Lần cuối cùng chúng tôi cảnh báo bạn về một vi phạm bảo mật lớn là khi cơ sở dữ liệu mật khẩu của Adobe bị xâm phạm, khiến hàng triệu người dùng (đặc biệt là những người có mật khẩu yếu và thường xuyên được sử dụng lại) gặp rủi ro. Hôm nay, chúng tôi đang cảnh báo bạn về một vấn đề bảo mật lớn hơn nhiều, Lỗi Heartbleed, có khả năng xâm phạm đến 2/3 số trang web bảo mật đáng kinh ngạc trên internet. Bạn cần thay đổi mật khẩu của mình và bạn cần bắt đầu thực hiện ngay bây giờ.

Lưu ý quan trọng: How-To Geek không bị ảnh hưởng bởi lỗi này.

Heartbleed là gì và tại sao nó lại nguy hiểm như vậy?

Trong vi phạm bảo mật điển hình của bạn, hồ sơ / mật khẩu người dùng của một công ty sẽ bị lộ. Điều đó thật kinh khủng khi nó xảy ra, nhưng đó là một chuyện riêng lẻ. Công ty X có một vi phạm bảo mật, họ đưa ra cảnh báo cho người dùng của họ và những người như chúng tôi nhắc nhở mọi người rằng đã đến lúc bắt đầu thực hành vệ sinh an ninh tốt và cập nhật mật khẩu của họ. Thật không may, những vi phạm điển hình đã đủ tồi tệ như nó vốn có. Rệp Heartbleed là một cái gì đó rất nhiều, nhiều, tệ hơn.

Lỗi Heartbleed phá hoại chính kế hoạch mã hóa bảo vệ chúng tôi trong khi chúng tôi gửi email, ngân hàng và tương tác với các trang web mà chúng tôi tin là an toàn. Dưới đây là mô tả đơn giản bằng tiếng Anh về lỗ hổng bảo mật từ Codenomicon, nhóm bảo mật đã phát hiện và cảnh báo công chúng về lỗi:

Heartbleed Bug là một lỗ hổng nghiêm trọng trong thư viện phần mềm mật mã OpenSSL phổ biến. Điểm yếu này cho phép đánh cắp thông tin được bảo vệ, trong điều kiện bình thường, bằng mã hóa SSL / TLS được sử dụng để bảo mật Internet. SSL / TLS cung cấp bảo mật thông tin liên lạc và quyền riêng tư qua Internet cho các ứng dụng như web, email, nhắn tin tức thì (IM) và một số mạng riêng ảo (VPN).

Lỗi Heartbleed cho phép bất kỳ ai trên Internet đọc bộ nhớ của hệ thống được bảo vệ bởi các phiên bản dễ bị tấn công của phần mềm OpenSSL. Điều này làm tổn hại đến các khóa bí mật được sử dụng để xác định các nhà cung cấp dịch vụ và mã hóa lưu lượng truy cập, tên và mật khẩu của người dùng cũng như nội dung thực tế. Điều này cho phép những kẻ tấn công nghe trộm thông tin liên lạc, đánh cắp dữ liệu trực tiếp từ các dịch vụ và người dùng và mạo danh các dịch vụ và người dùng.

Điều đó nghe có vẻ khá tệ, phải không? Nghe thậm chí còn tệ hơn khi bạn nhận ra khoảng 2/3 tất cả các trang web sử dụng SSL đang sử dụng phiên bản OpenSSL dễ bị tấn công này. Chúng tôi không nói về các trang web thời gian nhỏ như diễn đàn hot rod hoặc các trang web trao đổi trò chơi đánh bài thu thập, chúng tôi đang nói về các ngân hàng, công ty thẻ tín dụng, nhà bán lẻ điện tử lớn và nhà cung cấp email. Tệ hơn nữa, lỗ hổng này đã tồn tại trong khoảng hai năm. Đó là hai năm một người nào đó với kiến ​​thức và kỹ năng thích hợp có thể đã khai thác thông tin đăng nhập và thông tin liên lạc riêng tư của một dịch vụ bạn sử dụng (và theo thử nghiệm do Codenomicon tiến hành, làm điều đó mà không có dấu vết).

Để có một minh họa tốt hơn về cách hoạt động của lỗi Heartbleed. đọc truyện tranh xkcd này.

Mặc dù chưa có nhóm nào đưa ra để phô trương tất cả các thông tin đăng nhập và thông tin mà họ lấy được bằng cách khai thác, nhưng tại thời điểm này trong trò chơi, bạn phải giả định rằng thông tin đăng nhập cho các trang web mà bạn thường xuyên đã bị xâm phạm.

Phải làm gì khi đăng lỗi đau tim

Bất kỳ vi phạm bảo mật nào (và điều này chắc chắn đủ điều kiện trên quy mô lớn) đều yêu cầu bạn đánh giá các phương pháp quản lý mật khẩu của mình. Với phạm vi tiếp cận rộng rãi của Lỗi Heartbleed, đây là cơ hội hoàn hảo để xem xét hệ thống quản lý mật khẩu đã hoạt động trơn tru hoặc nếu bạn đang cố gắng thiết lập một hệ thống.

Trước khi bắt đầu thay đổi mật khẩu ngay lập tức, hãy lưu ý rằng lỗ hổng chỉ được vá nếu công ty đã nâng cấp lên phiên bản OpenSSL mới. Câu chuyện vỡ lở vào thứ Hai, và nếu bạn vội vàng thay đổi mật khẩu của mình ngay lập tức trên mọi trang web, thì hầu hết chúng vẫn đang chạy phiên bản OpenSSL dễ bị tấn công.

LIÊN QUAN: Cách chạy Kiểm tra Bảo mật Lần cuối (và Tại sao Không thể Chờ đợi)

Bây giờ, giữa tuần, hầu hết các trang web đã bắt đầu quá trình cập nhật và vào cuối tuần, thật hợp lý khi cho rằng phần lớn các trang web nổi tiếng sẽ được chuyển sang.

Bạn có thể sử dụng trình kiểm tra Lỗi Heartbleed tại đây để xem liệu lỗ hổng bảo mật vẫn còn mở hay ngay cả khi trang web không phản hồi các yêu cầu từ trình kiểm tra nói trên, bạn có thể sử dụng trình kiểm tra ngày SSL của LastPass để xem liệu máy chủ được đề cập đã cập nhật chưa. Chứng chỉ SSL gần đây (nếu họ cập nhật nó sau ngày 4/7/2014 thì đó là một dấu hiệu tốt cho thấy họ đã vá lỗ hổng bảo mật). Ghi chú: nếu bạn chạy howtogeek.com thông qua trình kiểm tra lỗi, nó sẽ trả về lỗi vì chúng tôi không sử dụng mã hóa SSL ngay từ đầu và chúng tôi cũng đã xác minh rằng máy chủ của chúng tôi không chạy bất kỳ phần mềm bị ảnh hưởng nào.

Điều đó nói rằng, có vẻ như cuối tuần này đang được định hình là một ngày cuối tuần tốt để bạn nghiêm túc cập nhật mật khẩu của mình. Đầu tiên, bạn cần một hệ thống quản lý mật khẩu. Hãy xem hướng dẫn của chúng tôi để bắt đầu với LastPass để thiết lập một trong những tùy chọn quản lý mật khẩu linh hoạt và an toàn nhất. Bạn không cần phải sử dụng LastPass, nhưng bạn cần một số loại hệ thống cho phép bạn theo dõi và quản lý một mật khẩu mạnh và duy nhất cho mọi trang web bạn truy cập.

Thứ hai, Bạn cần bắt đầu thay đổi mật khẩu của mình. Đề cương quản lý khủng hoảng trong hướng dẫn của chúng tôi, Cách khôi phục sau khi mật khẩu email của bạn bị xâm phạm, là một cách tuyệt vời để đảm bảo bạn không bỏ lỡ bất kỳ mật khẩu nào; nó cũng nêu bật những điều cơ bản về vệ sinh mật khẩu tốt, được trích dẫn ở đây:

  • Mật khẩu phải luôn dài hơn mức tối thiểu mà dịch vụ cho phép. Nếu dịch vụ được đề cập cho phép mật khẩu 6-20 ký tự, hãy chọn mật khẩu dài nhất mà bạn có thể nhớ.
  • Không sử dụng các từ trong từ điển như một phần của mật khẩu của bạn. Mật khẩu của bạn nên không bao giờ đơn giản đến mức quét qua tệp từ điển sẽ hiển thị tệp đó. Không bao giờ bao gồm tên của bạn, một phần của thông tin đăng nhập hoặc email, hoặc các mục dễ nhận dạng khác như tên công ty hoặc tên đường của bạn. Cũng tránh sử dụng các tổ hợp bàn phím phổ biến như “qwerty” hoặc “asdf” như một phần của mật khẩu của bạn.
  • Sử dụng cụm mật khẩu thay vì mật khẩu. Nếu bạn không sử dụng trình quản lý mật khẩu để ghi nhớ các mật khẩu thực sự ngẫu nhiên (vâng, chúng tôi nhận thấy rằng chúng tôi đang thực sự ấp ủ ý tưởng sử dụng trình quản lý mật khẩu) thì bạn có thể nhớ các mật khẩu mạnh hơn bằng cách chuyển chúng thành cụm mật khẩu. Ví dụ: đối với tài khoản Amazon của bạn, bạn có thể tạo cụm mật khẩu dễ nhớ “Tôi thích đọc sách” và sau đó viết mật khẩu đó thành mật khẩu như “! Luv2ReadBkz”. Nó dễ nhớ và nó khá mạnh.

Thứ ba, bất cứ khi nào có thể, bạn muốn bật xác thực hai yếu tố. Bạn có thể đọc thêm về xác thực hai yếu tố tại đây, nhưng tóm lại, nó cho phép bạn thêm một lớp nhận dạng bổ sung vào thông tin đăng nhập của mình.

LIÊN QUAN: Xác thực hai yếu tố là gì và tại sao tôi cần xác thực?

Ví dụ: với Gmail, xác thực hai yếu tố yêu cầu bạn không chỉ có thông tin đăng nhập và mật khẩu mà còn phải có quyền truy cập vào điện thoại di động đã đăng ký tài khoản Gmail của bạn để bạn có thể chấp nhận mã tin nhắn văn bản để nhập khi đăng nhập từ máy tính mới.

Với xác thực hai yếu tố được bật, rất khó để ai đó có quyền truy cập vào thông tin đăng nhập và mật khẩu của bạn (giống như họ có thể làm với Lỗi Heartbleed) thực sự truy cập vào tài khoản của bạn.


Các lỗ hổng bảo mật, đặc biệt là những lỗ hổng bảo mật có ảnh hưởng sâu rộng như vậy, không bao giờ là thú vị nhưng chúng tạo cơ hội cho chúng tôi thắt chặt các phương pháp mật khẩu của mình và đảm bảo rằng các mật khẩu mạnh và duy nhất sẽ ngăn chặn thiệt hại khi nó xảy ra.

Tham khảo (HowToGeek)