Mengapa Heartbleed Tidak Harus Membuat Anda Terburu-buru Mengubah Kata Sandi... Namun
Penemuan bug keamanan Heartbleed membuat web panik dengan kerentanan OpenSSL yang menghancurkan.
Pada skala 1 hingga 10 dari bencana Internet yang satu ini terjadi sampai 11, menurut analis keamanan yang disegani Bruce Schneier, yang tidak cenderung berlebihan.
Jeritan "GANTI PASSWORD ANDA" telah meletus dari tenggorokan situs yang mengeluarkan mengelakmanuver, tetapi Anda mungkin ingin menunda melakukan pengaturan ulang sandi untuk beberapa hari saja.
Inilah alasannya:
Seperti yang dijelaskan oleh pencipta 1Password – yang tidak terpengaruh oleh Heartbleed – banyak server belum memperbaiki kerentanannya, dan mungkin tidak akan selama beberapa hari, yang berarti kata sandi baru yang Anda buat masih dapat dicuri dan digunakan di masa depan.
“Anda akan, pada titik tertentu, perlu mengubah banyak kata sandi. Tapi jangan terburu-buru untuk melakukannya dulu. Tidak semua server terpengaruh, dan server yang perlu memperbaiki semuanya sebelum Anda mengubah kata sandi Anda. Jika Anda mengubah kata sandi Anda sebelum server memperbaikinya, maka kata sandi baru Anda juga akan rentan untuk ditangkap.
Semua yang kebanyakan dari kita dapat lakukan adalah menunggu pada saat ini. Agaknya, berbagai penyedia layanan akan mengumumkan dalam beberapa hari ke depan kapan dan apakah pengguna harus mengubah kata sandi atau mengetahui bahwa informasi rahasia lainnya mungkin telah terungkap.”
Jadi apa yang membuat penyedia begitu lama untuk memperbaikinya?
Pertama mereka harus mencari tahu apakah mereka rentan yang mengharuskan mereka untuk melihat apakah layanan SSL/TLS khusus mereka ada di OPENSSL 1.0.1 – 1.0.1f. Setelah mereka meningkatkan ke versi tetap OpenSSL (1.0.1g), mereka harus mencabut sertifikat lama dan menyelesaikan masalah dengan otoritas sertifikat untuk mendapatkan yang baru.
Otoritas Sertifikat akan menjadi sangat, sangat sibuk dalam beberapa hari ke depan.
Sumber: AgileBits