Important note: How-To Geek is not affected by this bug.
Apa yang Heartbleed dan Mengapa Ini Begitu Berbahaya?
Dalam pelanggaran keamanan khas Anda, catatan pengguna / sandi perusahaan tunggal dibuka. Itu mengerikan ketika itu terjadi, tetapi itu adalah urusan yang terisolasi. Perusahaan X melakukan pelanggaran keamanan, mereka mengeluarkan peringatan kepada penggunanya, dan orang-orang seperti kami mengingatkan setiap orang bahwa sudah waktunya untuk mulai mempraktekkan kebersihan keamanan yang baik dan memperbarui kata sandi mereka. Mereka, sayangnya, tipikal pelanggaran cukup buruk seperti itu. The Heartbleed Bug adalah sesuatu yang banyak,banyak, lebih buruk.
The Heartbleed Bug merusak skema enkripsi yang melindungi kita ketika kita mengirim email, bank, dan berinteraksi dengan situs web yang kita yakini aman. Berikut ini adalah deskripsi bahasa Inggris sederhana tentang kerentanan dari Codenomicon, grup keamanan yang menemukan dan memperingatkan publik tentang bug:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Kedengarannya sangat buruk, ya? Kedengarannya lebih buruk ketika Anda menyadari sekitar dua pertiga dari semua situs web menggunakan SSL menggunakan versi OpenSSL yang rentan ini. Kami tidak berbicara situs kecil seperti forum hot rod atau situs pertukaran permainan kartu yang dapat ditagih, kami membicarakan bank, perusahaan kartu kredit, pengecer e-mail besar dan penyedia email. Parahnya lagi, kerentanan ini telah berada di alam liar selama sekitar dua tahun. Itu berarti dua tahun seseorang dengan pengetahuan dan keterampilan yang sesuai dapat menggunakan kredensial info masuk dan komunikasi pribadi dari layanan yang Anda gunakan (dan, menurut pengujian yang dilakukan oleh Codenomicon, melakukannya tanpa jejak).
Untuk ilustrasi yang lebih baik tentang bagaimana bug Heartbleed bekerja. baca komik xkcd ini.
Apa yang Harus Dilakukan Post Heartbleed Bug
Setiap pelanggaran keamanan mayoritas (dan ini tentu saja memenuhi syarat dalam skala besar) mengharuskan Anda untuk menilai praktik manajemen kata sandi Anda. Mengingat jangkauan luas dari Heartbleed Bug, ini adalah kesempatan sempurna untuk meninjau sistem pengelolaan kata sandi yang sudah lancar atau, jika Anda telah menyeret kaki Anda, untuk menyiapkannya.
Sebelum Anda masuk ke dalam segera mengubah kata sandi Anda, ketahuilah bahwa kerentanan hanya ditambal jika perusahaan telah meningkatkan ke versi baru OpenSSL. Ceritanya pecah pada hari Senin, dan jika Anda bergegas keluar untuk segera mengubah kata sandi Anda di setiap situs, sebagian besar dari mereka akan tetap menjalankan versi rentan OpenSSL.
Sekarang, pertengahan minggu, sebagian besar situs telah memulai proses pembaruan dan pada akhir pekan masuk akal untuk menganggap sebagian besar situs web profil tinggi akan beralih.
Anda dapat menggunakan Checker Heartbleed di sini untuk melihat apakah kerentanan masih terbuka atau, bahkan jika situs tidak menanggapi permintaan dari pemeriksa yang disebutkan sebelumnya, Anda dapat menggunakan checker tanggal SSL LastPass untuk melihat apakah server yang bersangkutan telah memperbarui mereka Sertifikat SSL baru-baru ini (jika mereka memperbaruinya setelah 4/7/2014, itu adalah indikator yang baik bahwa mereka telah memperbaiki kerentanan.) catatan: jika Anda menjalankan howtogeek.com melalui pemeriksa bug, ini akan mengembalikan kesalahan karena kami tidak menggunakan enkripsi SSL sejak awal, dan kami juga telah memverifikasi bahwa server kami tidak menjalankan perangkat lunak apa pun yang terpengaruh.
Yang mengatakan, sepertinya akhir pekan ini adalah akhir pekan yang baik untuk serius memperbarui kata sandi Anda. Pertama, Anda membutuhkan sistem manajemen kata sandi. Lihat panduan kami untuk memulai dengan LastPass untuk menyiapkan salah satu opsi manajemen kata sandi yang paling aman dan fleksibel di sekitar. Anda tidak perlu menggunakan LastPass, tetapi Anda perlu semacam sistem di tempat yang memungkinkan Anda melacak dan mengelola kata sandi yang unik dan kuat untuk setiap situs web yang Anda kunjungi.
Kedua, Anda harus mulai mengubah kata sandi Anda. Garis besar manajemen krisis dalam panduan kami, Cara Memulihkan Setelah Kata Sandi Email Anda Terganggu, adalah cara yang bagus untuk memastikan Anda tidak ketinggalan kata sandi; ini juga menyoroti dasar-dasar kebersihan kata sandi yang baik, dikutip di sini:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Ketiga, kapan pun Anda ingin mengaktifkan otentikasi dua faktor. Anda dapat membaca lebih lanjut tentang otentikasi dua faktor di sini, tetapi singkatnya memungkinkan Anda untuk menambahkan lapisan tambahan identifikasi untuk login Anda.
Dengan Gmail, misalnya, otentikasi dua faktor mengharuskan Anda untuk tidak hanya memasukkan login dan kata sandi Anda tetapi akses ke ponsel yang terdaftar ke akun Gmail Anda sehingga Anda dapat menerima kode pesan teks untuk dimasukkan ketika Anda masuk dari komputer baru.
Dengan otentikasi dua faktor memungkinkan itu membuat sangat sulit bagi seseorang yang telah memperoleh akses ke login dan kata sandi Anda (seperti mereka bisa dengan Bug Heartbleed) untuk benar-benar mengakses akun Anda.
Kerentanan keamanan, terutama yang memiliki implikasi sejauh ini, tidak pernah menyenangkan tetapi mereka menawarkan kesempatan bagi kami untuk memperketat praktik kata sandi kami dan memastikan bahwa kata sandi yang unik dan kuat menjaga kerusakan, ketika itu terjadi, terkandung.
