الصفحة الرئيسية » howto » شرح Heartbleed لماذا انت بحاجة الى تغيير كلمات السر الخاصة بك الآن

    شرح Heartbleed لماذا انت بحاجة الى تغيير كلمات السر الخاصة بك الآن

    كانت آخر مرة نبهتك فيها إلى خرق أمني كبير عندما تم اختراق قاعدة بيانات كلمة مرور Adobe ، مما يعرض الملايين من المستخدمين (وخاصة أولئك الذين لديهم كلمات مرور ضعيفة ومتكررة إعادة استخدامها) للخطر. اليوم نحن نحذركم من مشكلة أمنية أكبر بكثير ، وهي Heartbleed Bug ، التي من المحتمل أن تهدد 2 / 3s مذهلة من المواقع الآمنة على شبكة الإنترنت. تحتاج إلى تغيير كلمات المرور الخاصة بك ، وتحتاج إلى البدء في القيام بذلك الآن.

    ملاحظة هامة: How-To Geek لا تتأثر بهذا الخطأ.

    ما هو Heartbleed ولماذا هو خطير جدا?

    في خرق الأمان النموذجي الخاص بك ، يتم كشف سجلات المستخدم / كلمات المرور الخاصة بشركة واحدة. هذا فظيع عندما يحدث ، لكنه أمر معزول. لدى شركة X انتهاك أمني ، فإنها تصدر تحذيرًا لمستخدميها ، والأشخاص الذين يحبوننا نذكر الجميع بأن الوقت قد حان للبدء في ممارسة النظافة الأمنية الجيدة وتحديث كلمات المرور الخاصة بهم. تلك ، للأسف ، الاختراقات المعتادة سيئة بما فيه الكفاية. علة Heartbleed هو شيء من ذلك بكثير, كثير, أسوأ.

    يقوض نظام Heartbleed Bug نظام التشفير الذي يحمينا أثناء قيامنا بالبريد الإلكتروني والبنك والتفاعل مع مواقع الويب التي نعتقد أنها آمنة. فيما يلي وصفًا سهلًا للإنجليزية للثغرة الأمنية من Codenomicon ، وهي مجموعة الأمان التي اكتشفت الجمهور ونبهت إلى الخطأ:

    The Heartbleed Bug هي نقطة ضعف خطيرة في مكتبة برمجيات التشفير الشهيرة OpenSSL. يسمح هذا الضعف بسرقة المعلومات المحمية ، في ظل الظروف العادية ، بواسطة تشفير SSL / TLS المستخدم لتأمين الإنترنت. يوفر بروتوكول SSL / TLS أمان الاتصالات والخصوصية عبر الإنترنت للتطبيقات مثل الويب والبريد الإلكتروني والرسائل الفورية (IM) وبعض الشبكات الافتراضية الخاصة (VPN).

    يسمح خلل Heartbleed لأي شخص على الإنترنت بقراءة ذاكرة الأنظمة المحمية بواسطة الإصدارات الضعيفة من برنامج OpenSSL. هذا يضر بالمفاتيح السرية المستخدمة لتحديد مقدمي الخدمات وتشفير حركة المرور وأسماء وكلمات مرور المستخدمين والمحتوى الفعلي. يسمح هذا للمهاجمين بالتنصت على الاتصالات وسرقة البيانات مباشرة من الخدمات والمستخدمين وانتحال الخدمات والمستخدمين.

    هذا يبدو سيئا جدا ، نعم؟ يبدو الأمر أسوأ عندما تدرك أن حوالي ثلثي جميع مواقع الويب التي تستخدم طبقة المقابس الآمنة تستخدم هذه النسخة الضعيفة من OpenSSL. نحن لا نتحدث عن المواقع الصغيرة مثل منتديات القضبان الساخنة أو مواقع تبادل لعب الورق القابلة للتحصيل ، نحن نتحدث البنوك وشركات بطاقات الائتمان وتجار التجزئة الرئيسيين وموفري البريد الإلكتروني. والأسوأ من ذلك ، أن هذه الثغرة موجودة في البرية منذ حوالي عامين. كان ذلك لمدة عامين شخص لديه المعرفة والمهارات المناسبة كان من المفترض أن يستغل أوراق اعتماد تسجيل الدخول والاتصالات الخاصة للخدمة التي تستخدمها (ووفقًا للاختبار الذي أجرته Codenomicon ، يقوم بذلك دون أن يترك أثراً).

    لتوضيح أفضل لكيفية عمل حشرة هارتبليد. قراءة هذا هزلية xkcd.

    على الرغم من عدم تقدم أي مجموعة لتباهي جميع أوراق الاعتماد والمعلومات التي استحوذوا عليها مع استغلال ، في هذه المرحلة من اللعبة عليك أن تفترض أن بيانات تسجيل الدخول الخاصة بمواقع الويب التي تكررها قد تم اختراقها.

    ما يجب القيام به بوستليرد علة

    يتطلب أي اختراق أمني للأغلبية (وهذا بالتأكيد مؤهل على نطاق واسع) تقييم ممارسات إدارة كلمات المرور الخاصة بك. نظرًا للنطاق الواسع لحشرة Heartbleed Bug ، فإن هذه فرصة مثالية لمراجعة نظام إدارة كلمات المرور السلس حاليًا ، أو إذا كنت قد سحبت قدميك ،.

    قبل الغوص في تغيير كلمات المرور الخاصة بك على الفور ، اعلم أن الثغرة قد تم تصحيحها فقط إذا قامت الشركة بالترقية إلى الإصدار الجديد من OpenSSL. اندلعت القصة يوم الاثنين ، وإذا كنت قد اندفعت لتغيير كلمات المرور الخاصة بك على الفور على كل موقع ، فإن معظمهم ما زالوا يشغلون الإصدار الضعيف من OpenSSL.

    الآن ، في منتصف الأسبوع ، بدأت معظم المواقع عملية التحديث وبحلول نهاية الأسبوع من المعقول أن نفترض أن غالبية المواقع على شبكة الإنترنت رفيعة المستوى قد تحولت.

    يمكنك استخدام مدقق الأخطاء Heartbleed Bug هنا لمعرفة ما إذا كانت الثغرة مفتوحة أو ، حتى إذا كان الموقع لا يستجيب للطلبات الواردة من المدقق المذكور ، يمكنك استخدام مدقق تاريخ SSL لـ LastPass لمعرفة ما إذا كان الخادم المعني قد قام بتحديث شهادة SSL مؤخرًا (إذا قاموا بتحديثها بعد 4/7/2014 فهذا مؤشر جيد على أنهم قاموا بتصحيح الثغرة).  ملحوظة: إذا قمت بتشغيل howtogeek.com من خلال أداة فحص الأخطاء ، فستعرض رسالة خطأ لأننا لا نستخدم تشفير SSL في المقام الأول ، كما تحققنا أيضًا من عدم تشغيل خوادمنا لأي برامج متأثرة.

    ومع ذلك ، يبدو أن عطلة نهاية الأسبوع هذه ستتحول إلى عطلة نهاية أسبوع جيدة لكي تكون جادًا بشأن تحديث كلمات المرور الخاصة بك. أولاً ، تحتاج إلى نظام إدارة كلمات المرور. اطلع على دليلنا لبدء استخدام LastPass لإعداد أحد خيارات إدارة كلمات المرور الأكثر أمانًا ومرونة في جميع أنحاء. لا يجب عليك استخدام LastPass ، ولكنك تحتاج إلى نوع من النظام يسمح لك بتتبع وإدارة كلمة مرور فريدة وقوية لكل موقع تقوم بزيارته..

    ثانيًا ، يجب عليك البدء في تغيير كلمات المرور الخاصة بك. إن مخطط إدارة الأزمات في دليلنا ، كيفية الاسترداد بعد اختراق كلمة سر البريد الإلكتروني ، هو وسيلة رائعة لضمان عدم تفويت أي كلمات مرور ؛ كما يسلط الضوء على أساسيات النظافة الجيدة لكلمات المرور ، والتي يتم اقتباسها هنا:

    • يجب دائمًا أن تكون كلمات المرور أطول من الحد الأدنى الذي تسمح به الخدمة. إذا كانت الخدمة المعنية تسمح لكلمات مرور من 6 إلى 20 حرفًا بالبحث عن أطول كلمة مرور يمكنك تذكرها.
    • لا تستخدم كلمات القاموس كجزء من كلمة المرور الخاصة بك. كلمة المرور الخاصة بك يجب أبدا أن تكون بسيطة جدا أن مسح سريع مع ملف القاموس من شأنه أن يكشف عنها. لا تضمن أبدًا اسمك أو جزءًا من معلومات تسجيل الدخول أو البريد الإلكتروني أو عناصر أخرى يسهل تحديدها مثل اسم شركتك أو اسم الشارع. تجنب أيضًا استخدام تركيبات لوحة المفاتيح الشائعة مثل "qwerty" أو "asdf" كجزء من كلمة المرور الخاصة بك.
    • استخدم عبارة المرور بدلاً من كلمات المرور. إذا كنت لا تستخدم مدير كلمات المرور لتتذكر كلمات مرور عشوائية فعلاً (نعم ، فإننا ندرك أننا نعزز حقًا فكرة استخدام مدير كلمات المرور) ، ثم يمكنك تذكر كلمات مرور أقوى من خلال تحويلها إلى عبارات مرور. بالنسبة لحساب Amazon الخاص بك ، على سبيل المثال ، يمكنك إنشاء عبارة المرور التي يسهل تذكرها "أحب قراءة الكتب" ثم نقسمها إلى كلمة مرور مثل "! luv2ReadBkz". من السهل تذكرها وقوتها إلى حدٍ ما.

    ثالثًا ، كلما أمكن ، ترغب في تمكين المصادقة الثنائية. يمكنك قراءة المزيد عن المصادقة الثنائية هنا ، ولكن باختصار يسمح لك بإضافة طبقة إضافية من الهوية لتسجيل الدخول.

    مع Gmail ، على سبيل المثال ، تتطلب المصادقة الثنائية ليس فقط تسجيل الدخول وكلمة المرور ولكن الوصول إلى الهاتف المحمول المسجل إلى حساب Gmail الخاص بك حتى تتمكن من قبول رمز رسالة نصية للإدخال عند تسجيل الدخول من جهاز كمبيوتر جديد.

    مع تمكين المصادقة الثنائية ، يجعل الأمر صعبًا جدًا على شخص قد تمكن من الوصول إلى معلومات تسجيل الدخول وكلمة المرور (مثلما كان من الممكن أن يستخدم مع خلل Heartbleed) للوصول فعليًا إلى حسابك.


    إن الثغرات الأمنية ، خاصة تلك التي لها آثار بعيدة المدى ، ليست ممتعة أبداً ولكنها توفر فرصة لنا لتشديد ممارسات كلمة المرور الخاصة بنا والتأكد من أن كلمات المرور الفريدة والقوية تحافظ على الضرر ، عندما يحدث ،.