हार्दिक ने बताया कि अब आपको अपने पासवर्ड बदलने की आवश्यकता क्यों है
पिछली बार जब हमने आपको एक बड़े सुरक्षा उल्लंघन के लिए सचेत किया था, जब Adobe के पासवर्ड डेटाबेस में समझौता किया गया था, जिससे लाखों उपयोगकर्ता (विशेष रूप से कमजोर और अक्सर पुन: उपयोग किए जाने वाले पासवर्ड) जोखिम में थे। आज हम आपको एक बहुत बड़ी सुरक्षा समस्या हार्टबल बग के बारे में चेतावनी दे रहे हैं, जिसने संभवतः इंटरनेट पर सुरक्षित वेबसाइटों के 2/3 स्ट्रगल से समझौता कर लिया है। आपको अपने पासवर्ड बदलने की आवश्यकता है, और आपको इसे अभी शुरू करना होगा.
महत्वपूर्ण नोट: इस बग से कैसे-कैसे गीक प्रभावित नहीं होता है.
क्या दिल टूट गया है और क्यों यह इतना खतरनाक है?
आपके विशिष्ट सुरक्षा उल्लंघन में, किसी एकल कंपनी के उपयोगकर्ता रिकॉर्ड / पासवर्ड उजागर होते हैं। जब ऐसा होता है तो बहुत भयानक होता है, लेकिन यह एक अलग मामला है। कंपनी एक्स में एक सुरक्षा उल्लंघन है, वे अपने उपयोगकर्ताओं के लिए एक चेतावनी जारी करते हैं, और हम जैसे लोग हर किसी को याद दिलाते हैं कि यह अच्छा सुरक्षा स्वच्छता का अभ्यास शुरू करने और अपने पासवर्ड अपडेट करने का समय है। वे, दुर्भाग्य से, ठेठ उल्लंघनों के रूप में यह काफी बुरा है। हार्टबल बग कुछ ज्यादा ही है, बहुत, और भी बुरा.
हार्टबल बग बहुत ही एन्क्रिप्शन योजना को कमज़ोर करता है जो हमें ईमेल, बैंक, और फिर हमारी सुरक्षित रहने वाली वेबसाइट्स के साथ बातचीत करने के दौरान सुरक्षा प्रदान करती है। यहाँ कोडनोमिकॉन से सुरक्षा का एक स्पष्ट-अंग्रेजी विवरण दिया गया है, जो सुरक्षा समूह को जनता को बग की खोज और सतर्क करता है:
हार्टब्लड बग लोकप्रिय ओपनएसएसएल क्रिप्टोग्राफिक सॉफ्टवेयर लाइब्रेरी में एक गंभीर खतरा है। यह कमजोरी इंटरनेट को सुरक्षित करने के लिए उपयोग किए जाने वाले एसएसएल / टीएलएस एन्क्रिप्शन द्वारा, सामान्य परिस्थितियों में संरक्षित जानकारी को चोरी करने की अनुमति देता है। एसएसएल / टीएलएस वेब, ईमेल, इंस्टेंट मैसेजिंग (आईएम) और कुछ वर्चुअल प्राइवेट नेटवर्क (वीपीएन) जैसे अनुप्रयोगों के लिए इंटरनेट पर संचार सुरक्षा और गोपनीयता प्रदान करता है।.
हार्टबल बग इंटरनेट पर किसी को भी ओपनएसएसएल सॉफ्टवेयर के कमजोर संस्करणों द्वारा संरक्षित प्रणालियों की स्मृति को पढ़ने की अनुमति देता है। यह सेवा प्रदाताओं की पहचान करने और ट्रैफ़िक, उपयोगकर्ताओं के नाम और पासवर्ड और वास्तविक सामग्री को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली गुप्त कुंजियों से समझौता करता है। यह हमलावरों को संचार पर अहंकार करने, सेवाओं और उपयोगकर्ताओं से सीधे डेटा चोरी करने और सेवाओं और उपयोगकर्ताओं को प्रतिरूपित करने की अनुमति देता है.
यह बहुत बुरा लगता है, हाँ? यह तब और भी बुरा लगता है जब आपको एसएसएल का उपयोग करने वाली सभी वेबसाइटों के लगभग दो-तिहाई का एहसास होता है, जो ओपनएसएसएल के इस कमजोर संस्करण का उपयोग कर रहे हैं। हम हॉट रॉड फ़ोरम या संग्रहणीय कार्ड गेम स्वैप साइटों जैसी छोटी समय साइटों पर बात नहीं कर रहे हैं, हम बैंकों, क्रेडिट कार्ड कंपनियों, प्रमुख ई-रिटेलर्स और ई-मेल प्रदाताओं से बात कर रहे हैं। इससे भी बदतर यह है कि यह भेद्यता लगभग दो वर्षों से जंगल में है। उचित ज्ञान और कौशल वाला कोई व्यक्ति दो साल तक आपके द्वारा उपयोग की जाने वाली सेवा के लॉगिन क्रेडेंशियल और निजी संचार में टैपिंग कर सकता था (और, कोडेनोमिकॉन द्वारा किए गए परीक्षण के अनुसार, इसे बिना ट्रेस किए).
हार्टलेड बग कैसे काम करता है, इसका और भी बेहतर चित्रण करने के लिए। इस xkcd कॉमिक को पढ़ें.
हालाँकि कोई भी समूह उन सभी क्रेडेंशियल्स और सूचनाओं को झपटने के लिए आगे नहीं आया है, जो उन्होंने शोषण के साथ छीनी थीं, खेल के इस बिंदु पर आपको यह मान लेना होगा कि आपके द्वारा अक्सर वेब साइटों के लिए लॉगिन क्रेडेंशियल्स से समझौता किया गया है.
क्या करें पोस्ट हार्टेड बग
कोई भी बहुमत सुरक्षा भंग (और यह निश्चित रूप से एक भव्य पैमाने पर योग्य है) आपको अपने पासवर्ड प्रबंधन प्रथाओं का आकलन करने की आवश्यकता है। हार्टलेड बग की विस्तृत पहुंच को देखते हुए, यह पहले से ही सुचारू रूप से चलने वाले पासवर्ड प्रबंधन प्रणाली की समीक्षा करने का एक सही मौका है या, यदि आप अपने पैरों को खींच रहे हैं, तो एक को सेट करने के लिए.
इससे पहले कि आप तुरंत अपने पासवर्ड बदलने में गोता लगाएँ, ध्यान रखें कि भेद्यता केवल तभी पैच की जाती है जब कंपनी ने OpenCL के नए संस्करण में अपग्रेड किया हो। सोमवार को कहानी टूट गई, और अगर आप हर साइट पर तुरंत अपने पासवर्ड बदलने के लिए बाहर निकले, तो उनमें से अधिकांश अभी भी ओपनएसएसएल के असुरक्षित संस्करण को चला रहे होंगे।.
अब, मध्य-सप्ताह में, अधिकांश साइटों ने अपडेट करने की प्रक्रिया शुरू कर दी है और सप्ताहांत तक हाई-प्रोफाइल वेब साइटों के बहुमत को संभालने के लिए यह उचित है.
आप यह देखने के लिए यहां हार्टलेड बग चेकर का उपयोग कर सकते हैं कि क्या भेद्यता अभी भी खुली है या, भले ही साइट उक्त चेकर से अनुरोधों का जवाब नहीं दे रही है, आप लास्टपास की एसएसएल डेट चेकर का उपयोग यह देखने के लिए कर सकते हैं कि क्या सर्वर ने सवाल अपडेट किया है SSL प्रमाणपत्र हाल ही में (यदि उन्होंने इसे 4/7/2014 के बाद अपडेट किया है तो यह एक अच्छा संकेतक है कि उन्होंने भेद्यता को पैच कर दिया है।) ध्यान दें: यदि आप बग परीक्षक के माध्यम से howtogeek.com चलाते हैं तो यह एक त्रुटि लौटाएगा क्योंकि हम पहली बार में एसएसएल एन्क्रिप्शन का उपयोग नहीं करते हैं, और हमने यह भी सत्यापित किया है कि हमारे सर्वर कोई प्रभावित सॉफ्टवेयर नहीं चला रहे हैं.
उस ने कहा, ऐसा लगता है कि इस सप्ताह के अंत में अपने पासवर्ड को अपडेट करने के बारे में गंभीर होने के लिए एक अच्छा सप्ताहांत हो रहा है। सबसे पहले, आपको एक पासवर्ड प्रबंधन प्रणाली की आवश्यकता है। आसपास के सबसे सुरक्षित और लचीले पासवर्ड प्रबंधन विकल्पों में से एक को सेट करने के लिए लास्टपास के साथ शुरू करने के लिए हमारे गाइड को देखें। आपको LastPass का उपयोग करने की आवश्यकता नहीं है, लेकिन आपको किसी प्रकार के सिस्टम की आवश्यकता है जो आपको आपके द्वारा देखी जाने वाली प्रत्येक वेबसाइट के लिए एक अद्वितीय और मजबूत पासवर्ड ट्रैक करने और प्रबंधित करने की अनुमति देगा.
दूसरा, आपको अपना पासवर्ड बदलना शुरू करना होगा। हमारे गाइड में संकट-प्रबंधन की रूपरेखा, आपका ईमेल पासवर्ड के बाद पुनर्प्राप्त करने के लिए कैसे समझौता किया गया है, यह सुनिश्चित करने का एक शानदार तरीका है कि आप किसी भी पासवर्ड को याद न करें; यह यहाँ उद्धृत अच्छे पासवर्ड स्वच्छता की मूल बातों पर प्रकाश डालता है:
- पासवर्ड हमेशा उस सेवा से कम से कम होना चाहिए जो सेवा के लिए अनुमति देता है. यदि प्रश्न में सेवा 6-20 वर्ण पासवर्ड के लिए अनुमति देती है तो आप सबसे लंबे पासवर्ड के लिए जा सकते हैं.
- अपने पासवर्ड के हिस्से के रूप में शब्दकोश शब्दों का उपयोग न करें. आपका पासवर्ड चाहिए कभी नहीँ इतना सरल हो कि शब्दकोश फ़ाइल के साथ एक सरसरी स्कैन इसे प्रकट करेगा। कभी भी अपना नाम, लॉगिन या ईमेल का हिस्सा, या अन्य आसानी से पहचाने जाने योग्य आइटम जैसे आपकी कंपनी का नाम या सड़क का नाम शामिल न करें। इसके अलावा अपने पासवर्ड के भाग के रूप में "कीबोर्ड" या "asdf" जैसे सामान्य कीबोर्ड संयोजनों का उपयोग करने से बचें.
- पासवर्ड के बजाय पासफ़्रेज़ का उपयोग करें. यदि आप वास्तव में यादृच्छिक पासवर्ड याद रखने के लिए पासवर्ड प्रबंधक का उपयोग नहीं कर रहे हैं (हाँ, हमें पता है कि हम वास्तव में पासवर्ड प्रबंधक का उपयोग करने के विचार पर नुकसान पहुँचा रहे हैं) तो आप पासफ़्रेज़ में बदलकर मजबूत पासवर्ड याद कर सकते हैं। अपने अमेज़ॅन खाते के लिए, उदाहरण के लिए, आप आसानी से याद रखने वाला पासफ़्रेज़ बना सकते हैं "मुझे किताबें पढ़ना बहुत पसंद है" और फिर उसे "luv2ReadBkz" जैसे पासवर्ड में क्रंच करें। यह याद रखना आसान है और यह काफी मजबूत है.
तीसरा, जब भी संभव हो आप दो-कारक प्रमाणीकरण सक्षम करना चाहते हैं। आप यहां दो-कारक प्रमाणीकरण के बारे में अधिक पढ़ सकते हैं, लेकिन संक्षेप में यह आपको अपने लॉगिन में पहचान की एक अतिरिक्त परत जोड़ने की अनुमति देता है.
जीमेल के साथ, उदाहरण के लिए, दो-कारक प्रमाणीकरण के लिए आपको केवल अपना लॉगिन और पासवर्ड ही नहीं बल्कि अपने जीमेल खाते में पंजीकृत सेलफोन तक पहुंच की आवश्यकता होती है, ताकि आप एक नए कंप्यूटर से लॉग इन करने पर पाठ संदेश कोड को इनपुट में स्वीकार कर सकें.
दो-कारक प्रमाणीकरण सक्षम होने से यह किसी ऐसे व्यक्ति के लिए बहुत मुश्किल हो जाता है जिसने आपके लॉगिन और पासवर्ड तक पहुंच प्राप्त कर ली है (जैसे वे हार्दिक बग के साथ) वास्तव में आपके खाते तक पहुंच सकते हैं.
सुरक्षा भेद्यता, विशेष रूप से इस तरह के दूरगामी प्रभाव वाले लोग कभी भी मज़ेदार नहीं होते हैं, लेकिन वे हमारे लिए अपनी पासवर्ड प्रथाओं को कड़ा करने के लिए एक अवसर प्रदान करते हैं और यह सुनिश्चित करते हैं कि अद्वितीय और मजबूत पासवर्ड क्षति को बनाए रखते हैं, जब यह होता है, निहित होता है.
