Por que o Heartbleed não deveria fazer você se apressar em mudar as senhas... ainda
A descoberta do bug de segurança Heartbleed colocou a web em pânico com sua devastadora vulnerabilidade OpenSSL.
Em uma escala de 1 a 10 de catástrofes na Internet, este aqui vai todo o caminho até 11, de acordo com o respeitado analista de segurança Bruce Schneier, que não é propenso a exageros maníacos.
Um grito de “MUDE SUAS SENHAS” irrompeu da garganta do siteissuing evasivomanobras, mas você pode querer adiar a loucura de redefinição de senha por apenas alguns dias.
Aqui está o porquê:
Conforme explicado pelo criadores de 1Password - que não é afetado pelo Heartbleed - muitos servidores não corrigiram sua vulnerabilidade e provavelmente não o fará por alguns dias, o que significa que a nova senha que você está criando ainda pode ser roubada e usada no futuro.
“Você vai, em algum momento, precisar alterar muitas senhas. Mas não se apresse para fazer isso ainda. Nem todos os servidores são afetados, e aqueles que precisam são consertados antes de você alterar sua senha. Se você alterar sua senha antes que os servidores consertem as coisas, sua nova senha também ficará vulnerável à captura.
Tudo o que a maioria de nós pode fazer é esperar neste ponto. Presumivelmente, vários provedores de serviço anunciarão nos próximos dias quando e se os usuários devem alterar as senhas ou estar cientes de que outras informações confidenciais podem ter sido expostas. ”
Então, por que os provedores estão demorando tanto para consertar as coisas?
Primeiro, eles precisam descobrir se estão vulneráveis, o que exige que vejam se seu serviço SSL / TLS específico estava em OPENSSL 1.0.1 - 1.0.1f. Depois de atualizarem para a versão corrigida do OpenSSL (1.0.1g), eles terão que revogar certificados antigos e resolver as coisas com as autoridades de certificação para obter um novo.
As autoridades de certificação estarão muito, muito ocupadas nos próximos dias.
Fonte: AgileBits