Bạn có nên thay đổi mật khẩu của mình vì đau lòng?

Nếu bạn đang vật lộn để hiểu được thông tin về Lỗ hổng Heartbleed, bạn không cô đơn. Một số báo cáo cho chúng tôi thay đổi tất cả mật khẩu trực tuyến của chúng tôi ngay lập tức, những báo cáo khác cảnh báo chúng tôi rằng điều này có thể gây hại nhiều hơn là tốt. Có rất nhiều thông tin sai lệch ngoài kia.

Điều cần thiết là bạn không hoảng sợ nhưng cũng không nên tự mãn. Tất cả chúng ta cần một sự pha trộn lỗi thời của ý thức và sự thận trọng thông thường.

Heartbleed là gì?

Trên nhiều máy chủ và dịch vụ web internet mà chúng tôi sử dụng, có một công nghệ bảo mật nguồn mở và miễn phí được gọi là OpenSSL. Nói một cách đơn giản, khi bạn thấy ổ khóa bên cạnh trang web URL, bạn có kết nối web an toàn và được mã hóa có thể được quản lý bởi OpenSSL phần mềm.

Cho đến nay, OpenSSL đã làm việc rất tốt Các kỹ sư mạng và người dùng như bạn đã rất hài lòng với dịch vụ mà nó đã cung cấp. Nhưng Google Security và Mật mã Gần đây đã phát hiện ra một lỗ hổng trong hệ thống được đặt tên là Đau lòng và công bố điều này với thế giới trên 7 tháng 4 2014. Các lỗi có thể đã tồn tại không được chú ý trong hai năm qua.

Nói một cách dễ hiểu Đau lòng là một lỗ hổng bộ nhớ máy chủ. Điều đó có nghĩa là toàn bộ cơ sở dữ liệu của tất cả khách hàng cho nhà bán lẻ trực tuyến yêu thích của bạn không bị tổn thương, nhưng bất kỳ giao dịch nào đang diễn ra tại thời điểm một trang web bị tấn công bởi tội phạm mạng đều có thể xảy ra. Đây là lý do tại sao bạn được một số chuyên gia khuyên nên tránh thực hiện các giao dịch quan trọng trực tuyến trong khi tình huống đang được giải quyết.

đồ họa đăng ký nội tâm

Đau lòng là một mối quan tâm lớn đối với các doanh nghiệp, nhiều trong số đó lưu trữ hàng ngàn giao dịch mỗi giờ. Một tội phạm mạng hăng hái có thể dễ dàng viết một công cụ thẩm vấn khai thác Đau lòng lỗi cứ sau vài giây, cho phép thu được khối lượng lớn dữ liệu khách hàng. Nó sẽ phụ thuộc hoàn toàn vào những gì đang được trao đổi tại thời điểm đó như những thông tin sẽ được trích xuất.

Nó giống như có ai đó đọc được suy nghĩ của bạn trong khi bạn đang đọc bài viết này. Họ sẽ không nhìn thấy toàn bộ bài viết, nhưng trong khoảnh khắc ngắn ngủi họ nhìn vào trong đầu bạn, họ sẽ thấy những từ bạn vừa đọc.

Bộ nhớ máy chủ chỉ hiện tại như giao dịch hoặc nhiệm vụ hiện tại mà nó đang hoàn thành. Do đó, không có khả năng bất kỳ giao dịch cũ nào từ vài phút, vài giờ hoặc vài ngày trước sẽ được lưu trữ trong bộ nhớ.

Bạn cần làm gì?

Để bắt đầu, đừng hoảng sợ. Một số người khuyên bạn nên thay đổi tất cả mật khẩu nhưng trừ khi bạn biết trang web bạn đang truy cập sử dụng OpenSSL, bạn có thể tự tạo thêm vấn đề bằng cách thay đổi cài đặt của mình.

Điều này một phần vì bạn có thể thay đổi mật khẩu trên máy chủ chưa được và do đó vẫn có một vấn đề trong khi nó vẫn dễ bị tổn thương. Nếu một trang web vẫn dễ bị tổn thương, mật khẩu mới của bạn cũng sẽ dễ bị tổn thương.

Kiểm tra với các trang web bạn sử dụng. Hầu hết các trang web đang thông báo nếu họ đã thực hiện bất kỳ thay đổi hoặc đã nhận ra một vấn đề. IFTTT, dịch vụ kết hợp phương tiện truyền thông xã hội phổ biến, đã gửi email cho toàn bộ cơ sở người dùng của mình, thông báo cho họ rằng các dịch vụ họ cung cấp đã được bảo mật.

Nếu bạn thiên về kỹ thuật và muốn tự mình xem, bạn có thể sử dụng nhiều cách khác nhau Đau lòng kiểm tra trang web kiểm tra xem dịch vụ bạn sử dụng có dễ bị tấn công không. Có những trang web hiện đang được liệt kê các trang web dễ bị tổn thương. Đây là tin tốt ở một số khía cạnh nhưng nó cũng có nghĩa là các trang web dễ bị tổn thương cũng đã được công bố cho tội phạm mạng tiềm năng. Nếu trang web của bạn nằm trong danh sách này, hãy đọc lời khuyên một cách cẩn thận, vì một số người nói rằng họ không tin rằng họ có bất kỳ vấn đề nào.

Nếu bạn vẫn không chắc chắn, hãy thay đổi mật khẩu, nhưng hãy sử dụng mật khẩu mà bạn sẽ nhớ để không cần lời nhắc từ trang web. Nó cũng nên là một mật khẩu mà bạn sẵn sàng thay đổi trong một vài ngày. Nhưng hãy nhớ rằng, bạn sẽ ngạc nhiên về số lượng trang web bạn sử dụng, tài khoản bạn có và mật khẩu bạn có thể đã quên. Nếu bạn quên mật khẩu, hãy tránh xa ngay bây giờ.

Các chuyên gia đang làm gì?

Nhiều dịch vụ đã được sửa. Các chuyên gia mạng không tự mãn và rất tập trung bảo mật. Các vấn đề như thế này rất hiếm nhưng làm cho những câu chuyện tin tức lớn. Nhiều người có thể đã gỡ bỏ vấn đề trước khi nó trở thành tin tức.

Một số dịch vụ web sẽ thông báo nếu chúng đã được vá và an toàn nhưng bạn không nhất thiết phải lo lắng nếu trang web yêu thích của bạn không đưa ra thông báo. Cơ hội là nó không bao giờ sử dụng OpenSSL ở nơi đầu tiên.

Sẽ có vấn đề khác?

Không thể tránh khỏi việc có thể có một số trang web sẽ không được vá vì đây không phải là các dịch vụ thương mại chính đang được chăm sóc bởi các nhà cung cấp. Luôn có tiềm năng cho các vấn đề khác được tìm thấy với OpenSSL hoặc các dịch vụ an toàn khác. SQL Injection, ví dụ, là một vấn đề đã được biết đến rộng rãi trong cộng đồng mạng trong 2012, nhưng đôi khi chúng tôi vẫn thấy các máy chủ vẫn cho phép khai thác này.

Nói chung, cách hành động tốt nhất của bạn là tìm hiểu những trang web nào trong cuộc sống số của bạn chạy trên OpenSSL. Các trang web lớn nhất sẽ liên lạc với bạn, nếu và khi họ cần.

Bài viết này lần đầu tiên xuất hiện trên Conversation

Từ quản trị trang web của InsideSelf: InsideSelf hoạt động trên một hệ thống sử dụng OpenSSL nhưng chúng tôi đã sửa lỗ hổng ngay khi biết về Đau lòng. Chúng tôi chỉ giữ tên của bạn (tên đầu tiên là đủ) và gửi email cho Đăng ký bản tinCảm hứng hàng ngày. Không có con người nhìn vào nó và nó không bao giờ được chia sẻ với bất cứ ai khác. Vì chúng tôi không xử lý thẻ tín dụng trực tuyến, nên không có thông tin nào của bạn có sẵn. Chúng tôi cung cấp SSL để bạn có thể đọc Nội tâm trong các điều kiện không thể truy cập nếu bạn muốn (https://innerself.com/content/).

Lưu ý

thợ rènAndrew Smith là Giảng viên về Mạng tại Đại học Mở. tác giả và giám khảo cao cấp có kiến ​​thức về Mạng lưới 'cơ sở hạ tầng', cũng như một số chương trình đang có một chút lỗi thời và an ninh mạng (an ninh mạng). Trọng tâm học tập chính của ông là về các công nghệ của Cisco như là một phần của chương trình Học viện Cisco.

Sách giới thiệu

Bảo vệ danh tính Internet của bạn: Bạn có khỏa thân trực tuyến không?
của Ted Claypoole và Theresa M. Payton.

1442212209Bảo vệ danh tính Internet của bạn: Bạn có khỏa thân trực tuyến không? giúp người đọc, cả trẻ và già, hiểu được ý nghĩa của các trang trực tuyến và danh tiếng của họ. Các tác giả cung cấp một hướng dẫn về nhiều cạm bẫy và rủi ro của các hoạt động trực tuyến nhất định và cung cấp một lộ trình để chịu trách nhiệm về danh tiếng trực tuyến của riêng bạn để thành công cá nhân và chuyên nghiệp.

Bấm vào đây cho thêm thông tin và / hoặc đặt mua cuốn sách này trên Amazon.