Uncategorized

Wat u moet weten over Heartbleed en het wijzigen van uw wachtwoorden

Wat u moet weten over Heartbleed en het wijzigen van uw wachtwoorden

[Afbeeldingsbron:Heartbleed]

Misschien heb je de laatste tijd wel eens over Heartbleed gehoord en zeggen al je vrienden dat je al je wachtwoorden moet wijzigen. Voordat u uw wachtwoorden wijzigt, moet u echter weten dat de betreffende website in gebruik is allemaal de nodige stappen om zichzelf tegen Heartbleed te beschermen, anders blijft uw nieuwe wachtwoord net zo kwetsbaar. Sommige lijsten die rondzweven vertellen u dat sites gereed zijn voor wachtwoordwijzigingen, maar hebben niet alle noodzakelijke beveiligingsstappen gecontroleerd. Lees verder om meer te weten te komen:

P.S. We gaan (proberen) precies uit te leggen wat de Heartbleed-inbreuk op de beveiliging op een bepaalde manier is iedereen kan het begrijpen en laat u ook de belangrijke punten weten van waar en wanneer u uw wachtwoord moet wijzigen.

Wat is de Heartbleed-bug?

Webstrip xkcd schetste een kleine cartoon die Heartbleed op de eenvoudigste manier uitlegt die we hebben gezien:

Ten eerste moet u weten dat webbeveiliging wordt geboden door software die bekend staat als OpenSSL (Secure Sockets Layer), die de gegevens versleutelt (versleutelt) die van en naar de computer van een gebruiker en de server van de website (waar de website wordt gehost / opgeslagen) wordt verzonden. Dus belangrijker, denk aan dingen als gebruikersnamen, wachtwoorden en zelfs creditcard- en adresgegevens die u zou indienen bij online formulieren, die van uw computer naar de server van de website zouden gaan.

Heartbleed maakt gebruik van iets dat bekend staat als de "hartslag" tussen de computer van de gebruiker en de websiteserver - in feite, wanneer u een website bezoekt, zal de website reageren om uw computer te laten weten dat deze actief is en met een hartslag op uw verzoeken wacht. De hartslag moet een reactie zijn die gelijk is aan de hoeveelheid gegevens die uw computer heeft verzonden bij het indienen van het verzoek. Door een bug in de software kunnen hackers echter meer gegevens uit het servergeheugen opvragen dan de totale gegevens van het oorspronkelijke verzoek tot 65.536 bytes. Deze extra informatie die in het verzoek wordt ontvangen, kan van alles bevatten, van wachtwoorden tot creditcardgegevens die andere mensen hebben verzonden (zie de cartoon hierboven).

Er wordt gezegd dat de Heartbleed-bug een eerlijke fout is gemaakt door programmeur Robin Seggelmann, die op oudejaarsavond 2011 aan de open source software OpenSSL heeft toegevoegd. Dit betekent dat het beveiligingslek nu al meer dan 2 jaar bestaat en het ergste een deel is dat er geen manier is om te zien of een hacker een verzoek heeft gedaan om extra informatie van de hartslag. Met andere woorden, er is geen manier om te zien of iemand ooit wachtwoorden of andere gevoelige informatie van een website heeft gestolen.

Wanneer moet ik mijn wachtwoord wijzigen?

Veel websites bieden lijsten aan die advies geven over welke websites u moet wijzigen en of u uw wachtwoord al moet wijzigen. Veel beveiligingsexperts (zoals Bruce Schneier, Troy Hunt en de mensen van AgileBits) zeggen echter dat je drie dingen moet controleren:

  1. De site (of hardware / app zoals Heartbleed meer invloed heeft dan websites) gebruikte een versie van OpenSSL die eigenlijk kwetsbaar was voor Heartbleed (versies 1.0.1 maart 2012 tot en met 1.0.1f). De versie met de fix is ​​1.0.1g, die op 7 april 2014 werd uitgebracht.
  2. De site heeft de OpenSSL-bug gepatcht.
  3. De site heeft de beveiligingssleutels vernieuwd en vervolgens een nieuw beveiligingscertificaat (SSL) uitgegeven.

Als dit allemaal een beetje te dom voor je is, wordt gemeld dat de Heartbleed-checker van LastPass momenteel de meest betrouwbare controlemethode is als je jezelf niet handmatig kunt controleren. Ga naar ITWorld voor meer informatie over het controleren of een site gereed is voor wachtwoordwijzigingen.

Sommige lijsten op het internet van sites waarvoor u uw wachtwoord moet wijzigen, hebben alleen gecontroleerd of de websites bijvoorbeeld de OpenSSL-bug hebben gepatcht en hebben niet gecontroleerd of er nieuwe veiligheidscertificaten (SSL) zijn uitgegeven. Omdat het onmogelijk is om te zeggen of een server het slachtoffer is geweest van een Heartbleed-aanval, is het onduidelijk of een hacker beveiligingssleutels heeft gedownload, waardoor de website nog steeds kwetsbaar zou zijn als de drie bovenstaande stappen niet zijn voltooid.

Zojuist de uitdaging van @CloudFlare gekraakt: https://t.co/8ZPSxyKF4D. Ik vraag me af wanneer ze de pagina zullen updaten.

- Fedor Indutny (@indutny) 11 Nisan 2014

Onlangs onderzocht het contentdistributienetwerk Cloudflare de ernst van de bug door zijn onderzoekers ertoe aan te zetten Heartbleed te gebruiken om SSL-beveiligingssleutels te verkrijgen en dat mislukte. Toen ze de uitdaging echter aan het publiek voorlegden, kon een hacker van het Node.js-team, bekend als Fedor, met succes de privé-SSL-sleutels ophalen.

We hopen dat dit uw begrip van Heartbleed helpt en dat u de nodige en getimede wachtwoordwijzigingen zult doorvoeren om uw online veiligheid te garanderen. Als laatste punt willen we u eraan herinneren niet om voor alle websites hetzelfde wachtwoord te gebruiken, aangezien dit rampzalig kan zijn. Als u niet zoveel verschillende wachtwoorden kunt bijhouden, raden we u aan een programma als LastPass te gebruiken.

Bekijk ook de Logme Once Kickstarter-campagne die een wachtwoordbeheerder, digitale beveiliging, evenals een veilig USB-opslagapparaat en mobiele batterijlader in één pakket biedt:

LogmeOnce vervult een dagelijkse behoefte. Wie maakt zich tegenwoordig geen zorgen om gehackt te worden, hun wachtwoorden te vergeten of gewoon kwetsbaar te zijn omdat ze zwakke wachtwoorden hebben? LogmeOnce biedt een veilig, gemakkelijk te gebruiken alternatief voor deze zorgen en haastig geschreven wachtwoorden op stukjes papier


Bekijk de video: Heartbleed explained in under 2 minutes (Juli- 2021).