pt.phhsnews.com


pt.phhsnews.com / Heartbleed Explicado: Por que você precisa alterar suas senhas agora

Heartbleed Explicado: Por que você precisa alterar suas senhas agora


A última vez que alertamos você sobre uma violação importante de segurança foi quando o banco de dados de senhas da Adobe foi comprometido, colocando milhões de usuários senhas fracas e frequentemente reutilizadas) em risco. Hoje estamos avisando sobre um problema de segurança muito maior, o Bug Heartbleed, que potencialmente comprometeu um escalonamento de 2/3 dos sites seguros na Internet. Você precisa mudar suas senhas, e você precisa começar a fazer isso agora.

Nota importante: O How-To Geek não é afetado por esse bug.

O que é Heartbleed e por que é tão perigoso?

sua violação de segurança típica, os registros / senhas de usuário de uma única empresa são expostos. Isso é horrível quando isso acontece, mas é um caso isolado. A empresa X tem uma violação de segurança, eles emitem um aviso para seus usuários, e as pessoas como nós lembram a todos que é hora de começar a praticar uma boa higiene de segurança e atualizar suas senhas. Infelizmente, essas violações típicas já são ruins o suficiente. O Bug Heartbleed é algo muito, muito, pior.

O Bug Heartbleed enfraquece o esquema de criptografia que nos protege enquanto enviamos emails, fazemos transações bancárias e interagem com sites que acreditamos estar seguros. Aqui está uma descrição em inglês simples da vulnerabilidade do Codenomicon, o grupo de segurança que descobriu e alertou o público sobre o bug:

O Heartbleed Bug é uma séria vulnerabilidade na popular biblioteca de software criptográfico OpenSSL. Essa fraqueza permite roubar as informações protegidas, sob condições normais, pela criptografia SSL / TLS usada para proteger a Internet. O SSL / TLS fornece segurança de comunicação e privacidade na Internet para aplicativos como web, email, mensagens instantâneas (IM) e algumas redes privadas virtuais (VPNs).

O bug Heartbleed permite que qualquer pessoa na Internet leia a memória do sistemas protegidos pelas versões vulneráveis ​​do software OpenSSL. Isso compromete as chaves secretas usadas para identificar os provedores de serviços e criptografar o tráfego, os nomes e as senhas dos usuários e o conteúdo real. Isso permite que invasores escutem as comunicações, roubem dados diretamente dos serviços e usuários e representem serviços e usuários.

Isso soa muito ruim, sim? Parece ainda pior quando você percebe que cerca de dois terços de todos os sites usando SSL estão usando essa versão vulnerável do OpenSSL. Não estamos falando de sites de tempo pequeno como fóruns de hot rod ou sites de troca de jogos de cartas colecionáveis, estamos falando de bancos, empresas de cartão de crédito, grandes varejistas on-line e provedores de e-mail. Pior ainda, esta vulnerabilidade está em atividade há cerca de dois anos. Em dois anos, alguém com o conhecimento e as habilidades apropriados poderia estar acessando as credenciais de login e as comunicações privadas de um serviço que você usa (e, de acordo com os testes realizados pela Codenomicon, fazendo isso sem deixar vestígios).

melhor ilustração de como o bug Heartbleed funciona. leia este quadrinho xkcd.

Embora nenhum grupo tenha se apresentado para exibir todas as credenciais e informações que explorou com o exploit, neste ponto do jogo você deve assumir que as credenciais de login dos sites que você frequentou foram

O Que Fazer Bug de Post Heartbleed

Qualquer violação de segurança majoritária (e isso certamente se qualifica em grande escala) requer que você avalie suas práticas de gerenciamento de senha. Dado o amplo alcance do Bug Heartbleed, esta é uma oportunidade perfeita para rever um sistema de gerenciamento de senhas que já funciona tranquilamente ou, se você estiver arrastando seus pés, configurar um.

Antes de mergulhar na mudança imediata de suas senhas , saiba que a vulnerabilidade só é corrigida se a empresa tiver atualizado para a nova versão do OpenSSL. A história foi divulgada na segunda-feira, e se você corresse imediatamente para alterar suas senhas em todos os sites, a maioria deles ainda estaria executando a versão vulnerável do OpenSSL.

RELATED: Como executar uma auditoria de segurança do Last Pass (e por que não pode esperar)

Agora, no meio da semana, a maioria dos sites começou o processo de atualização e no fim de semana é razoável assumir a maioria dos sites de alto perfil.

Você pode usar o verificador de Bug Heartbleed aqui para ver se a vulnerabilidade ainda está aberta ou, mesmo que o site não esteja respondendo a solicitações do verificador acima mencionado, você pode usar o verificador de data SSL do LastPass para ver se o servidor em questão tiver atualizado seu certificado SSL recentemente (se ele tiver atualizado após 4/7/2014, é um bom indicador de que eles corrigiram a vulnerabilidade.) Observação: se você executar o phhsnews.com por meio de o verificador de erros retornará um erro porque não usamos criptografia SSL em primeiro lugar, e também verificamos que nossos servidores não estão executando nenhum software afetado.

Dito isso, parece que este fim de semana está dando forma para ser um bom fim de semana para levar a sério a atualização de suas senhas. Primeiro, você precisa de um sistema de gerenciamento de senha. Confira nosso guia de introdução ao LastPass para configurar uma das opções de gerenciamento de senhas mais seguras e flexíveis possíveis. Você não precisa usar o LastPass, mas precisa de algum tipo de sistema que permita rastrear e gerenciar uma senha única e forte para cada site que visitar.

Em segundo lugar, você precisa começar a alterar suas senhas. . O esboço de gerenciamento de crise em nosso guia, Como recuperar depois que sua senha de e-mail é comprometida, é uma ótima maneira de garantir que você não perca nenhuma senha; ele também destaca os princípios básicos de uma boa higiene de senha, citada aqui:

  • As senhas devem sempre ser maiores que o mínimo que o serviço permite para . Se o serviço em questão permitir senhas de 6 a 20 caracteres, use a senha mais longa que você pode lembrar.
  • Não use palavras do dicionário como parte de sua senha . Sua senha deve nunca ser tão simples que uma varredura superficial com um arquivo de dicionário a revele. Nunca inclua seu nome, parte do login ou e-mail ou outros itens facilmente identificáveis, como o nome da empresa ou o nome da rua. Evite também usar combinações de teclado comuns como “qwerty” ou “asdf” como parte de sua senha.
  • Use senhas em vez de senhas . Se você não estiver usando um gerenciador de senhas para lembrar senhas realmente aleatórias ( sim, percebemos que estamos realmente insistindo na idéia de usar um gerenciador de senhas), então você pode se lembrar de senhas mais fortes transformando-as em senhas. Para a sua conta da Amazon, por exemplo, você pode criar a frase-senha que lembra com facilidade "Adoro ler livros" e, depois, digitá-la em uma senha como "! Luv2ReadBkz". É fácil de lembrar e é bastante forte.

Em terceiro lugar, sempre que possível, você deseja ativar a autenticação de dois fatores. Você pode ler mais sobre a autenticação de dois fatores aqui, mas em resumo ele permite que você adicione uma camada adicional de identificação ao seu login

RELATED: O que é autenticação de dois fatores e por que eu preciso disso?

Com o Gmail, por exemplo, a autenticação de dois fatores exige que você tenha não apenas o seu login e senha, mas o acesso ao celular registrado na sua conta do Gmail, para que você possa aceitar um código de mensagem de texto quando fizer login em um novo computer.

Com a autenticação de dois fatores ativada, torna-se muito difícil para alguém que obteve acesso ao seu login e senha (como poderia com o Heartbleed Bug) acessar sua conta.


Vulnerabilidades de segurança, especialmente as com implicações tão abrangentes, nunca são divertidas, mas oferecem uma oportunidade para que possamos restringir nossas práticas de senha e garantir que senhas únicas e fortes mantenham o dano, quando ocorre, contido.


Que nome é correto, exFAT ou FAT64?

Que nome é correto, exFAT ou FAT64?

ÀS vezes pode ser um pouco confuso ou frustrante quando você vê algo mencionado por vários nomes, como exFAT e FAT64, por exemplo. Qual nome está correto ou ambos estão corretos? A postagem de perguntas e respostas do SuperUser de hoje tem a resposta para a pergunta de um curioso leitor. A sessão de Perguntas e Respostas é cortesia da SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas conduzido pela comunidade.

(how-to)

Por que o Windows 10 oferece duas versões diferentes do Microsoft Office

Por que o Windows 10 oferece duas versões diferentes do Microsoft Office

A Microsoft oferece duas versões diferentes do Office para Windows 10. Aplicativos de desktop tradicionais estão disponíveis para teclado e mouse e aplicativos universais estão disponíveis para toque. Mas não é assim tão simples. A versão desktop do Office ainda tem um modo de toque, e esses aplicativos universais do Office podem ser executados no Windows na área de trabalho.

(how-to)