De laatste keer dat we u op de hoogte brachten van een groot beveiligingslek, was het feit dat de wachtwoorddatabase van Adobe werd aangetast, waardoor miljoenen gebruikers (vooral degenen met zwakke en vaak gebruikte wachtwoorden) in gevaar. Vandaag waarschuwen we u voor een veel groter beveiligingsprobleem, de Heartbleed-bug, die mogelijk een duizelingwekkende tweederde van de beveiligde websites op het internet heeft aangetast. U moet uw wachtwoorden wijzigen en u moet het nu doen.

Belangrijke opmerking: How-To Geek wordt niet beïnvloed door deze bug.

Wat is Heartbleed en waarom is het zo gevaarlijk?

uw typische beveiligingsinbreuk, de gebruikersgegevens / wachtwoorden van een enkel bedrijf worden zichtbaar. Dat is vreselijk als het gebeurt, maar het is een geïsoleerde aangelegenheid. Bedrijf X heeft een beveiligingsinbreuk, ze geven een waarschuwing aan hun gebruikers en de mensen zoals wij herinneren iedereen eraan dat het tijd is om te beginnen met het oefenen van goede veiligheidshygiëne en het updaten van hun wachtwoorden. Die, helaas, typische overtredingen zijn al erg genoeg. De Heartbleed-bug is iets veel, veel, erger.

De Heartbleed-bug ondermijnt het coderingsschema dat ons beschermt terwijl we e-mailen, bankieren en op andere manieren communiceren met websites die volgens ons veilig zijn. Hier is een duidelijke Engelse beschrijving van de kwetsbaarheid van Codenomicon, de beveiligingsgroep die het publiek heeft ontdekt en gewaarschuwd voor de bug:

De Heartbleed-bug is een ernstige kwetsbaarheid in de populaire cryptografische softwarebibliotheek OpenSSL. Door deze zwakte kan de informatie worden gestolen die onder normale omstandigheden wordt beschermd door de SSL / TLS-codering die wordt gebruikt om internet te beveiligen. SSL / TLS biedt communicatiebeveiliging en privacy via internet voor toepassingen zoals web, e-mail, instant messaging (IM) en sommige virtuele privénetwerken (VPN's).

De Heartbleed-bug stelt iedereen op internet in staat om het geheugen van de systemen die worden beschermd door de kwetsbare versies van de OpenSSL-software. Dit compromitteert de geheime sleutels die worden gebruikt om de serviceproviders te identificeren en om het verkeer, de namen en wachtwoorden van de gebruikers en de feitelijke inhoud te versleutelen. Hiermee kunnen aanvallers mededelingen afluisteren, gegevens direct van de services en gebruikers stelen en services en gebruikers nabootsen. Dat klinkt vrij slecht, ja? Het klinkt nog erger wanneer je je realiseert dat ongeveer tweederde van alle websites die SSL gebruiken deze kwetsbare versie van OpenSSL gebruiken. We hebben het niet over kleine websites zoals hot rod-forums of swap-sites voor verzamelaars, we hebben het over banken, creditcardmaatschappijen, grote e-retailers en e-mailproviders. Erger nog, deze kwetsbaarheid is al ongeveer twee jaar in het wild. Dat is twee jaar iemand met de juiste kennis en vaardigheden die de aanmeldingsreferenties en privécommunicatie van een dienst die u gebruikt had kunnen gebruiken (en, volgens de tests uitgevoerd door Codenomicon, het zonder een spoor doen). Voor een even betere illustratie van hoe de Heartbleed-bug werkt. lees dit xkcd-komiek.

Hoewel er geen groep naar voren is gekomen om alle inloggegevens en informatie te tonen die ze met de exploit hebben overstemd, moet je op dit moment in het spel aannemen dat de inloggegevens voor de websites die je regelmatig bezoekt gecompromitteerd.

Wat moet u doen? Post Heartbleed Bug

Elke meerderheidsbeveiligingsinbreuk (en deze komt zeker op grote schaal in aanmerking) vereist dat u uw procedures voor wachtwoordbeheer beoordeelt. Gezien het brede bereik van de Heartbleed-bug is dit een perfecte gelegenheid om een ​​reeds soepel lopend wachtwoordbeheersysteem te herzien of, als u uw voeten hebt gesleept, om een ​​wachtwoord in te stellen.

Voordat u begint met het onmiddellijk wijzigen van uw wachtwoorden , Houd er rekening mee dat het beveiligingslek alleen wordt gepatcht als het bedrijf een upgrade naar de nieuwe versie van OpenSSL heeft uitgevoerd. Het verhaal brak maandag en als je snel naar buiten zou gaan om onmiddellijk je wachtwoorden op elke site te wijzigen, zouden de meesten van hen nog steeds de kwetsbare versie van OpenSSL draaien.

GERELATEERD:

Hoe u een beveiligingsaudit uit de laatste doorloop kunt uitvoeren (en waarom deze niet kan wachten)

Nu, halverwege de week, zijn de meeste sites begonnen met het bijwerken en in het weekend is het redelijk om de meerderheid van de spraakmakende websites te accepteren zal zijn overgeschakeld. U kunt de Heartbleed Bug-controler hier gebruiken om te zien of het lek nog open is of dat, zelfs als de site niet reageert op verzoeken van de eerder genoemde checker, u de SSL-datumcontrole van LastPass kunt gebruiken om te zien als de betreffende server recentelijk hun SSL-certificaat heeft bijgewerkt (als ze deze hebben bijgewerkt na 4/7/2014 is dit een goede indicator dat ze het beveiligingslek hebben hersteld.)

Opmerking:

als u phhsnews.com uitvoert via de bug checker geeft een foutmelding omdat we in de eerste plaats geen SSL-codering gebruiken en we hebben ook geverifieerd dat onze servers geen getroffen software draaien. Dat gezegd hebbende, lijkt het erop dat dit weekend aan het vormgeven is een goed weekend zijn om serieus te worden over het updaten van je wachtwoorden. Ten eerste hebt u een wachtwoordbeheersysteem nodig. Bekijk onze gids om aan de slag te gaan met LastPass om een ​​van de meest veilige en flexibele opties voor wachtwoordbeheer in te stellen. U hoeft LastPass niet te gebruiken, maar u hebt wel een systeem nodig waarmee u een uniek en sterk wachtwoord kunt bijhouden en beheren voor elke website die u bezoekt. Ten tweede moet u beginnen met het wijzigen van uw wachtwoorden . Het overzicht van de crisisbeheersing in onze gids, Hoe te herstellen nadat uw e-mailwachtwoord is geweigerd, is een goede manier om ervoor te zorgen dat u geen wachtwoorden mist; Het geeft ook de basisprincipes van goede wachtwoordhygiëne aan, die hier worden aangehaald:

Wachtwoorden moeten altijd langer zijn dan het minimum dat de service toestaat voor

. Als de service in kwestie 6-20 tekens lang is, ga dan voor het langste wachtwoord dat u kunt onthouden.

• Gebruik geen woordenboekwoorden als onderdeel van uw wachtwoord . Uw wachtwoord zou
• nooit zo eenvoudig moeten zijn dat een vluchtige scan met een woordenboekbestand dit zou onthullen. Nooit uw naam, een deel van de login of e-mail of andere gemakkelijk identificeerbare items zoals uw bedrijfsnaam of straatnaam opnemen. Vermijd ook het gebruik van veelgebruikte toetsenbordcombinaties zoals "qwerty" of "asdf" als onderdeel van uw wachtwoord. Gebruik wachtzinnen in plaats van wachtwoorden .
• Als u geen wachtwoordbeheerder gebruikt om echt willekeurige wachtwoorden te onthouden ( ja, we realiseren ons dat we echt hameren op het idee om een ​​wachtwoordbeheerder te gebruiken), dan kun je sterkere wachtwoorden onthouden door ze in wachtzinnen te veranderen. Voor uw Amazon-account kunt u bijvoorbeeld de eenvoudig te onthouden wachtwoordzin "Ik ben dol op boeken lezen" maken en dat vervolgens in een wachtwoord als "! Luv2ReadBkz" verwerken. Het is gemakkelijk te onthouden en het is vrij krachtig. Ten derde, waar mogelijk wilt u two-factor authenticatie mogelijk maken. U kunt hier meer lezen over two-factor authenticatie, maar kort samengevat kunt u een extra identificatielaag toevoegen aan uw login. GERELATEERD:

Wat is authenticatie met twee factoren en waarom heb ik het nodig?

Met Gmail moet u voor authenticatie met twee factoren niet alleen uw aanmeldingsnaam en wachtwoord hebben, maar ook toegang tot de mobiele telefoon die is geregistreerd bij uw Gmail-account, zodat u een sms-code kunt accepteren om in te voeren wanneer u zich aanmeldt vanaf een nieuw computer. Met tweefactorauthenticatie ingeschakeld maakt dit het erg moeilijk voor iemand die toegang heeft gekregen tot uw login en wachtwoord (zoals ze konden met de Heartbleed-bug) om daadwerkelijk toegang tot uw account te krijgen.

Beveiligingskwetsbaarheden, vooral degenen met zulke verreikende implicaties, nooit leuk zijn, maar ze bieden ons wel een kans om onze wachtwoordpraktijken aan te scherpen en ervoor te zorgen dat unieke en sterke wachtwoorden de schade, wanneer die zich voordoet, behouden houden.

Welkom bij How-To Geek's Mental Health Awareness Day

Geestelijke gezondheid krijgt niet altijd de aandacht die het verdient. Tegenwoordig nemen we een pauze van de technologie voor enkele persoonlijke verhalen en nuttige handleidingen in een poging om het bewustzijn over depressie, angst en andere problemen te verspreiden. Geestelijke aandoeningen zijn niet altijd zo duidelijk en voor de hand liggend als fysieke.

(how-to)

Wat is het verschil tussen Sudo en Su in Linux?

Als u een Linux-gebruiker bent, hebt u waarschijnlijk verwijzingen naar sudo en su gezien. Artikelen hier over How-To Geek en elders instrueren Ubuntu-gebruikers om sudo en andere Linux-distributiegebruikers te gebruiken om su te gebruiken, maar wat is het verschil? Sudo en su zijn twee verschillende manieren om rootprivileges te verkrijgen.

(how-to)