Heartbleed Explicó: por qué necesita cambiar sus contraseñas ahora

Tabla de contenido:

Video: Heartbleed Explicó: por qué necesita cambiar sus contraseñas ahora

Video: Heartbleed Explicó: por qué necesita cambiar sus contraseñas ahora
Video: Como COMPRIMIR un Archivo PDF al Maximo ✅ REDUCIR PESO de un PDF PESADO (2023) 2024, Marcha
Heartbleed Explicó: por qué necesita cambiar sus contraseñas ahora
Heartbleed Explicó: por qué necesita cambiar sus contraseñas ahora
Anonim
La última vez que le alertamos sobre una brecha de seguridad importante fue cuando la base de datos de contraseñas de Adobe se vio comprometida, poniendo en riesgo a millones de usuarios (especialmente aquellos con contraseñas débiles y frecuentemente reutilizadas). Hoy le estamos advirtiendo sobre un problema de seguridad mucho más grande, el Insecto de Heartbleed, que potencialmente ha comprometido a una asombrosa cantidad de 2/3 de los sitios web seguros en Internet. Debe cambiar sus contraseñas y comenzar a hacerlo ahora.
La última vez que le alertamos sobre una brecha de seguridad importante fue cuando la base de datos de contraseñas de Adobe se vio comprometida, poniendo en riesgo a millones de usuarios (especialmente aquellos con contraseñas débiles y frecuentemente reutilizadas). Hoy le estamos advirtiendo sobre un problema de seguridad mucho más grande, el Insecto de Heartbleed, que potencialmente ha comprometido a una asombrosa cantidad de 2/3 de los sitios web seguros en Internet. Debe cambiar sus contraseñas y comenzar a hacerlo ahora.

Important note: How-To Geek is not affected by this bug.

¿Qué es Heartbleed y por qué es tan peligroso?

En su infracción de seguridad típica, los registros / contraseñas de usuario de una sola empresa están expuestos. Eso es horrible cuando sucede, pero es un asunto aislado. La Compañía X tiene una brecha de seguridad, emite una advertencia a sus usuarios y la gente como nosotros les recuerda a todos que es hora de comenzar a practicar una buena higiene de seguridad y actualizar sus contraseñas. Esas, desafortunadamente, las infracciones típicas son lo suficientemente malas como están. El insecto de Heartbleed es algo mucho,mucho, peor.

El error de Heartbleed socava el mismo esquema de encriptación que nos protege mientras enviamos correos electrónicos, realizamos transacciones bancarias o interactuamos con sitios web que consideramos seguros. Aquí hay una descripción simple en inglés de la vulnerabilidad de Codenomicon, el grupo de seguridad que descubrió y alertó al público sobre el error:

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.

Eso suena bastante mal, ¿sí? Suena aún peor cuando se da cuenta de que aproximadamente dos tercios de todos los sitios web que usan SSL están usando esta versión vulnerable de OpenSSL. No estamos hablando de sitios de poco tiempo como los foros de hot rod o sitios de intercambio de juegos de cartas coleccionables, estamos hablando de bancos, compañías de tarjetas de crédito, principales minoristas de correo electrónico y proveedores de correo electrónico. Peor aún, esta vulnerabilidad ha estado en la naturaleza por alrededor de dos años. Esos dos años, alguien con el conocimiento y las habilidades adecuadas podría haber estado utilizando las credenciales de inicio de sesión y las comunicaciones privadas de un servicio que usa (y, según las pruebas realizadas por Codenomicon, haciéndolo sin dejar rastro).

Para una ilustración aún mejor de cómo funciona el error Heartbleed. Lee este cómic xkcd.

Aunque ningún grupo se ha presentado para hacer alarde de todas las credenciales e información que extrajeron con el exploit, en este punto del juego, debe asumir que las credenciales de inicio de sesión de los sitios web que frecuenta se han visto comprometidas.
Aunque ningún grupo se ha presentado para hacer alarde de todas las credenciales e información que extrajeron con el exploit, en este punto del juego, debe asumir que las credenciales de inicio de sesión de los sitios web que frecuenta se han visto comprometidas.

Qué hacer después de un error en Heartbleed

Cualquier infracción de seguridad mayoritaria (y esto ciertamente califica a gran escala) requiere que evalúe sus prácticas de administración de contraseñas. Dado el amplio alcance del Bug de Heartbleed, esta es una oportunidad perfecta para revisar un sistema de administración de contraseñas que ya funciona sin problemas o, si ha estado arrastrando los pies, para configurar uno.

Antes de sumergirse en cambiar de inmediato sus contraseñas, tenga en cuenta que la vulnerabilidad solo está parcheada si la compañía ha actualizado a la nueva versión de OpenSSL. La historia se rompió el lunes y, si se apresuraba a cambiar sus contraseñas en todos los sitios de inmediato, la mayoría de ellos aún estaría ejecutando la versión vulnerable de OpenSSL.

Ahora, a mitad de semana, la mayoría de los sitios han comenzado el proceso de actualización y para el fin de semana es razonable suponer que la mayoría de los sitios web de alto perfil habrán cambiado.

Puede usar el verificador de errores Heartbleed aquí para ver si la vulnerabilidad está aún abierta o, incluso si el sitio no responde a las solicitudes del verificador mencionado anteriormente, puede usar el verificador de fecha SSL de LastPass para ver si el servidor en cuestión ha actualizado su Certificado SSL recientemente (si lo actualizaron después del 4/7/2014 es un buen indicador de que han solucionado la vulnerabilidad). Nota: si ejecuta howtogeek.com a través del verificador de errores, devolverá un error porque no utilizamos el cifrado SSL en primer lugar y también hemos verificado que nuestros servidores no están ejecutando ningún software afectado.

Dicho esto, parece que este fin de semana se perfila como un buen fin de semana para ser serio en cuanto a la actualización de sus contraseñas. Primero, necesitas un sistema de gestión de contraseñas. Consulte nuestra guía para comenzar a usar LastPass para configurar una de las opciones de administración de contraseñas más seguras y flexibles. No tiene que usar LastPass, pero sí necesita algún tipo de sistema que le permita rastrear y administrar una contraseña única y segura para cada sitio web que visite.

Segundo, necesitas comenzar a cambiar tus contraseñas. El resumen de la gestión de crisis en nuestra guía, Cómo recuperarse después de que su contraseña de correo electrónico está comprometida, es una excelente manera de asegurarse de que no se pierda ninguna contraseña; También destaca los conceptos básicos de la buena seguridad de las contraseñas, citados aquí:

  • Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
  • Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
  • Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.

En tercer lugar, siempre que sea posible, desea habilitar la autenticación de dos factores. Puede leer más sobre la autenticación de dos factores aquí, pero en resumen, le permite agregar una capa adicional de identificación a su inicio de sesión.

Con Gmail, por ejemplo, la autenticación de dos factores requiere que usted no solo tenga su nombre de usuario y contraseña, sino también el acceso al teléfono registrado en su cuenta de Gmail para que pueda aceptar un código de mensaje de texto para ingresar cuando inicie sesión desde una computadora nueva.

Con la autenticación de dos factores habilitada, hace que sea muy difícil para alguien que haya obtenido acceso a su nombre de usuario y contraseña (como podría haberlo hecho con el error Heartbleed) para acceder realmente a su cuenta.

Las vulnerabilidades de seguridad, especialmente aquellas con implicaciones tan amplias, nunca son divertidas, pero ofrecen una oportunidad para que ajustemos nuestras prácticas de contraseña y aseguremos que las contraseñas únicas y sólidas mantengan el daño, cuando ocurre, contenido.

Recomendado: