Proč by vás Heartbleed neměl nutit spěchat se změnou hesel... Přesto
Zjištění bezpečnostní chyby Heartbleed přivádělo web do paniky s devastující zranitelností OpenSSL.
Na stupnici od 1 do 10 internetových katastrof to jde až do 11“, podle respektovaného bezpečnostního analytika Bruce Schneiera, který není náchylný k manické nadsázce.
Výkřik „ZMĚNTE HESLA“ se ozval z hrdel vydávajících stránek vyhýbavýmanévry, ale možná budete chtít několik dní odložit bláznivé obnovení hesla.
Zde je důvod:
Jak vysvětluje tvůrci 1Password - což není ovlivněno programem Heartbleed - mnoho serverů neopravilo svou zranitelnost a pravděpodobně nebude několik dní, což znamená, že nové heslo, které vytváříte, bude stále možné odcizit a použít v budoucnost.
"V určitém okamžiku budete muset změnit spoustu hesel." Ale zatím na to nespěchejte. Netýká se to všech serverů a těch, které potřebují opravit věci na svém konci, než si změníte heslo. Pokud změníte heslo dříve, než servery věci vyřeší, bude vaše nové heslo také náchylné k zachycení.
V tuto chvíli může většina z nás jen čekat. Různí poskytovatelé služeb pravděpodobně během několika příštích dnů oznámí, kdy a zda by uživatelé měli změnit hesla nebo si být vědomi toho, že mohly být zveřejněny další důvěrné informace. “
Co tedy poskytovatelům trvá tak dlouho, než věci vyřeší?
Nejprve musí zjistit, zda jsou zranitelní, což vyžaduje, aby zjistili, zda jejich konkrétní služba SSL/TLS byla na OPENSSL 1.0.1 - 1.0.1f. Poté, co upgradují na pevnou verzi OpenSSL (1.0.1g), budou muset zrušit staré certifikáty a vyřešit věci s certifikačními autoritami, aby získali nový.
Certifikační autority budou v příštích několika dnech velmi, velmi zaneprázdněné.
Zdroj: AgileBits