今すぐパスワードを変更する必要がある理由の説明
重大なセキュリティ侵害について最後に警告したのは、アドビのパスワードデータベースが危険にさらされ、何百万人ものユーザー(特にパスワードが弱く頻繁に再利用されるユーザー)が危険にさらされるときでした。今日、私たちは、インターネット上の安全なWebサイトの2/3という驚異的なセキュリティ上の問題、Heartbleed Bugについて警告しています。あなたはあなたのパスワードを変更する必要があります、そしてあなたは今それをやり始める必要があります.
重要な注意:How-To Geekはこのバグの影響を受けません.
心を傷つけているものとなぜそれがとても危険なのか?
典型的なセキュリティ侵害では、単一の会社のユーザーレコード/パスワードが公開されます。それが起こるときそれはひどいですが、それは孤立した事件です。 X社はセキュリティ違反を犯しており、彼らはユーザーに警告を発しています。そして私たちのような人々は皆に良いセキュリティ衛生の練習を始めてパスワードを更新する時が来たことを思い出させます。残念ながら、典型的な違反はそれ自体で十分に悪いものです。 Heartbleed Bugは多大なものです, ずっと, もっと悪い.
Heartbleed Bugは、電子メール、銀行取引、およびその他の点では安全であると考えているWebサイトとのやり取り中に私たちを保護する、非常に暗号化された方式を損ないます。これは、Codenomicon(一般の人々を発見し、このバグを知らせたセキュリティグループ)の脆弱性についてのわかりやすい説明です。
Heartbleed Bugは、人気の高いOpenSSL暗号ソフトウェアライブラリの深刻な脆弱性です。この弱点により、インターネットを保護するために使用されるSSL / TLS暗号化によって通常の条件下で保護されている情報を盗むことが可能になります。 SSL / TLSは、Web、電子メール、インスタントメッセージング(IM)、およびいくつかの仮想プライベートネットワーク(VPN)などのアプリケーションに対して、インターネットを介した通信セキュリティとプライバシーを提供します。.
Heartbleedバグにより、インターネット上の誰でもがOpenSSLソフトウェアの脆弱なバージョンによって保護されているシステムのメモリを読み取ることができます。これは、サービスプロバイダーを識別し、トラフィック、ユーザーの名前とパスワード、そして実際のコンテンツを暗号化するために使用される秘密鍵を危険にさらします。これにより、攻撃者は通信を盗聴し、サービスやユーザーから直接データを盗み取り、サービスやユーザーを偽装することができます。.
それはかなり悪いですね。 SSLを使用しているWebサイト全体の約3分の2がこの脆弱なバージョンのOpenSSLを使用していることに気付いた場合、さらに悪いことに思えます。私たちはホットロッドフォーラムやコレクティブルカードゲームのスワップサイトのような小規模なサイトについて話しているのではなく、銀行、クレジットカード会社、大手電子小売業者、電子メールプロバイダについて話しています。さらに悪いことに、この脆弱性は約2年間にわたって一般に普及しています。適切な知識とスキルを持った人があなたの使っているサービスのログイン認証情報と個人的なコミュニケーションを利用していた2年です(そしてCodenomiconが行ったテストによると、痕跡なしにそれをやっています)。.
Heartbleedバグがどのように機能するかについてのより良い例証のために。このxkcdコミックを読む.
彼らがエクスプロイトで吸い上げたすべての資格情報と情報を誇示することを先に行ったグループはありませんが、ゲームのこの時点では、頻繁に訪れるWebサイトのログイン資格情報が危険にさらされていると仮定する必要があります。.
Heartbleed Bugを投稿する
大多数のセキュリティ侵害(そしてこれは確かに大規模なものです)では、パスワード管理の慣例を評価する必要があります。 Heartbleed Bugが広範囲に及んでいることを考えると、これはすでにスムーズに実行されているパスワード管理システムを見直す、またはあなたが足を引きずっているのであれば、セットアップするための絶好の機会です。.
すぐにパスワードを変更することに取りかかる前に、同社が新しいバージョンのOpenSSLにアップグレードした場合にのみ、この脆弱性が修正されることに注意してください。月曜日に話は壊れました、そしてあなたがすべてのサイトのあなたのパスワードをすぐに変更することを急いだならば、それらのほとんどはまだOpenSSLの脆弱なバージョンを実行していたでしょう.
今、週の半ばに、ほとんどのサイトが更新のプロセスを始めています、そして週末までに大部分の知名度の高いWebサイトが切り替わったと仮定することは合理的です.
ここでHeartbleed Bugチェッカーを使用して脆弱性がまだオープンしているかどうかを確認したり、サイトが前述のチェッカーからの要求に応答しない場合でも、LastPassのSSL日付チェッカーを使用して問題のサーバーが更新されたかどうかを確認できます。最近SSL証明書(2014年4月7日以降に更新された場合は、この脆弱性が修正されたことを示す良い指標です。) 注意: バグチェッカーを使ってhowtogeek.comを実行した場合、最初はSSL暗号化を使用していないためエラーが発生します。また、影響を受けるソフトウェアがサーバーで実行されていないことも確認済みです。.
それは言った、それは今週末があなたのパスワードを更新することについて真剣になるために良い週末になるために形を整えているように見える。まず、パスワード管理システムが必要です。 LastPassの使用を開始するためのガイドを調べて、最も安全で柔軟なパスワード管理オプションの1つを設定してください。 LastPassを使用する必要はありませんが、アクセスするWebサイトごとに固有の強力なパスワードを追跡および管理できるようにするための何らかのシステムが必要です。.
第二に、あなたはあなたのパスワードを変更し始める必要があります。このガイドの危機管理の概要、電子メールのパスワードが侵害された後の回復方法は、パスワードを見逃さないようにするのに最適な方法です。ここに引用されているそれはまたよいパスワード衛生の基本を強調しています:
- パスワードは常にサービスで許可されている最小値よりも長くする必要があります。. 問題のサービスで6〜20文字のパスワードが許可されている場合は、最も長いパスワードを使用する必要があります。.
- パスワードの一部として辞書の単語を使用しないでください. あなたのパスワードは 決して 非常に単純であるため、辞書ファイルを使ったざっとスキャンするとそれが明らかになるでしょう。あなたの名前、ログインまたはEメールの一部、あるいはあなたの会社名や街路名のような他の識別しやすい項目を決して含めないでください。また、パスワードの一部として「qwerty」や「asdf」などの一般的なキーボードの組み合わせを使用しないでください。.
- パスワードの代わりにパスフレーズを使う. パスワードマネージャを使って本当にランダムなパスワードを覚えていないのであれば(はい、パスワードマネージャを使うという考えに本当に悩んでいることに気付くでしょう)、それらをパスフレーズに変えることでより強いパスワードを覚えることができます。たとえば、Amazonアカウントの場合は、「本を読むのが大好きです」という覚えやすいパスフレーズを作成し、それを「!luv2ReadBkz」のようなパスワードにまとめます。覚えるのは簡単です、そしてそれはかなり強いです.
3つ目は、可能な限り2要素認証を有効にしたいということです。ここで2要素認証の詳細を読むことができますが、要するにそれはあなたのログインに追加の識別層を追加することを可能にします.
たとえばGmailでは、2要素認証ではログイン名とパスワードだけでなく、Gmailアカウントに登録されている携帯電話にアクセスする必要があるため、新しいコンピュータからログインするときに入力するテキストメッセージコードを受け入れることができます。.
2要素認証が有効になっていると、ログインとパスワードにアクセスした人(ハートブリードバグの場合と同様)が実際にアカウントにアクセスするのが非常に困難になります。.
セキュリティの脆弱性、特にそのような広範囲に及ぶ意味を持つものは、決して楽しいものではありませんが、パスワード慣行を厳しくし、固有の強力なパスワードが発生した場合にその被害を防ぐための機会を提供します。.