跳至正文

Heartbleed:它是什么,你应该怎么做?

下載好用的梯子app

Heartbleed:它是什么,你应该怎么做?

如果您在新闻提要中看到一个红色、空心、滴水的心形符号,那么是的,您可能听说过互联网上最新的安全漏洞:Heartbleed危及雅虎、Facebook 甚至加拿大税务局等网站帐户安全的安全漏洞已让整个互联网陷入困境。您可能被要求更改您的电子邮件、在线帐户等的密码,但请坚持。

然而,在所有这些信息中,很难准确地了解正在发生的事情。Heartbleed到底是什么?真的像大家说的那么危险吗?你怎么知道你是否受到影响?下面简要介绍一些围绕 Heartbleed 的主要问题以及您可以采取的措施。

推荐读物: IT 安全状况 [信息图]

什么是心脏出血?

Heartbleed 是一个影响 OpenSSL 服务的错​​误,OpenSSL 服务是一个加密库,用于对Internet 上超过三分之二的网站的数据进行加密。如果您曾在浏览器中看到过锁定的挂锁徽标,或访问过使用https: 协议的站点,那么您就熟悉 OpenSSL。

心脏出血能做什么

Heartbleed 错误暴露了保存在服务器 RAM 中的数据,这意味着几乎任何人都可以访问并窥探 Internet 流量,即使它被认为是加密的。

闯入者(如果有的话)可以利用 Heartbleed 获取他们解密和读取最近通过服务器的所有加密数据所需的密钥和数据。

这是个问题吗?

鉴于互联网上超过三分之二的网站和服务使用 OpenSSL,是的,Heartbleed 是一个相当大的问题然而,重要的是要记住 Heartbleed 不是恶意软件或病毒,因此受 Heartbleed 影响的网站不一定有任何数据被盗。自 2012 年以来,它一直存在,未被发现。

几乎所有形式的个人加密信息都容易受到 Heartbleed 攻击。只要它通过 OpenSSL 协议,就可能有人非法访问它。密码、电子邮件、用户名、通信 – 你能想到的,由于 Heartbleed,它可能可以以某种形式访问。

所以,是的,这是一个问题。

如何判断您是否受到影响

虽然并非所有服务都受到 Heartbleed 的影响,但安全总比后悔好虽然您无法确定自己的数据是否已被泄露,但有一些服务可以帮助您检查您是否受到Heartbleed 的影响。

菲利波心脏出血试验

此 Heartbleed 测试向您选择的网站发送格式错误的心跳,提取大约 80 字节的内存作为证据。换句话说,该测试很像黑客攻击站点,以测试该站点是否容易受到 Heartbleed 攻击。

菲利波心脏出血试验
心脏出血检查器

这是一个工具,供您检查受影响的网站。您所要做的就是输入您要检查的网站的域,然后单击查看该网站是否容易受到 Heartbleed 的攻击

LastPass 心脏出血检测器

如果您受到影响该怎么办

如果通过检查,您发现您在网站上的帐户可能会受到 Heartbleed 的危害,您必须决定采取何种行动。常识是立即更改密码,但此建议忽略了一个重要事实:如果站点未修复,则更改密码毫无意义

正如前面所讨论的,Heartbleed 并不是一个简单的数据库泄漏,因此如果该站点没有修复该问题,那么简单地更改您的密码将无济于事一些网站和服务,比如谷歌,会明确说明这一点,但肯定会有网站没有明确说明他们是否已经纠正了这个问题。

GitHub 列表

您现在可以做的是使用上面列出的两个工具中的任何一个,或者在Mashable列表中检查该站点以查看该服务是否仍然容易受到攻击。

请注意,这两个工具和 GitHub 列表不会区分从未受到攻击的服务和已修复的服务。如果站点报告不易受攻击,则更改密码可能更安全

简单地停止受影响的服务也可能有所帮助,因为 Heartbleed 只暴露服务器 RAM 中的数据。

密码安全

虽然 Heartbleed 不仅仅是一个密码安全问题,但现在仍然是提醒我们自己一些确保在线帐户安全的最佳方法的好时机。是的,密码安全不仅仅是每隔几个月更改一次密码。

另请阅读: 互联网安全的黄金法则:更改您的密码

虽然双因素身份验证不一定能保护您免受 Heartbleed 的侵害,但它仍然是一种很好的安全措施,您绝对应该在支持它的任何服务上加以利用。

如果您不熟悉,双因素身份验证是一种基于两个步骤而不是一个步骤来验证用户身份的方法换句话说,双因素身份验证不仅要求用户名和密码,还要求您输入验证码使用智能手机应用程序进一步验证您的身份。

您可能应该采取的另一项安全措施是使用工具为生成和管理密码。这些工具的主要好处是它们会创建随机密码并为您管理;不再需要记住大量不同的密码,或者更糟糕的是,在多个网站上使用相同的密码。

另请阅读: 20 个用于生成和管理密码的桌面工具

结论

Heartbleed 是一个严重的安全问题,几乎影响到 Internet 上的每个人,我们中的任何人都无能为力。除了检查我们使用的服务和更改我们的密码(如果他们已经修复了漏洞),或者休息一下并保持警惕(如果没有),这实际上都在服务器管理员手中。如果有的话,Heartbleed 提醒我们永远不能将个人数据的安全视为理所当然。

标签: