Miksi Heartbleed ei saisi kiirehtiä vaihtamaan salasanoja... vielä
Heartbleedin tietoturvaviruksen löytäminen pani verkon paniikkiin tuhoisan OpenSSL -haavoittuvuuden kanssa.
Asteikolla 1-10 Internet -katastrofeista tämä menee aina 11 asti, arvostetun turvallisuusanalyytikon Bruce Schneierin mukaan, joka ei ole altis maaniselle liioittelulle.
Huuto "VAIHDA SALASANASI" on puhjennut sivustojen kurkusta vältteleväliikkeitä, mutta saatat haluta pitää salasanan palautus hulluna vain muutaman päivän.
Tässä syy:
Kuten selitti 1Passwordin luojat - johon Heartbleed ei vaikuta - monet palvelimet eivät ole korjanneet haavoittuvuuttaan ja todennäköisesti ei muutamaan päivään, mikä tarkoittaa, että luomasi uusi salasana voidaan silti varastaa ja käyttää tulevaisuudessa.
”Jossain vaiheessa sinun on vaihdettava paljon salasanoja. Mutta älä kiirehdi tekemään sitä vielä. Tämä ei vaikuta kaikkiin palvelimiin, ja ne, joiden on korjattava asiat lopussa, ennen kuin vaihdat salasanasi. Jos vaihdat salasanasi ennen kuin palvelimet korjaavat asiat, myös uusi salasanasi on altis kaappaukselle.
Suurin osa meistä voi vain odottaa tässä vaiheessa. Oletettavasti eri palveluntarjoajat ilmoittavat lähipäivinä, milloin ja pitäisikö käyttäjien vaihtaa salasanoja tai olla tietoisia siitä, että muita luottamuksellisia tietoja on saatettu paljastaa. ”
Joten mikä vie palveluntarjoajilta niin kauan asioiden korjaamiseen?
Ensin heidän on selvitettävä, ovatko he haavoittuvia, mikä edellyttää, että he näkevät, oliko heidän tietty SSL/TLS -palvelunsa OPENSSL 1.0.1 - 1.0.1f. Kun he ovat päivittäneet OpenSSL: n kiinteään versioon (1.0.1g), heidän on peruutettava vanhat varmenteet ja selvitettävä asiat varmentajien kanssa uuden saamiseksi.
Varmenneviranomaiset ovat erittäin kiireisiä lähivuosina.
Lähde: AgileBits