Heartbleed Explained 왜 지금 암호를 변경해야합니까?
가장 큰 보안 침해를 경고 한 마지막 순간에 Adobe의 암호 데이터베이스가 손상되어 수백만 명의 사용자 (특히 약하고 자주 사용되는 암호가있는 사용자)가 위험에 처하게되었습니다. 오늘 우리는 훨씬 더 큰 보안 문제 인 Heartbleed Bug에 대해 경고합니다.이 버그는 잠재적으로 인터넷상의 보안 웹 사이트의 2/3를 위협합니다. 비밀번호를 변경해야하며 지금 시작해야합니다..
중요 : How-To Geek은이 버그의 영향을받지 않습니다..
심령은 무엇이며 왜 그렇게 위험한가??
일반적인 보안 침해에서 단일 회사의 사용자 레코드 / 암호가 노출됩니다. 그것이 일어날 때 그것은 지독한 것이지만 그것은 고립 된 일입니다. 회사 X는 보안 위반 사항이 있으며 사용자에게 경고를 보내며 우리 같은 사람들은 모든 사람에게 좋은 보안 위생을 실천하고 암호를 업데이트 할 때가되었음을 상기시킵니다. 불행히도, 전형적인 침해는 그대로 충분히 악합니다. Heartbleed 버그는 무언가가 많습니다., 많은, 보다 나쁜.
Heartbleed Bug는 안전한 전자 메일을 전자 메일로 보내거나 은행에 저장하고 다른 방식으로 상호 작용하는 동안 우리를 보호하는 매우 암호화 체계를 약화시킵니다. 다음은 공개적으로 버그를 발견하고 경고 한 보안 그룹 인 Codenomicon의 취약점에 대한 일반 영어 설명입니다.
The Heartbleed Bug는 널리 사용되는 OpenSSL 암호화 소프트웨어 라이브러리의 심각한 취약점입니다. 이 약점은 인터넷을 보호하는 데 사용되는 SSL / TLS 암호화를 통해 정상적인 상황에서 보호되는 정보를 도용 할 수 있습니다. SSL / TLS는 웹, 전자 메일, 인스턴트 메시징 (IM) 및 일부 가상 사설망 (VPN)과 같은 응용 프로그램에 대해 인터넷을 통해 통신 보안 및 개인 정보를 제공합니다..
The Heartbleed 버그는 인터넷상의 누구나 OpenSSL 소프트웨어의 취약한 버전으로 보호되는 시스템의 메모리를 읽을 수있게합니다. 이것은 서비스 공급자를 식별하고 트래픽, 사용자의 이름과 암호 및 실제 내용을 암호화하는 데 사용되는 비밀 키를 손상시킵니다. 이를 통해 공격자는 통신을 도청하고 서비스 및 사용자로부터 직접 데이터를 도용하며 서비스 및 사용자를 가장 할 수 있습니다..
그거 꽤 안좋은 데요? SSL을 사용하는 모든 웹 사이트의 대략 3 분의 2가 OpenSSL의 취약한 버전을 사용하고 있다는 것을 깨달았을 때 더 심하게 들립니다. 우리는 핫로드 포럼이나 소장 카드 게임 스왑 사이트와 같은 소규모 사이트를 다루는 것이 아니라 은행, 신용 카드 회사, 주요 전자 소매 업체 및 전자 메일 제공 업체와 이야기하는 것입니다. 게다가이 취약점은 약 2 년 동안 야생 상태였습니다. 적절한 지식과 기술을 갖춘 사람이 2 년 동안 사용하는 서비스의 로그인 자격 증명과 비공개 통신을 이용할 수있었습니다 (또한 Codenomicon이 실시한 테스트에 따르면 추적없이이를 수행함).
하트 블 (Heartbleed) 버그가 어떻게 작동하는지 더 잘 보여줍니다. 이 xkcd 만화를 읽으십시오..
악의적 인 공격으로 소탕 한 모든 신임장과 정보를 과시하지 않은 단체는 없지만 게임의이 시점에서 자주 방문하는 웹 사이트의 로그인 자격 증명이 손상되었다고 가정해야합니다.
포스트 하트 블 버그
대다수의 보안 침해 (이는 대대적으로 자격이 있음)는 사용자가 암호 관리 방법을 평가해야합니다. Heartbleed 버그의 광범위한 도달 범위를 감안할 때 이는 이미 원활하게 실행되는 암호 관리 시스템을 검토하거나 발을 들여 놓았다면이를 설정하는 완벽한 기회입니다.
암호를 즉시 변경하기 전에, 회사가 새로운 버전의 OpenSSL로 업그레이드 한 경우에만 취약점이 패치된다는 점에 유의하십시오. 그 이야기는 월요일에 깨졌으며, 모든 사이트에서 즉시 암호를 변경하려고하면 대부분의 사람들은 취약한 OpenSSL 버전을 실행했을 것입니다.
이제 주 중반에 대부분의 사이트가 업데이트 프로세스를 시작했으며 주말까지 많은 유명 웹 사이트가 전환 될 것이라고 가정하는 것이 합리적입니다..
여기 Heartbleed Bug checker를 사용하여 취약점이 아직 열려 있는지 또는 사이트가 앞서 언급 한 검사기의 요청에 응답하지 않더라도 LastPass의 SSL 날짜 검사기를 사용하여 문제의 서버가 해당 취약점을 업데이트했는지 확인할 수 있습니다 SSL 인증서가 최근에 출시되었습니다 (2014 년 4 월 7 일 이후에 업데이트 한 경우 취약성을 패치 한 좋은 지표 임). 노트 : 버그 검사기를 통해 howtogeek.com을 실행하면 처음에는 SSL 암호화를 사용하지 않았기 때문에 오류가 발생하고 해당 서버에서 영향을받는 소프트웨어가 실행되고 있지 않음을 확인했습니다.
즉, 이번 주말에 암호를 업데이트하는 데 좋은 주말을 보내고있는 것 같습니다. 첫째, 암호 관리 시스템이 필요합니다. LastPass를 시작하여 가장 안전하고 유연한 암호 관리 옵션 중 하나를 설정하는 방법에 대한 안내서를 확인하십시오. LastPass를 사용할 필요는 없지만 방문하는 모든 웹 사이트에 대해 독특하고 강력한 암호를 추적하고 관리 할 수있는 일종의 시스템이 필요합니다..
둘째, 비밀번호를 변경해야합니다. 이 가이드의 위기 관리 개요 인 이메일 비밀번호가 손상된 후 복구하는 방법은 비밀번호를 놓치지 않도록하는 훌륭한 방법입니다. 또한 여기에 인용 된 훌륭한 암호 위생의 기본 사항을 강조 표시합니다.
- 암호는 항상 서비스가 허용하는 최소 시간보다 길어야합니다.. 문제의 서비스가 6 ~ 20 자의 암호를 허용하는 경우 가장 긴 암호를 기억할 수 있습니다.
- 사전 단어를 암호의 일부로 사용하지 마십시오.. 비밀번호가 있어야합니다. 못 너무 간단해서 사전 파일을 이용한 간단한 스캔으로 발견 할 수 있습니다. 이름, 로그인 또는 전자 메일의 일부 또는 회사 이름이나 거리 이름과 같은 쉽게 식별 할 수있는 항목을 포함하지 마십시오. 또한 "qwerty"또는 "asdf"와 같은 일반적인 키보드 조합을 암호의 일부로 사용하지 마십시오.
- 비밀번호 대신 패스 프레이즈 사용. 암호 관리자를 사용하여 정말로 무작위 암호를 기억하지 않는다면 (예, 우리는 암호 관리자를 사용한다는 아이디어를 알고 있습니다) 암호를 암호로 변환하여 기억할 수 있습니다. 예를 들어 Amazon 계정의 경우 "나는 책을 읽는 것을 좋아합니다"라는 암호 문구를 쉽게 만들 수 있으며 "! luv2ReadBkz"와 같은 암호를 사용하면됩니다. 기억하기 쉽고 상당히 강하다..
셋째, 가능할 때마다 이중 인증을 사용하고자합니다. 간단하게 두 요소 인증에 대한 자세한 내용을 볼 수는 있지만 간단히 말해서 로그인에 추가 계층을 추가 할 수 있습니다.
예를 들어, Gmail의 경우 2 단계 인증을 사용하려면 로그인과 비밀번호뿐 아니라 Gmail 계정에 등록 된 휴대폰에 대한 액세스 권한이 필요하므로 새 컴퓨터에서 로그인 할 때 입력 할 문자 메시지 코드를 수락 할 수 있습니다.
2 단계 인증을 사용하면 로그인 및 비밀번호에 액세스 할 수있는 사람 (Heartbleed 버그와 같이)이 실제로 귀하의 계정에 액세스하는 것을 매우 어렵게 만듭니다.
보안 취약성, 특히 그와 같은 광범위한 영향을 미치는 보안 취약성은 절대로 재미있을 수는 없지만 암호 실습을 강화하고 고유하고 강력한 암호로 인해 발생했을 때 손상을 방지 할 수있는 기회를 제공합니다.