firmanavn eller gadenavn. Undgå også at bruge almindelige tastaturkombinationer som "qwerty" eller "asdf" som en del af dit kodeord. Brug passord i stedet for adgangskoder
• . Hvis du ikke bruger en adgangskodeadministrator til at huske virkelig tilfældige adgangskoder ( ja, vi indser vi virkelig harper på ideen om at bruge en adgangskodeadministrator), så kan du huske stærkere adgangskoder ved at gøre dem til passord. For din Amazon-konto kan du for eksempel oprette en let husk adgangskode "Jeg elsker at læse bøger" og så knuse det i en adgangskode som "! Luv2ReadBkz". Det er nemt at huske, og det er ret stærkt. For det tredje, når det er muligt, vil du aktivere tofaktors godkendelse. Du kan læse mere om tofaktorautentificering her, men det giver kort sagt det muligt at tilføje et ekstra identifikationslag til dit login.

RELATERET:

Hvad er tofaktorautentificering, og hvorfor har jeg brug for det? Med Gmail kræver tofaktorautentificering f.eks., At du ikke kun har dit login og adgangskode, men adgangen til mobiltelefonen registreret i din Gmail-konto, så du kan acceptere en SMS-kode, der skal indtastes, når du logger ind fra en ny computer.

Med 2-faktor autentificering aktiveret gør det meget vanskeligt for nogen, der har fået adgang til dit login og adgangskode (som de kunne med Heartbleed Bug) for faktisk at få adgang til din konto.

Sikkerhedsproblemer, især dem med så vidtrækkende konsekvenser, er aldrig sjovt, men de giver os mulighed for at stramme vores adgangskodepraksis og sikre, at unikke og stærke adgangskoder holder skaden indeholdt.

Hvorfor bruger x86-CPU'er kun to ud af fire "ringe"?

Når du lærer mere om, hvordan operativsystemer og hardware de kører på arbejde og interagere med hinanden, kan du blive overrasket for at se, hvad der synes at være underligt eller underudnyttelse af "ressourcer" der forekommer. Hvorfor det? Dagens SuperUser Q & A-indlæg har svaret på en nysgerrig læsers spørgsmål.

(how-to)

Sådan får du Windows 10 til at acceptere filstier over 260 tegn

Med jubilæumsopdateringen af ​​Windows 10 kan du endelig forlade den maksimale stigningsgrænse på 260 tegn i Windows. Du skal bare lave en mindre redigering til Windows-registreringsdatabasen eller gruppepolitikken. Sådan får du det til at ske. Før Windows 95 tillod kun Windows filnavne, der var otte tegn lange, med en filtype på tre tegn, der almindeligvis hedder et 8.

(how-to)