Terakhir kali kami memperingatkan Anda tentang pelanggaran keamanan besar adalah ketika basis data kata sandi Adobe dikompromikan, menempatkan jutaan pengguna (terutama yang memiliki kata sandi yang lemah dan sering digunakan kembali) berisiko. Hari ini kami memperingatkan Anda tentang masalah keamanan yang jauh lebih besar, Heartbleed Bug, yang berpotensi membahayakan 2/3 situs web yang aman di internet. Anda perlu mengubah kata sandi Anda, dan Anda harus mulai melakukannya sekarang.
Catatan penting: How-To Geek tidak terpengaruh oleh bug ini.
Dalam pelanggaran keamanan khas Anda, catatan / sandi pengguna tunggal perusahaan terekspos. Itu mengerikan ketika itu terjadi, tapi itu urusan terisolasi. Perusahaan X melakukan pelanggaran keamanan, mereka mengeluarkan peringatan kepada penggunanya, dan orang-orang seperti kami mengingatkan semua orang, sudah waktunya untuk mulai mempraktikkan keamanan yang baik dan memperbarui kata sandi mereka. Mereka, sayangnya, tipikal pelanggaran cukup buruk seperti itu. The Heartbleed Bug adalah sesuatu yang banyak,banyak, lebih buruk.
The Heartbleed Bug merusak skema enkripsi yang melindungi kita ketika kita mengirim email, bank, dan berinteraksi dengan situs web yang kita yakini aman. Berikut ini adalah deskripsi bahasa Inggris sederhana tentang kerentanan dari Codenomicon, grup keamanan yang menemukan dan memperingatkan publik tentang bug:
The Heartbleed Bug adalah kerentanan serius di perpustakaan perangkat lunak kriptografi OpenSSL yang populer. Kelemahan ini memungkinkan mencuri informasi yang dilindungi, dalam kondisi normal, oleh enkripsi SSL / TLS yang digunakan untuk mengamankan Internet. SSL / TLS memberikan keamanan dan privasi komunikasi melalui Internet untuk aplikasi seperti web, email, pesan instan (IM) dan beberapa virtual private networks (VPNs).
Bug Heartbleed memungkinkan siapa pun di Internet untuk membaca memori sistem yang dilindungi oleh versi rentan dari perangkat lunak OpenSSL. Ini kompromi kunci rahasia yang digunakan untuk mengidentifikasi penyedia layanan dan untuk mengenkripsi lalu lintas, nama dan kata sandi pengguna dan konten yang sebenarnya. Hal ini memungkinkan penyerang untuk menguping komunikasi, mencuri data langsung dari layanan dan pengguna serta menyamar sebagai layanan dan pengguna.
Kedengarannya sangat buruk, ya? Kedengarannya lebih buruk ketika Anda menyadari sekitar dua pertiga dari semua situs web menggunakan SSL menggunakan versi OpenSSL yang rentan ini. Kami tidak berbicara tentang situs kecil seperti forum hot rod atau situs pertukaran permainan kartu yang dapat ditagih, kami berbicara tentang bank, perusahaan kartu kredit, e-retailer besar dan penyedia e-mail. Parahnya lagi, kerentanan ini telah berada di alam liar selama sekitar dua tahun. Itu dua tahun seseorang dengan pengetahuan dan keterampilan yang sesuai bisa saja memanfaatkan kredensial masuk dan komunikasi pribadi dari layanan yang Anda gunakan (dan, menurut pengujian yang dilakukan oleh Codenomicon, melakukannya tanpa jejak).
Untuk ilustrasi yang lebih baik tentang bagaimana bug Heartbleed bekerja. baca komik xkcd ini.
Meskipun tidak ada kelompok yang maju untuk memamerkan semua kredensial dan informasi yang disedot dengan eksploit, pada titik ini dalam permainan Anda harus mengasumsikan bahwa kredensial masuk untuk situs web yang sering Anda teliti.
Setiap pelanggaran keamanan mayoritas (dan ini tentu saja memenuhi syarat dalam skala besar) mengharuskan Anda untuk menilai praktik manajemen kata sandi Anda. Mengingat jangkauan luas dari Heartbleed Bug, ini adalah kesempatan sempurna untuk meninjau sistem manajemen kata sandi yang sudah berjalan lancar atau, jika Anda telah menyeret kaki Anda, untuk menyiapkannya.
Sebelum Anda masuk ke dalam segera mengubah kata sandi Anda, ketahuilah bahwa kerentanan hanya ditambal jika perusahaan telah meningkatkan ke versi baru OpenSSL. Ceritanya pecah pada hari Senin, dan jika Anda bergegas keluar untuk segera mengubah kata sandi Anda di setiap situs, sebagian besar dari mereka akan tetap menjalankan versi rentan OpenSSL.
Sekarang, pertengahan minggu, sebagian besar situs telah memulai proses pembaruan dan pada akhir pekan masuk akal untuk mengasumsikan sebagian besar situs web profil tinggi akan beralih.
Anda dapat menggunakan Checker Heartbleed di sini untuk melihat apakah kerentanan masih terbuka atau, bahkan jika situs tidak menanggapi permintaan dari pemeriksa yang disebutkan sebelumnya, Anda dapat menggunakan checker tanggal SSL LastPass untuk melihat apakah server yang bersangkutan telah memperbarui mereka Sertifikat SSL baru-baru ini (jika mereka memperbaruinya setelah 4/7/2014, itu adalah indikator yang baik bahwa mereka telah memperbaiki kerentanan.)catatan: jika Anda menjalankan howtogeek.com melalui pemeriksa bug itu akan mengembalikan kesalahan karena kami tidak menggunakan enkripsi SSL di tempat pertama, dan kami juga telah memverifikasi bahwa server kami tidak menjalankan perangkat lunak yang terpengaruh.
Yang mengatakan, sepertinya akhir pekan ini adalah akhir pekan yang baik untuk serius memperbarui kata sandi Anda. Pertama, Anda membutuhkan sistem manajemen kata sandi. Lihat panduan kami untuk memulai dengan LastPass untuk menyiapkan salah satu opsi manajemen kata sandi yang paling aman dan fleksibel di sekitar. Anda tidak perlu menggunakan LastPass, tetapi Anda perlu semacam sistem di tempat yang akan memungkinkan Anda melacak dan mengelola kata sandi yang unik dan kuat untuk setiap situs web yang Anda kunjungi.
Kedua, Anda harus mulai mengubah kata sandi Anda. Garis besar manajemen krisis dalam panduan kami, Cara Memulihkan Setelah Kata Sandi Email Anda Terganggu, adalah cara terbaik untuk memastikan Anda tidak melewatkan kata sandi; ini juga menyoroti dasar-dasar kebersihan kata sandi yang baik, dikutip di sini:
- Kata sandi harus selalu lebih panjang dari minimum yang diizinkan oleh layanan. Jika layanan yang dimaksud memungkinkan kata sandi 6-20 karakter, masukkan kata sandi terpanjang yang dapat Anda ingat.
- Jangan gunakan kata-kata kamus sebagai bagian dari kata sandi Anda. Kata sandi Anda seharusnyatak pernahmenjadi sangat sederhana sehingga pemindaian sepintas dengan file kamus akan mengungkapkannya. Jangan pernah menyertakan nama Anda, bagian dari login atau email, atau item lain yang mudah diidentifikasi seperti nama perusahaan atau nama jalan Anda. Hindari juga menggunakan kombinasi keyboard umum seperti "qwerty" atau "asdf" sebagai bagian dari kata sandi Anda.
- Gunakan passphrases bukan kata sandi. Jika Anda tidak menggunakan pengelola kata sandi untuk mengingat kata sandi yang benar-benar acak (ya, kami menyadari kami benar-benar mengomentari ide menggunakan pengelola kata sandi), maka Anda dapat mengingat kata sandi yang lebih kuat dengan mengubahnya menjadi kata sandi. Untuk akun Amazon Anda, misalnya, Anda dapat membuat kata sandi yang mudah diingat "Saya suka membaca buku" dan kemudian crunch itu menjadi kata sandi seperti "! Luv2ReadBkz". Sangat mudah diingat dan itu cukup kuat.
Ketiga, kapan pun Anda ingin mengaktifkan otentikasi dua faktor. Anda dapat membaca lebih lanjut tentang otentikasi dua faktor di sini, tetapi singkatnya memungkinkan Anda untuk menambahkan lapisan tambahan identifikasi untuk login Anda.
Dengan Gmail, misalnya, otentikasi dua faktor mengharuskan Anda untuk tidak hanya memasukkan login dan kata sandi Anda tetapi akses ke ponsel yang terdaftar ke akun Gmail Anda sehingga Anda dapat menerima kode pesan teks untuk dimasukkan ketika Anda masuk dari komputer baru.
Dengan otentikasi dua faktor memungkinkan itu membuat sangat sulit bagi seseorang yang telah memperoleh akses ke login dan kata sandi Anda (seperti mereka bisa dengan Bug Heartbleed) untuk benar-benar mengakses akun Anda.
Kerentanan keamanan, terutama yang memiliki implikasi sejauh ini, tidak pernah menyenangkan tetapi mereka menawarkan kesempatan bagi kami untuk memperketat praktik kata sandi kami dan memastikan bahwa kata sandi yang unik dan kuat menjaga kerusakan, ketika itu terjadi, terkandung.