ไม่มีหมวดหมู่

สิ่งที่คุณต้องรู้เกี่ยวกับ Heartbleed และการเปลี่ยนรหัสผ่าน

สิ่งที่คุณต้องรู้เกี่ยวกับ Heartbleed และการเปลี่ยนรหัสผ่าน

[ที่มาของภาพ:ใจป้ำ]

เมื่อเร็ว ๆ นี้คุณอาจเคยได้ยินเกี่ยวกับ Heartbleed และเพื่อน ๆ ทุกคนอาจบอกให้คุณเปลี่ยนรหัสผ่านทั้งหมด อย่างไรก็ตามก่อนที่จะเปลี่ยนรหัสผ่านคุณจำเป็นต้องทราบว่าเว็บไซต์ดังกล่าวได้ดำเนินการไปแล้ว ทั้งหมด ขั้นตอนที่จำเป็นในการป้องกันตัวเองจาก Heartbleed มิฉะนั้นรหัสผ่านใหม่ของคุณจะยังคงมีช่องโหว่ บางรายการลอยอยู่เพื่อบอกคุณว่าไซต์พร้อมสำหรับการเปลี่ยนรหัสผ่าน แต่ยังไม่ได้ตรวจสอบขั้นตอนความปลอดภัยที่จำเป็นทั้งหมด อ่านเพื่อหาข้อมูลเพิ่มเติม:

ป.ล. เราจะ (พยายาม) อธิบายให้แน่ชัดว่าการละเมิดความปลอดภัย Heartbleed เป็นอย่างไร ทุกคนสามารถเข้าใจ และแจ้งให้คุณทราบจุดสำคัญว่าคุณควรเปลี่ยนรหัสผ่านที่ไหนและเมื่อใด

Heartbleed bug คืออะไร?

เว็บการ์ตูน xkcd ร่างการ์ตูนเล็ก ๆ ที่อธิบาย Heartbleed ในรูปแบบที่ง่ายที่สุดที่เราเคยเห็น:

ประการแรกคุณต้องทราบว่าการรักษาความปลอดภัยของเว็บมีให้โดยซอฟต์แวร์ที่เรียกว่า OpenSSL (ชั้นซ็อกเก็ตที่ปลอดภัย) ซึ่งเข้ารหัส (scrambles) ข้อมูลที่ส่งเข้าและออกจากคอมพิวเตอร์ของผู้ใช้และเซิร์ฟเวอร์ของเว็บไซต์ (ที่โฮสต์ / จัดเก็บเว็บไซต์) ที่สำคัญลองนึกถึงสิ่งต่างๆเช่น ชื่อผู้ใช้รหัสผ่านและแม้แต่รายละเอียดบัตรเครดิตและที่อยู่ ที่คุณจะส่งไปยังแบบฟอร์มออนไลน์ซึ่งจะเดินทางจากคอมพิวเตอร์ของคุณไปยังเซิร์ฟเวอร์ของเว็บไซต์

Heartbleed ใช้ประโยชน์จากสิ่งที่เรียกว่า "การเต้นของหัวใจ" ระหว่างคอมพิวเตอร์ของผู้ใช้และเซิร์ฟเวอร์ของเว็บไซต์โดยพื้นฐานแล้วเมื่อคุณเข้าถึงเว็บไซต์เว็บไซต์จะตอบกลับเพื่อแจ้งให้คอมพิวเตอร์ของคุณทราบว่ามีการใช้งานอยู่และรอคำขอของคุณด้วยการเต้นของหัวใจ การเต้นของหัวใจควรจะตอบสนองเท่ากับจำนวนข้อมูลที่คอมพิวเตอร์ของคุณส่งเมื่อทำการร้องขอ อย่างไรก็ตามข้อบกพร่องในซอฟต์แวร์ช่วยให้แฮ็กเกอร์สามารถขอข้อมูลเพิ่มเติมจากหน่วยความจำเซิร์ฟเวอร์เกินกว่าข้อมูลทั้งหมดของคำขอเริ่มต้นได้ถึง 65,536 ไบต์ ข้อมูลเพิ่มเติมที่ได้รับในคำขอนี้อาจมีตั้งแต่รหัสผ่านไปจนถึงรายละเอียดบัตรเครดิตที่บุคคลอื่นส่งมา (ดูการ์ตูนด้านบน)

ข้อผิดพลาด Heartbleed กล่าวได้ว่าเป็นความผิดพลาดโดยสุจริตของโปรแกรมเมอร์ Robin Seggelmann ซึ่งได้เพิ่มซอฟต์แวร์โอเพ่นซอร์ส OpenSSL ในวันส่งท้ายปีเก่า 2011 ซึ่งหมายความว่าช่องโหว่ด้านความปลอดภัยมีมานานกว่า 2 ปีแล้วและที่เลวร้ายที่สุด ส่วนหนึ่งคือไม่มีทางที่จะบอกได้ว่าแฮ็กเกอร์ได้ร้องขอข้อมูลเพิ่มเติมจากการเต้นของหัวใจหรือไม่ กล่าวอีกนัยหนึ่งก็คือไม่มีทางบอกได้ว่าใครเคยขโมยรหัสผ่านหรือข้อมูลที่ละเอียดอ่อนอื่น ๆ จากเว็บไซต์หรือไม่

ฉันควรเปลี่ยนรหัสผ่านเมื่อใด

เว็บไซต์จำนวนมากนำเสนอรายการที่ให้คำแนะนำว่าคุณควรเปลี่ยนเว็บไซต์ใดและควรเปลี่ยนรหัสผ่านหรือไม่ อย่างไรก็ตามผู้เชี่ยวชาญด้านความปลอดภัยหลายคน (เช่น Bruce Schneier, Troy Hunt และคนที่ AgileBits) บอกว่าคุณต้องตรวจสอบสามสิ่ง:

  1. ไซต์ (หรือฮาร์ดแวร์ / แอปที่ Heartbleed ส่งผลกระทบมากกว่าเว็บไซต์) ใช้ OpenSSL เวอร์ชันที่เสี่ยงต่อ Heartbleed (เวอร์ชัน 1.0.1 มีนาคม 2555 ถึง 1.0.1f) เวอร์ชันที่มีการแก้ไขคือ 1.0.1g ซึ่งเผยแพร่เมื่อวันที่ 7 เมษายน 2014
  2. ไซต์ได้แก้ไขข้อบกพร่องของ OpenSSL
  3. ไซต์ต่ออายุคีย์ความปลอดภัยจากนั้นจึงออกใบรับรองความปลอดภัย (SSL) ใหม่

หากทั้งหมดนี้เป็นจัมโบ้ mumbo เกินไปสำหรับคุณมีรายงานว่า Heartbleed checker ของ LastPass เป็นวิธีการตรวจสอบที่น่าเชื่อถือที่สุดหากคุณไม่สามารถตรวจสอบด้วยตนเองได้ หากต้องการข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการตรวจสอบให้แน่ใจว่าไซต์พร้อมสำหรับการเปลี่ยนรหัสผ่านให้ไปที่ ITWorld

บางรายการบนอินเทอร์เน็ตของไซต์ที่คุณต้องเปลี่ยนรหัสผ่านได้ตรวจสอบแล้วเท่านั้นว่าเว็บไซต์นั้นได้แก้ไขข้อบกพร่องของ OpenSSL แล้วและยังไม่ได้ตรวจสอบว่ามีการออกใบรับรองความปลอดภัย (SSL) ใหม่หรือไม่ เนื่องจากเป็นไปไม่ได้ที่จะบอกได้ว่าเซิร์ฟเวอร์ตกเป็นเหยื่อของการโจมตี Heartbleed หรือไม่จึงไม่ชัดเจนว่าแฮ็กเกอร์อาจดาวน์โหลดคีย์ความปลอดภัยหรือไม่ซึ่งจะทำให้เว็บไซต์มีช่องโหว่หากขั้นตอนทั้งสามข้างต้นยังไม่เสร็จสมบูรณ์

เพิ่งแตกความท้าทายของ @CloudFlare: https://t.co/8ZPSxyKF4D ฉันสงสัยว่าพวกเขาจะอัปเดตเพจเมื่อใด

- Fedor Indutny (@indutny) 11 Nisan 2014

เมื่อเร็ว ๆ นี้เครือข่ายการกระจายเนื้อหา Cloudflare ได้ตรวจสอบความร้ายแรงของข้อบกพร่องโดยให้นักวิจัยลองใช้ Heartbleed เพื่อรับคีย์ความปลอดภัย SSL และล้มเหลว อย่างไรก็ตามเมื่อพวกเขาสร้างความท้าทายต่อสาธารณะแฮ็กเกอร์จากทีม Node.js ที่รู้จักกันในชื่อ Fedor สามารถดึงคีย์ SSL ส่วนตัวได้สำเร็จ

เราหวังว่านี่จะช่วยให้คุณเข้าใจ Heartbleed และคุณจะทำการเปลี่ยนแปลงรหัสผ่านที่จำเป็นและตรงตามกำหนดเวลาเพื่อความปลอดภัยของคุณทางออนไลน์ สุดท้ายนี้เราอยากจะเตือนคุณ ไม่ ใช้รหัสผ่านเดียวกันสำหรับทุกเว็บไซต์เพราะอาจเป็นหายนะ หากคุณไม่สามารถติดตามรหัสผ่านต่างๆได้เราขอแนะนำให้ใช้โปรแกรมเช่น LastPass

นอกจากนี้ตรวจสอบแคมเปญ Logme Once Kickstarter ซึ่งมีตัวจัดการรหัสผ่านความปลอดภัยแบบดิจิทัลตลอดจนอุปกรณ์จัดเก็บข้อมูล USB ที่ปลอดภัยและเครื่องชาร์จแบตเตอรี่มือถือในแพ็คเกจเดียว:

LogmeOnce ตอบสนองความต้องการในชีวิตประจำวัน วันนี้ใครไม่กังวลว่าจะโดนแฮ็กลืมรหัสผ่านหรือมีช่องโหว่เพราะรหัสผ่านที่คาดเดายาก LogmeOnce เสนอทางเลือกที่ปลอดภัยและใช้งานง่ายสำหรับข้อกังวลเหล่านี้และรหัสผ่านที่เขียนลงบนเศษกระดาษอย่างเร่งรีบ


ดูวิดีโอ: ผอำเกดจากอะไร? l รหรอไม - DYK (พฤศจิกายน 2021).