Important note: How-To Geek is not affected by this bug.
क्या परेशान है और यह इतना खतरनाक क्यों है?
आपके सामान्य सुरक्षा उल्लंघन में, एक कंपनी के उपयोगकर्ता रिकॉर्ड / पासवर्ड का खुलासा किया जाता है। ऐसा होने पर यह भयानक है, लेकिन यह एक अलग संबंध है। कंपनी एक्स में सुरक्षा उल्लंघन है, वे अपने उपयोगकर्ताओं को चेतावनी जारी करते हैं, और हमारे जैसे लोग अच्छी सुरक्षा स्वच्छता का अभ्यास शुरू करने और अपने पासवर्ड अपडेट करने के लिए हर समय याद दिलाते हैं। दुर्भाग्य से, ठेठ उल्लंघनों के रूप में काफी बुरा है। हार्टबलेड बग कुछ ज्यादा है,बहुत, और भी बुरा।
हार्टबलेड बग बहुत एन्क्रिप्शन योजना को कमजोर करता है जो हमें ईमेल करता है, जबकि हम ईमेल, बैंक, और अन्यथा उन वेबसाइटों के साथ बातचीत करते हैं जिन्हें हम सुरक्षित मानते हैं। कोडेनोमिकॉन से भेद्यता का एक सादा-अंग्रेजी वर्णन यहां दिया गया है, सुरक्षा समूह जिसने जनता को बग में खोजा और चेतावनी दी:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
यह बहुत बुरा लगता है, हाँ? जब आप एसएसएल का उपयोग कर सभी वेबसाइटों का लगभग दो-तिहाई हिस्सा महसूस करते हैं तो यह और भी बदतर लगता है ओपनएसएसएल के इस कमजोर संस्करण का उपयोग कर रहे हैं। हम गर्म रॉड फ़ोरम या एकत्रित कार्ड गेम स्वैप साइट जैसी छोटी समय की साइटों पर बात नहीं कर रहे हैं, हम बैंक, क्रेडिट कार्ड कंपनियां, प्रमुख ई-खुदरा विक्रेताओं और ई-मेल प्रदाताओं से बात कर रहे हैं। इससे भी बदतर, यह भेद्यता लगभग दो वर्षों तक जंगली में रही है। उचित ज्ञान और कौशल वाले दो साल के लोग आपके द्वारा उपयोग की जाने वाली सेवा के लॉगिन प्रमाण-पत्र और निजी संचार में टैप कर रहे थे (और, कोडेनोमिकॉन द्वारा किए गए परीक्षण के अनुसार, बिना किसी निशान के इसे कर रहे हैं)।
हार्टबलेड बग कैसे काम करता है इसके बारे में एक बेहतर उदाहरण के लिए। इस xkcd कॉमिक पढ़ें।
हार्टबलेड बग पोस्ट करने के लिए क्या करें
कोई भी बहुमत सुरक्षा उल्लंघन (और यह निश्चित रूप से एक बड़े पैमाने पर अर्हता प्राप्त करता है) के लिए आपको अपने पासवर्ड प्रबंधन प्रथाओं का आकलन करने की आवश्यकता होती है। हार्टबलेड बग की विस्तृत पहुंच को देखते हुए यह एक पहले से ही चिकनी चलने वाले पासवर्ड प्रबंधन प्रणाली की समीक्षा करने का एक सही मौका है, या यदि आप एक सेट अप करने के लिए अपने पैरों को खींच रहे हैं।
अपने पासवर्ड को तुरंत बदलने में जाने से पहले, जागरूक रहें कि भेद्यता केवल तभी बनाई जाती है जब कंपनी ओपनएसएसएल के नए संस्करण में अपग्रेड हो। कहानी सोमवार को टूट गई, और यदि आप प्रत्येक साइट पर तुरंत अपने पासवर्ड बदलने के लिए बाहर निकल गए, तो उनमें से अधिकतर ओपनएसएसएल के कमजोर संस्करण को चला रहे होंगे।
अब, मध्य सप्ताह में, अधिकांश साइटों ने अद्यतन करने की प्रक्रिया शुरू कर दी है और सप्ताहांत तक यह मानना उचित है कि अधिकांश उच्च प्रोफ़ाइल वेबसाइटों पर स्विच हो जाएगा।
यह देखने के लिए कि यहां भेद्यता अभी भी खुली है या नहीं, भले ही साइट उपरोक्त चेकर से अनुरोधों का जवाब नहीं दे रही है, आप यह देखने के लिए हार्टबलेड बग चेकर का उपयोग कर सकते हैं, आप यह देखने के लिए लास्टपास के एसएसएल डेट चेकर का उपयोग कर सकते हैं कि प्रश्न में सर्वर ने अपडेट किया है या नहीं एसएसएल प्रमाण पत्र हाल ही में (यदि उन्होंने इसे 4/7/2014 के बाद अपडेट किया है तो यह एक अच्छा संकेतक है कि उन्होंने भेद्यता को पैच किया है।) ध्यान दें: यदि आप बग चेकर के माध्यम से howtogeek.com चलाते हैं तो यह एक त्रुटि लौटाएगा क्योंकि हम पहले स्थान पर SSL एन्क्रिप्शन का उपयोग नहीं करते हैं, और हमने यह भी सत्यापित किया है कि हमारे सर्वर किसी भी प्रभावित सॉफ़्टवेयर को नहीं चला रहे हैं।
ऐसा कहा जाता है, ऐसा लगता है कि इस सप्ताहांत आपके पासवर्ड अपडेट करने के बारे में गंभीर होने के लिए एक अच्छा सप्ताहांत बन रहा है। सबसे पहले, आपको पासवर्ड प्रबंधन प्रणाली की आवश्यकता है। LastPass के साथ शुरू करने के लिए हमारी मार्गदर्शिका देखें, ताकि आस-पास के सबसे सुरक्षित और लचीले पासवर्ड प्रबंधन विकल्पों में से एक स्थापित हो सके। आपको LastPass का उपयोग करने की आवश्यकता नहीं है, लेकिन आपको किसी प्रकार की प्रणाली की आवश्यकता है जो आपको आने वाली प्रत्येक वेबसाइट के लिए एक अद्वितीय और मजबूत पासवर्ड ट्रैक करने और प्रबंधित करने की अनुमति देगा।
दूसरा, आपको अपने पासवर्ड बदलने शुरू करना होगा। हमारी मार्गदर्शिका में संकट-प्रबंधन की रूपरेखा, आपके ईमेल पासवर्ड के बाद कैसे पुनर्प्राप्त करें समझौता किया गया है, यह सुनिश्चित करने का एक शानदार तरीका है कि आप किसी भी पासवर्ड को याद न करें; यह यहां पर उद्धृत अच्छी पासवर्ड स्वच्छता की मूल बातें भी दर्शाता है:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
तीसरा, जब भी संभव हो आप दो-कारक प्रमाणीकरण को सक्षम करना चाहते हैं। आप यहां दो-कारक प्रमाणीकरण के बारे में अधिक पढ़ सकते हैं, लेकिन संक्षेप में यह आपको अपने लॉगिन में पहचान की एक अतिरिक्त परत जोड़ने की अनुमति देता है।
जीमेल के साथ, उदाहरण के लिए, दो-कारक प्रमाणीकरण के लिए आपको केवल अपना लॉगिन और पासवर्ड नहीं होना चाहिए बल्कि आपके जीमेल खाते में पंजीकृत सेलफोन तक पहुंच की आवश्यकता है ताकि आप किसी नए कंप्यूटर से लॉग इन करते समय इनपुट करने के लिए टेक्स्ट संदेश कोड स्वीकार कर सकें।
दो-कारक प्रमाणीकरण सक्षम होने के कारण यह किसी ऐसे व्यक्ति के लिए बहुत मुश्किल हो जाता है जिसने वास्तव में आपके खाते तक पहुंचने के लिए अपने लॉगिन और पासवर्ड (जैसे वे हार्टबलेड बग के साथ) तक पहुंच प्राप्त कर ली है।
सुरक्षा कमजोरियों, विशेष रूप से ऐसे दूरगामी प्रभाव वाले लोग, कभी मजेदार नहीं होते हैं, लेकिन वे हमारे पासवर्ड प्रथाओं को कसने और यह सुनिश्चित करने के लिए अद्वितीय अवसर प्रदान करते हैं कि अद्वितीय और मजबूत पासवर्ड क्षतिग्रस्त रहते हैं, जब यह होता है।
