Heartbleed explicou porque você precisa mudar suas senhas agora
A última vez que o alertamos sobre uma grande falha de segurança foi quando o banco de dados de senhas da Adobe foi comprometido, colocando em risco milhões de usuários (especialmente aqueles com senhas fracas e freqüentemente reutilizadas). Hoje estamos avisando sobre um problema de segurança muito maior, o Bug Heartbleed, que potencialmente comprometeu um escalonamento de 2/3 dos sites seguros na Internet. Você precisa alterar suas senhas e precisa começar a fazer isso agora.
Nota importante: How-To Geek não é afetado por este bug.
O que é Heartbleed e por que é tão perigoso?
Em sua violação de segurança típica, os registros / senhas de usuários de uma única empresa são expostos. Isso é horrível quando isso acontece, mas é um caso isolado. A empresa X tem uma violação de segurança, eles emitem um aviso para seus usuários, e as pessoas como nós lembram a todos que é hora de começar a praticar uma boa higiene de segurança e atualizar suas senhas. Infelizmente, essas violações típicas já são ruins o suficiente. O Bug Heartbleed é algo muito, Muito de, pior.
O Bug Heartbleed enfraquece o esquema de criptografia que nos protege enquanto enviamos emails, fazemos transações bancárias e interagem com websites que acreditamos estarem seguros. Aqui está uma descrição em inglês simples da vulnerabilidade do Codenomicon, o grupo de segurança que descobriu e alertou o público sobre o bug:
O Bug Heartbleed é uma vulnerabilidade séria na popular biblioteca de software criptográfico OpenSSL. Essa fraqueza permite roubar as informações protegidas, sob condições normais, pela criptografia SSL / TLS usada para proteger a Internet. O SSL / TLS fornece segurança de comunicação e privacidade na Internet para aplicativos como web, email, mensagens instantâneas (IM) e algumas redes privadas virtuais (VPNs).
O bug Heartbleed permite que qualquer pessoa na Internet leia a memória dos sistemas protegidos pelas versões vulneráveis do software OpenSSL. Isso compromete as chaves secretas usadas para identificar os provedores de serviços e para criptografar o tráfego, os nomes e as senhas dos usuários e o conteúdo real. Isso permite que invasores escutem as comunicações, roubem dados diretamente dos serviços e usuários e representem serviços e usuários.
Isso soa muito mal, sim? Parece ainda pior quando você percebe que cerca de dois terços de todos os sites usando SSL estão usando esta versão vulnerável do OpenSSL. Não estamos falando de sites de tempo limitado como fóruns de hot rod ou sites de troca de cartas colecionáveis, estamos falando de bancos, empresas de cartão de crédito, grandes varejistas on-line e provedores de e-mail. Pior ainda, esta vulnerabilidade está no ar há cerca de dois anos. Isso é dois anos, alguém com o conhecimento e as habilidades apropriadas poderia estar acessando as credenciais de login e as comunicações privadas de um serviço que você usa (e, de acordo com os testes realizados pela Codenomicon, fazendo isso sem deixar vestígios).
Para uma ilustração ainda melhor de como o bug Heartbleed funciona. leia esta história em quadrinhos xkcd.
Apesar de nenhum grupo ter se apresentado para exibir todas as credenciais e informações que exploraram com a exploração, neste ponto do jogo você deve assumir que as credenciais de login dos sites que você frequenta foram comprometidas..
O que fazer Bug Post Heartbleed
Qualquer violação de segurança majoritária (e isso certamente se qualifica em grande escala) exige que você avalie suas práticas de gerenciamento de senhas. Dado o amplo alcance do Bug Heartbleed, esta é uma oportunidade perfeita para rever um sistema de gerenciamento de senhas que já funciona bem ou, se você estiver arrastando os pés, configurar um.
Antes de começar a alterar imediatamente suas senhas, lembre-se de que a vulnerabilidade só é corrigida se a empresa tiver atualizado para a nova versão do OpenSSL. A história foi divulgada na segunda-feira, e se você corresse para trocar suas senhas imediatamente em todos os sites, a maioria deles ainda estaria executando a versão vulnerável do OpenSSL..
Agora, no meio da semana, a maioria dos sites começou o processo de atualização e no final de semana é razoável supor que a maioria dos sites de alto perfil tenha mudado.
Você pode usar o verificador de Bug Heartbleed aqui para ver se a vulnerabilidade ainda está aberta ou, mesmo que o site não esteja respondendo a solicitações do verificador mencionado, você pode usar o verificador de data SSL do LastPass para ver se o servidor em questão atualizou sua Certificado SSL recentemente (se eles foram atualizados após 07/04/2014, é um bom indicador de que eles corrigiram a vulnerabilidade.) Nota: se você executar o howtogeek.com através do verificador de erros, ele retornará um erro porque não usamos criptografia SSL em primeiro lugar, e também verificamos que nossos servidores não estão executando nenhum software afetado..
Dito isto, parece que este fim de semana está se preparando para ser um bom fim de semana para levar a sério a atualização de suas senhas. Primeiro, você precisa de um sistema de gerenciamento de senhas. Confira nosso guia de introdução ao LastPass para configurar uma das opções de gerenciamento de senhas mais seguras e flexíveis possíveis. Você não precisa usar o LastPass, mas precisa de um sistema que permita rastrear e gerenciar uma senha única e segura para todos os sites que visitar.
Em segundo lugar, você precisa começar a mudar suas senhas. O esboço de gerenciamento de crise em nosso guia, Como recuperar depois que sua senha de e-mail é comprometida, é uma ótima maneira de garantir que você não perca nenhuma senha; Ele também destaca os conceitos básicos de boa higiene de senha, citados aqui:
- As senhas devem sempre ser maiores que o mínimo que o serviço permite. Se o serviço em questão permitir senhas de 6 a 20 caracteres, use a senha mais longa que você pode lembrar.
- Não use palavras do dicionário como parte de sua senha. Sua senha deve Nunca ser tão simples que um exame superficial com um arquivo de dicionário o revelaria. Nunca inclua seu nome, parte do login ou e-mail ou outros itens facilmente identificáveis como o nome da sua empresa ou o nome da sua rua. Evite também usar combinações comuns de teclado como "qwerty" ou "asdf" como parte de sua senha.
- Use senhas em vez de senhas. Se você não está usando um gerenciador de senhas para lembrar senhas realmente aleatórias (sim, percebemos que estamos realmente falando sobre a idéia de usar um gerenciador de senhas), então você pode se lembrar de senhas mais fortes transformando-as em senhas. Para a sua conta da Amazon, por exemplo, você pode criar a frase-senha que lembra com facilidade "Adoro ler livros" e depois digitá-la em uma senha como "! Luv2ReadBkz". É fácil de lembrar e é bastante forte.
Terceiro, sempre que possível, você deseja ativar a autenticação de dois fatores. Você pode ler mais sobre a autenticação de dois fatores aqui, mas em resumo ele permite que você adicione uma camada adicional de identificação ao seu login..
Com o Gmail, por exemplo, a autenticação de dois fatores exige que você tenha não apenas o seu login e senha, mas o acesso ao celular registrado na sua conta do Gmail para que você possa aceitar um código de mensagem de texto quando fizer login em um novo computador.
Com a autenticação de dois fatores ativada, torna-se muito difícil para alguém que obteve acesso ao seu login e senha (como poderia com o Bug Heartbleed) acessar sua conta..
Vulnerabilidades de segurança, especialmente aquelas com implicações tão abrangentes, nunca são divertidas, mas oferecem uma oportunidade para que possamos restringir nossas práticas de senha e garantir que senhas únicas e fortes mantenham o dano, quando ocorre, contido.