Dlaczego Heartbleed nie powinno zmuszać Cię do pośpiechu ze zmianą hasła… Jeszcze
Odkrycie błędu bezpieczeństwa Heartbleed wprawiło sieć w panikę z powodu niszczycielskiej luki w zabezpieczeniach OpenSSL.
W skali od 1 do 10 katastrof internetowych ta sytuacja ma miejsce aż do 11, według szanowanego analityka bezpieczeństwa Bruce'a Schneiera, który nie ma skłonności do maniakalnej przesady.
Krzyk „ZMIEŃ SWOJE HASŁO” wyrwał się z gardeł publikujących strony wykrętnymanewry, ale możesz chcieć wstrzymać się z szaleństwem resetowania hasła tylko przez kilka dni.
Dlatego:
Jak wyjaśniono przez twórcy 1Password – na które nie ma wpływu Heartbleed – wiele serwerów nie załatało swojej luki i prawdopodobnie nie przez kilka dni, co oznacza, że nowe hasło, które tworzysz, nadal może zostać skradzione i użyte w przyszły.
„W pewnym momencie będziesz musiał zmienić wiele haseł. Ale nie spiesz się, aby to zrobić jeszcze. Nie dotyczy to każdego serwera, a także tych, które muszą naprawić pewne rzeczy przed zmianą hasła. Jeśli zmienisz hasło, zanim serwery coś naprawią, nowe hasło również będzie podatne na przechwycenie.
Wszystko, co większość z nas może zrobić, to czekać w tym momencie. Przypuszczalnie różni dostawcy usług ogłoszą w ciągu najbliższych kilku dni, kiedy i czy użytkownicy powinni zmienić hasła lub mieć świadomość, że mogły zostać ujawnione inne poufne informacje”.
Więc co tak długo zajmuje dostawcom naprawienie rzeczy?
Najpierw muszą dowiedzieć się, czy są podatni na ataki, co wymaga od nich sprawdzenia, czy ich konkretna usługa SSL/TLS była na OPENSSL 1.0.1 – 1.0.1f. Po uaktualnieniu do stałej wersji OpenSSL (1.0.1g) będą musieli odwołać stare certyfikaty i załatwić sprawy z urzędami certyfikacji, aby uzyskać nowy.
W ciągu najbliższych kilku dni urzędy certyfikacji będą bardzo, bardzo zajęte.
Źródło: Zwinne bity