Heartbleed'in etkileri yüzünden cesaretiniz mi kırıldı? Yalnız değilsin. Dünyanın en popüler SSL kütüphanesindeki küçük hata, güvenlik sistemimizde büyük delikler açtı. her türlü bulut tabanlı web sitesi, uygulama ve hizmetle iletişim - ve delikler hepsi bile değil henüz yamalı.
Heartbleed hatası, saldırganların OpenSSL'in gözetlenmeye karşı dayanıklı kaplamasını soyarak istemci ile sunucu arasındaki iletişimlere göz atmasına olanak sağladı. Bu, bilgisayar korsanlarının, şifreler ve oturum çerezleri gibi küçük veri parçaları olan şeylere göz atmalarını sağladı. sunucu, oturum açtıktan sonra sizi gönderir ve tarayıcınız, bir şey yaptığınızda, bunun doğru olduğunu kanıtlamak için geri gönderir. Sen. Hata bir finansal siteyi etkilediyse, İnternet üzerinden aktardığınız kredi kartı veya vergi bilgileri gibi diğer hassas bilgiler de görülmüş olabilir.
Önerilen Videolar
İnternet bunun gibi yıkıcı hatalara karşı kendisini en iyi şekilde nasıl koruyabilir? Birkaç fikrimiz var.
Evet, daha güvenli şifrelere ihtiyacınız var: İşte bunları nasıl oluşturacağınız
Tamam, daha iyi şifreler bir sonraki Heartbleed'i engellemez ama sizi bir gün saldırıya uğramaktan kurtarabilir. Birçok kişi güvenli şifreler oluşturma konusunda berbattır.
Bunların hepsini daha önce duymuşsunuzdur: "şifre1", "şifre2" vb. kullanmayın. Çoğu şifrede entropi denilen şey yeterli düzeyde değildir; bunlar kesinlikle Olumsuz rastgele ve onlar irade Bir saldırganın, hizmeti kullanarak veya (daha büyük olasılıkla) çok sayıda tahminde bulunma fırsatı bulması durumunda tahmin edilmesi muhtemeldir. şifre karmalarının çalınması — kontrol edilebilen ancak orijinal haline geri döndürülemeyen şifrelerin matematiksel türetmeleri şifre.
Ne yaparsanız yapın aynı şifreyi birden fazla yerde kullanmayın.
Uçtan uca şifrelemeyi kullanan parola yönetimi yazılımı veya hizmetleri de yardımcı olabilir. KeePass birincisine iyi bir örnek; Son Geçiş mektubun. Şifrelerinizin çoğunu sıfırlamak için kullanılabileceğinden e-postanızı iyi koruyun. Ve ne yaparsanız yapın, aynı şifreyi birden fazla yerde kullanmayın; yalnızca sorun yaşıyorsunuz.
Web sitelerinin Tek Kullanımlık Şifreler uygulaması gerekiyor
OTP "tek kullanımlık şifre" anlamına gelir ve kullanmanızı gerektiren bir web siteniz/hizmetiniz varsa onu zaten kullanabilirsiniz. Google Kimlik Doğrulayıcı. Bu kimlik doğrulayıcıların çoğu (Google'ınkiler dahil) TOTP veya Zamana Dayalı Tek Kullanımlık Şifre adı verilen bir İnternet standardı kullanır. burada açıklanan.
TOTP nedir? Özetle, bulunduğunuz web sitesi gizli bir numara oluşturur ve bu numara genellikle bir kimlik doğrulama programı aracılığıyla bir kez aktarılır. QR kod. Zamana dayalı varyasyonda, her 30 saniyede bir bu gizli numaradan altı haneli yeni bir sayı üretiliyor. Web sitesi ve istemcinin (bilgisayarınız) tekrar iletişim kurmasına gerek yoktur; Numaralar kimlik doğrulayıcınızda kolayca görüntülenir ve bunları istendiği gibi şifrenizle birlikte web sitesine sağlarsınız ve içeri girersiniz. Aynı kodları size kısa mesaj yoluyla göndererek çalışan bir varyasyon da vardır.
TOTP'nin Avantajları: Heartbleed veya benzer bir hata hem şifrenizin hem de kimlik doğrulayıcınızdaki numaranın ifşa edilmesine yol açsa bile, bulunduğunuz web sitesi ile etkileşime geçmek neredeyse kesinlikle bu sayıyı kullanılmış olarak işaretlemiştir ve tekrar kullanılamaz ve zaten 30 saniye içinde geçersiz olacaktır. Bir web sitesi halihazırda bu hizmeti sunmuyorsa, muhtemelen bunu nispeten kolay bir şekilde yapabilir ve herhangi bir akıllı telefonunuz varsa, bir kimlik doğrulayıcı çalıştırabilirsiniz. Oturum açmak için telefonunuza başvurmak biraz zahmetlidir, ancak önemsediğiniz herhangi bir hizmetin güvenlik avantajı buna değer.
TOTP'nin Riskleri: Bir sunucuya girme farklı Bu şekilde gizli numaranın açığa çıkmasıyla sonuçlanabilir ve saldırganın kendi kimlik doğrulayıcısını oluşturmasına olanak sağlanır. Ancak TOTP'yi web sitesi tarafından saklanmayan bir şifreyle birlikte kullanıyorsanız, çoğu iyi sağlayıcı bir şifre saklar. tersine mühendisliğe karşı oldukça dayanıklı olan karma - o zaman ikisi arasında riskiniz büyük ölçüde artar indirildi.
İstemci sertifikalarının gücü (ve ne oldukları)
Muhtemelen istemci sertifikalarını hiç duymamışsınızdır, ancak aslında çok uzun zamandır ortalıktalar (tabii ki İnternet yıllarında). Muhtemelen bunları duymamış olmanızın nedeni, bunların yapılması gereken bir angarya olmasıdır. Kullanıcıların yalnızca bir parola seçmesini sağlamak çok daha kolaydır, bu nedenle yalnızca yüksek güvenlikli siteler sertifika kullanma eğilimindedir.
İstemci sertifikası nedir? Müşteri sertifikaları, iddia ettiğiniz kişi olduğunuzu kanıtlar. Tek yapmanız gereken, onu tarayıcınıza yüklemek (ve bir tanesi birçok sitede çalışır), ardından bir site kimlik doğrulamanızı istediğinde onu kullanmayı seçmektir. Bu sertifikalar, web sitelerinin kendilerini bilgisayarınıza tanıtmak için kullandıkları SSL sertifikalarının yakın kuzenidir.
Bir web sitesinin verilerinizi korumanın en etkili yolu, ilk etapta bu verilere asla sahip olmamaktır.
İstemci sertifikalarının avantajları: İstemci sertifikasıyla kaç sitede oturum açarsanız açın, matematiğin gücü yanınızda; oturumunuzu gözlemleseler bile hiç kimse aynı sertifikayı sizmişsiniz gibi davranmak için kullanamayacaktır.
İstemci sertifikalarının riskleri: İstemci sertifikasının birincil riski, birisinin izinsiz giriş yapmasıdır. senin Bilgisayarı çalabilir ve çalabilirsiniz, ancak bu riskin azaltıcı yolları vardır. Diğer bir olası sorun da, tipik istemci sertifikalarının, kullandığınız her siteye ifşa etmek istemeyebileceğiniz bazı kimlik bilgilerini taşımasıdır. İstemci sertifikaları sonsuza kadar var olmasına ve Web sunucusunda çalışma desteği bulunmasına rağmen yazılımın geliştirilmesi için hem servis sağlayıcılar hem de tarayıcılar tarafında hâlâ yapılacak çok iş var. onlar çalışıyor Peki. Çok nadir kullanıldıkları için geliştirme aşamasında çok az ilgi görürler.
En önemlisi: Uçtan uca şifreleme
Bir web sitesinin verilerinizi korumanın en etkili yolu, en azından okuyabileceği bir sürüme sahip olmamaktır. Bir web sitesi verilerinizi okuyabiliyorsa, yeterli erişime sahip bir saldırgan da verilerinizi okuyabilir. Uçtan uca şifrelemeyi (E2EE) bu nedenle seviyoruz.
Uçtan uca şifreleme nedir? Bu şu anlama geliyor: şifrelemek sizin tarafınızdaki veriler ve kalır hedeflediğiniz kişiye ulaşana veya size geri dönene kadar şifrelenir.
E2EE'nin Avantajları: Uçtan uca şifreleme, çevrimiçi yedekleme hizmetleri gibi birkaç hizmette halihazırda uygulanmaktadır. Ayrıca bazı mesajlaşma hizmetlerinde, özellikle de Snowden'ın ifşaatlarından sonra ortaya çıkanlarda, bunun daha zayıf versiyonları da mevcut. Ancak web sitelerinin uçtan uca şifreleme yapması iki nedenden dolayı zordur: Hizmetlerini sağlamak için verilerinizi görmeleri gerekebilir ve Web tarayıcıları E2EE performansı konusunda çok kötüdür. Ancak akıllı telefon uygulaması çağında uçtan uca şifreleme, daha sık yapılabilecek ve yapılması gereken bir şeydir. Çoğu uygulama bugün E2EE kullanmıyor ancak gelecekte daha fazlasını göreceğimizi umuyoruz. Uygulamalarınız hassas verileriniz için E2EE kullanmıyorsa şikayette bulunmalısınız.
E2EE'nin Riskleri: Uçtan uca şifrelemenin işe yaraması için bunun her yerde yapılması gerekir; eğer bir uygulama veya web sitesi bunu gönülsüzce yaparsa, tüm kartlar çökebilir. Bazen şifrelenmemiş verilerin bir parçası geri kalanına erişim sağlamak için kullanılabilir. Güvenlik en zayıf halka oyunudur; Zincirin yalnızca bir halkasının onu kırmaması gerekiyor.
Peki şimdi ne olacak?
Açıkçası, kullanıcı olarak sizin kontrol edebileceğiniz çok fazla şey yok. Kimlik doğrulayıcıyla birlikte tek kullanımlık şifreler kullanan bir hizmet bulursanız şanslısınız. Ancak kullandığınız web siteleri ve uygulamalarla mutlaka konuşmalı ve onlara hata fark ettiğinizi bildirmelisiniz. yazılımda oluyor ve güvenliği daha ciddiye almaları gerektiğini ve sadece güvenmek yerine şifreler.
Eğer İnternet'in daha büyük bir kısmı bu gelişmiş güvenlik yöntemlerini kullanıyorsa, belki bir dahaki sefere Heartbleed ölçeğinde bir yazılım felaketi yaşanabilir ve orada irade eninde sonunda bu kadar paniğe kapılmamıza gerek kalmayacak.
[Resim izniyle tırpan5/Shutterstock]