您可能已被要求更改电子邮件,在线帐户等的密码 ,但是请耐心等待。
危害Yahoo,Facebook甚至加拿大税务局等网站的帐户安全的安全漏洞使整个Internet倍受威胁。
如果您在新闻提要中看到一个红色的,空心的,滴落的心脏符号,那么是的,您可能已经听说过影响Internet的最新安全漏洞:Heartbleed 。
快速浏览有关Heartbleed的一些主要问题以及您可以采取的措施。
您如何确定自己是否受到影响?
真的像所有人所说的那样危险吗?
到底是什么?
但是,在所有这些信息中,很难准确地了解正在发生的事情。
什么是流血?
如果您曾经在浏览器中看到过锁定的挂锁徽标,或者使用https:协议访问过站点,那么您就熟悉OpenSSL。
Heartbleed是影响OpenSSL服务的错误,该服务是一个加密库,用于加密Internet上超过三分之二的网站上的数据。
Heartbleed错误暴露了保存在服务器RAM中的数据 ,这意味着几乎任何人都可以访问并且可以窥探Internet流量 ,即使该数据被认为是加密的也是如此。
闯入者(如果有的话)可以利用Heartbleed获得解密和读取最近通过服务器传递的所有加密数据所需的**和数据。
这是个问题吗?
自2012年以来,它就一直未被发现。
但是,请务必牢记Heartbleed 不是恶意软件或病毒 ,因此,受Heartbleed影响的网站可能不一定有任何数据被盗。
考虑到互联网上超过三分之二的网站和服务都使用OpenSSL,是的, Heartbleed是一个很大的问题 。
密码,电子邮件,用户名,通信-随便你说,由于Heartbleed,它可能以某种形式或其他形式可以访问。
只要它通过OpenSSL协议,就有人可能会非法访问它。
几乎所有形式的个人加密信息都容易受到Heartbleed的攻击。
所以,是的,这是一个问题。
如何判断您是否受到影响
虽然您不能确定自己的数据是否遭到破坏,但是有两种服务可以帮助您检查自己是否受到 Heartbleed的影响 。
确实,并非每项服务都受到Heartbleed的影响,但是安全起来总比对不起好 。
换句话说,该测试非常像黑客那样攻击网站 ,以测试该网站是否容易受到Heartbleed的攻击。
此Heartbleed测试将畸形的心跳发送到您选择的网站,提取大约80个字节的内存作为证明。
您所要做的就是输入要检查的网站域,然后单击“ 查看该网站是否容易受到Heartbleed攻击” 。
LastPass团队还为您提供了一个工具来检查受影响的站点。
如果您受到影响该怎么办
普遍的看法是立即更改您的密码,但是此建议忽略了一个关键事实: 如果站点尚未修复,则更改密码毫无意义 。
如果从检查中发现您在某个网站上拥有一个可能被Heartbleed盗用的帐户,则必须决定采取的措施。
某些网站和服务(例如Google)会明确指出这一点,但是肯定会有一些网站没有明确说明他们是否最终解决了该问题。
如前所述,Heartbleed不是简单的数据库泄漏,因此, 如果网站未解决问题 ,仅更改密码将无济于事。
现在,您可以使用上面列出的两个工具中的任何一个 ,或者在“可混搭”列表中查看该站点,以查看该服务是否仍然容易受到攻击。
如果该站点报告为不易受攻击,则更改密码可能更安全。
请注意,这两个工具和GitHub列表并未区分从不脆弱的服务和已修复的服务。
仅仅中断受影响的服务也可能会有所帮助,因为Heartbleed仅公开服务器RAM中的数据。
密码安全
是的,密码安全不仅限于每几个月更改一次密码。
虽然Heartbleed 不仅解决了密码安全性问题 ,但仍然是时候提醒自己一些确保在线帐户安全的最佳方法。
尽管两因素身份验证不一定能保护您免受Heartbleed的侵害,但这仍然是一个很好的安全措施,您绝对应该在支持它的任何服务上利用它。
换句话说,两要素身份验证不仅要求输入用户名和密码,还要求您键入验证码或使用智能手机应用程序进一步验证您的身份。
如果您不熟悉,两要素身份验证是一种基于两步而不是一个步骤来验证用户身份的方法。
无需记住大量不同的密码,甚至不必在多个网站上使用相同的密码。
这些工具的主要优点是它们将创建随机密码并为您管理它们。
您可能应该采取的另一种安全措施是使用工具为您生成和管理密码 。
结论
如果有的话,Heartbleed可以提醒我们,我们永远不能认为我们的个人数据安全 。
除了检查我们使用的服务并更改密码(如果它们已修复该漏洞)或休息一下并保持警惕(如果尚未更改)之外,这实际上完全在服务器管理员手中。
Heartbleed是一个严重的安全问题, 几乎会影响Internet上的每个人 ,而我们每个人对此无能为力。
翻译自: https://www.hongkiat.com/blog/everything-about-heartbleed/