מדוע Heartbleed לא צריך לגרום לך למהר לשנות סיסמאות... ובכל זאת
הגילוי של באג האבטחה Heartbleed שלח את האינטרנט לפאניקה בגלל הפגיעות ההרסנית של OpenSSL.
בסולם של 1 עד 10 של אסונות אינטרנט זה הולך כל הדרך עד 11לדברי אנליסט האבטחה המכובד ברוס שנייר, שאינו מועד להגזמה מאנית.
צווחה של "שנה את סיסמאותיך" פרצה מגרונם של אתרים המציגים מִתחַמֵקתמרונים, אבל אולי תרצה להתעכב על איפוס סיסמה-מטורף למשך מספר ימים בלבד.
הנה למה:
כפי שהוסבר על ידי יוצרי 1Password - שאינו מושפע מ- Heartbleed - שרתים רבים לא תיקנו את הפגיעות שלהם, וכנראה לא לכמה ימים, מה שאומר שסיסמה חדשה שאתה יוצר עדיין יכולה להיגנב ולהשתמש בה עתיד.
"בשלב מסוים תצטרך לשנות הרבה סיסמאות. אבל אל תמהר לעשות זאת עדיין. לא כל שרת מושפע, ואלו שצריכים לתקן דברים בסוף שלהם לפני שתשנה את הסיסמה שלך. אם תשנה את הסיסמה שלך לפני שהשרתים יתקנו דברים, הסיסמה החדשה שלך תהיה גם פגיעה ללכידה.
כל מה שרובנו יכולים לעשות הוא לחכות בשלב זה. יש להניח כי ספקי שירותים שונים יודיעו בימים הקרובים מתי והאם על המשתמשים לשנות סיסמאות או להיות מודעים לכך שייתכן שנחשף מידע סודי אחר ".
אז מה לוקח לספקים כל כך הרבה זמן לתקן את העניינים?
ראשית עליהם לברר אם הם פגיעים מה שמחייב אותם לבדוק אם שירות ה- SSL/TLS המסוים שלהם היה ב- OPENSSL 1.0.1 - 1.0.1f. לאחר שהם ישדרגו לגרסה הקבועה של OpenSSL (1.0.1g) הם יצטרכו לבטל אישורים ישנים ולסדר את הדברים מול רשויות האישור כדי להשיג תעודה חדשה.
רשויות התעודה הולכות להיות מאוד מאוד עסוקות בימים הקרובים.
מָקוֹר: AgileBits