Chưa được phân loại

Những điều bạn cần biết về Heartbleed và cách thay đổi mật khẩu của bạn

Những điều bạn cần biết về Heartbleed và cách thay đổi mật khẩu của bạn


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Nguồn ảnh:Heartbleed]

Vì vậy, bạn có thể đã nghe nói về Heartbleed gần đây và tất cả bạn bè của bạn có thể yêu cầu bạn thay đổi tất cả mật khẩu của mình. Tuy nhiên, trước khi thay đổi mật khẩu, bạn cần biết rằng trang web được đề cập đã sử dụng tất cả các bước cần thiết để bảo vệ chính nó khỏi Heartbleed, nếu không mật khẩu mới của bạn sẽ vẫn dễ bị tấn công. Một số danh sách nổi xung quanh cho bạn biết rằng các trang web đã sẵn sàng để thay đổi mật khẩu tuy nhiên chưa kiểm tra tất cả các bước bảo mật cần thiết. Đọc để tìm hiểu thêm:

P.S. Chúng tôi sẽ (cố gắng) giải thích chính xác vi phạm bảo mật Heartbleed là gì theo cách mọi người có thể hiểu và cũng cho bạn biết những điểm quan trọng về địa điểm và thời điểm bạn nên thay đổi mật khẩu của mình.

Lỗi Heartbleed là gì?

Web truyện tranh xkcd phác thảo một phim hoạt hình nhỏ giải thích Heartbleed theo kiểu đơn giản nhất mà chúng ta từng thấy:

Trước tiên, bạn cần biết rằng bảo mật web được cung cấp bởi phần mềm được gọi là OpenSSL (lớp cổng bảo mật), mã hóa (xáo trộn) dữ liệu được gửi đến và đi từ máy tính của người dùng và máy chủ trang web (nơi lưu trữ / lưu trữ trang web). Vì vậy, quan trọng, hãy nghĩ về những thứ chẳng hạn như tên người dùng, mật khẩu và thậm chí cả chi tiết thẻ tín dụng và địa chỉ mà bạn sẽ gửi tới các biểu mẫu trực tuyến, biểu mẫu đó sẽ đi từ máy tính của bạn đến máy chủ trang web.

Heartbleed tận dụng một thứ được gọi là "nhịp tim" giữa máy tính của người dùng và máy chủ của trang web - về cơ bản, khi bạn truy cập một trang web, trang web sẽ phản hồi để cho máy tính của bạn biết rằng nó đang hoạt động và đang chờ bạn yêu cầu. Nhịp tim được cho là một phản hồi tương đương với lượng dữ liệu mà máy tính của bạn đã gửi khi thực hiện yêu cầu. Tuy nhiên, một lỗi trong phần mềm cho phép tin tặc yêu cầu thêm dữ liệu từ bộ nhớ máy chủ vượt quá tổng dữ liệu của yêu cầu ban đầu lên đến 65 536 byte. Thông tin bổ sung nhận được trong yêu cầu này có thể chứa bất kỳ thứ gì từ mật khẩu đến chi tiết thẻ tín dụng mà người khác đã gửi (xem phim hoạt hình ở trên).

Lỗi Heartbleed được cho là một sai lầm trung thực của lập trình viên Robin Seggelmann, người đã thêm vào phần mềm mã nguồn mở OpenSSL vào đêm giao thừa năm 2011. Điều này có nghĩa là lỗ hổng bảo mật đã tồn tại hơn 2 năm nay và là lỗi tồi tệ nhất. một phần là không có cách nào để biết liệu một hacker có yêu cầu thêm thông tin từ nhịp tim hay không. Nói cách khác, không có cách nào để biết liệu có ai đã từng đánh cắp mật khẩu hoặc thông tin nhạy cảm khác từ một trang web hay không.

Khi nào tôi nên đổi mật khẩu?

Nhiều trang web cung cấp danh sách đưa ra lời khuyên về trang web nào bạn nên thay đổi và liệu bạn có nên thay đổi mật khẩu của mình hay không. Tuy nhiên, nhiều chuyên gia bảo mật (chẳng hạn như Bruce Schneier, Troy Hunt và những người ở AgileBits), nói rằng bạn cần kiểm tra ba điều:

  1. Trang web (hoặc phần cứng / ứng dụng như Heartbleed ảnh hưởng đến nhiều hơn các trang web) đang sử dụng phiên bản OpenSSL thực sự dễ bị tấn công bởi Heartbleed (phiên bản 1.0.1 tháng 3 năm 2012 đến 1.0.1f). Phiên bản có chứa bản sửa lỗi là 1.0.1g được phát hành vào ngày 7 tháng 4 năm 2014.
  2. Trang web đã vá lỗi OpenSSL.
  3. Trang web đã gia hạn khóa bảo mật và sau đó cấp chứng chỉ bảo mật (SSL) mới.

Nếu tất cả điều này hơi quá lố đối với bạn, thì có thông báo rằng trình kiểm tra Heartbleed của LastPass hiện là phương pháp kiểm tra đáng tin cậy nhất nếu bạn không thể tự kiểm tra theo cách thủ công. Để có cái nhìn sâu hơn về việc đảm bảo trang web đã sẵn sàng cho việc thay đổi mật khẩu, hãy truy cập ITWorld.

Một số danh sách trên internet các trang web mà bạn cần thay đổi mật khẩu chỉ kiểm tra xem các trang web đó đã vá lỗi OpenSSL hay chưa và chưa kiểm tra xem chứng chỉ bảo mật (SSL) mới đã được cấp hay chưa. Vì không thể biết được máy chủ có phải là nạn nhân của cuộc tấn công Heartbleed hay không, nên không rõ liệu hacker có thể đã tải xuống các khóa bảo mật hay không, điều này vẫn khiến trang web dễ bị tấn công nếu ba bước trên chưa được hoàn thành.

Vừa mới bẻ khóa thử thách của @CloudFlare: https://t.co/8ZPSxyKF4D. Tôi tự hỏi khi nào họ sẽ cập nhật trang.

- Fedor Indutny (@indutny) 11 Nisan 2014

Gần đây, mạng phân phối nội dung Cloudflare đã xem xét mức độ nghiêm trọng của lỗi này bằng cách yêu cầu các nhà nghiên cứu của họ thử và sử dụng Heartbleed để lấy khóa bảo mật SSL và không thành công. Tuy nhiên, khi họ đưa ra thử thách cho công chúng, một tin tặc từ nhóm Node.js có tên Fedor đã có thể lấy thành công các khóa SSL riêng tư.

Chúng tôi hy vọng điều này sẽ giúp ích cho sự hiểu biết của bạn về Heartbleed và rằng bạn sẽ thực hiện các thay đổi mật khẩu cần thiết và đúng thời hạn để đảm bảo an ninh trực tuyến của bạn. Cuối cùng, chúng tôi muốn nhắc bạn không phải sử dụng cùng một mật khẩu cho tất cả các trang web vì điều này có thể là thảm họa. Nếu bạn không thể theo dõi nhiều mật khẩu khác nhau thì chúng tôi khuyên bạn nên sử dụng một chương trình như LastPass.

Ngoài ra, hãy xem chiến dịch Logme Once Kickstarter cung cấp trình quản lý mật khẩu, bảo mật kỹ thuật số, cũng như thiết bị lưu trữ USB an toàn và bộ sạc pin di động trong một gói:

LogmeOnce đáp ứng nhu cầu hàng ngày. Ngày nay ai mà không lo lắng về việc bị tấn công, quên mật khẩu hoặc dễ bị tấn công vì mật khẩu yếu? LogmeOnce cung cấp một giải pháp thay thế an toàn, dễ sử dụng cho những mối lo ngại này và mật khẩu được viết vội vàng trên giấy nháp


Xem video: TP Link. Cách lấy lại pass wifi khi lỡ quên mật khẩu (Tháng Sáu 2022).


Bình luận:

  1. Shaktikasa

    Many thanks for your assistance in this matter, now I do not tolerate such errors.

  2. Jedd

    Tôi tham gia. Vì vậy, nó xảy ra. Chúng tôi sẽ xem xét câu hỏi này.

  3. Yerik

    Tôi đồng ý với tất cả những điều đã nói ở trên. Hãy để chúng tôi cố gắng thảo luận về vấn đề này. Ở đây, hoặc vào buổi chiều.

  4. Reade

    I agree with all of the above. We can communicate on this theme. Here or at PM.



Viết một tin nhắn