La dernière fois que nous vous avons signalé une violation de sécurité majeure, la base de données de mots de passe d'Adobe a été compromise. mots de passe faibles et fréquemment réutilisés) à risque. Aujourd'hui, nous vous mettons en garde contre un problème de sécurité beaucoup plus important, le Heartbleed Bug, qui a potentiellement compromis les 2/3 impressionnants des sites Web sécurisés sur Internet. Vous devez changer vos mots de passe, et vous devez commencer à le faire maintenant.
Note importante: How-To Geek n'est pas affecté par ce bug
votre violation de sécurité typique, les dossiers d'utilisateur / mots de passe d'une seule entreprise sont exposés. C'est affreux quand ça arrive, mais c'est une affaire isolée. La société X a une faille de sécurité, elle envoie un avertissement à ses utilisateurs, et les gens comme nous rappellent à tous qu'il est temps de commencer à pratiquer une bonne hygiène de sécurité et à mettre à jour leurs mots de passe. Malheureusement, ces violations typiques sont déjà assez mauvaises. Le bogue Heartbleed est quelque chose de beaucoup, pire,
Le bogue Heartbleed sape le système de cryptage qui nous protège lorsque nous envoyons des courriels, des comptes bancaires et interagissons avec des sites que nous croyons sécurisés. Voici une description en langage clair de la vulnérabilité de Codenomicon, le groupe de sécurité qui a découvert et alerté le public sur le bogue:
Le bogue Heartbleed est une vulnérabilité sérieuse dans la populaire bibliothèque de logiciels cryptographiques OpenSSL. Cette faiblesse permet de voler les informations protégées, dans des conditions normales, par le cryptage SSL / TLS utilisé pour sécuriser Internet. SSL / TLS fournit la sécurité et la confidentialité des communications sur Internet pour des applications telles que le Web, le courrier électronique, la messagerie instantanée (IM) et certains réseaux privés virtuels (VPN).
Le bogue Heartbleed permet à quiconque sur Internet de lire la mémoire du systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela compromet les clés secrètes utilisées pour identifier les fournisseurs de services et pour crypter le trafic, les noms et mots de passe des utilisateurs et le contenu réel. Cela permet aux pirates d'espionner les communications, de voler les données directement à partir des services et des utilisateurs et d'usurper l'identité des services et des utilisateurs.
Cela semble plutôt mauvais, oui? Cela semble encore pire lorsque vous réalisez qu'environ deux tiers de tous les sites utilisant SSL utilisent cette version vulnérable d'OpenSSL. Nous ne parlons pas de petits sites comme les forums de hot rod ou les sites d'échange de jeux de cartes à collectionner, nous parlons de banques, de sociétés de cartes de crédit, de grands détaillants en ligne et de fournisseurs de courrier électronique. Pire encore, cette vulnérabilité a été dans la nature pendant environ deux ans. Cela fait deux ans qu'une personne ayant les connaissances et les compétences appropriées aurait pu puiser dans les identifiants de connexion et les communications privées d'un service que vous utilisez (et, selon les tests effectués par Codenomicon, le faire sans laisser de trace).
meilleure illustration du fonctionnement du bug Heartbleed. lisez cette bande dessinée xkcd.
Bien qu'aucun groupe ne se soit présenté pour afficher toutes les informations d'identification et les informations qu'il a siphonnées avec l'exploit, à ce stade du jeu, vous devez supposer que les informations de connexion des sites Web que vous fréquentez ont été compromis
Toute violation de la sécurité de la majorité (et cela se qualifie certainement sur une grande échelle) vous oblige à évaluer vos pratiques de gestion des mots de passe. Étant donné la grande portée du Heartbleed Bug, il s'agit d'une excellente occasion de revoir un système de gestion de mots de passe déjà en place ou, si vous avez traîné les pieds, d'en créer un.
Avant de vous plonger immédiatement dans vos mots de passe , sachez que la vulnérabilité n'est corrigée que si la société a migré vers la nouvelle version d'OpenSSL. L'histoire a éclaté lundi, et si vous vous êtes précipités pour changer immédiatement vos mots de passe sur chaque site, la plupart d'entre eux auraient encore utilisé la version vulnérable d'OpenSSL.
CONNEXE: Comment exécuter un audit de sécurité Last Pass (et pourquoi il ne peut pas attendre)
Maintenant, en milieu de semaine, la plupart des sites ont commencé le processus de mise à jour et le week-end, il est raisonnable de supposer la majorité des sites Web
Vous pouvez utiliser le vérificateur de bogue Heartbleed ici pour voir si la vulnérabilité est encore ouverte ou, même si le site ne répond pas aux demandes du vérificateur mentionné ci-dessus, vous pouvez utiliser le vérificateur de date SSL de LastPass pour voir si le serveur en question a récemment mis à jour son certificat SSL (s'il l'a mis à jour après le 4/7/2014, il indique qu'il a corrigé la vulnérabilité.) Remarque: si vous exécutez phhsnews.com via le vérificateur de bogues nous renverra une erreur parce que nous n'utilisons pas le cryptage SSL en premier lieu, et nous avons également vérifié que nos serveurs n'exécutent aucun logiciel affecté.
Cela dit, il semble que ce week-end se dessine être un bon week-end pour prendre au sérieux la mise à jour de vos mots de passe. D'abord, vous avez besoin d'un système de gestion de mot de passe. Consultez notre guide pour commencer à utiliser LastPass pour configurer l'une des options de gestion des mots de passe les plus sécurisées et les plus flexibles. Vous n'avez pas besoin d'utiliser LastPass, mais vous avez besoin d'un système en place qui vous permettra de suivre et de gérer un mot de passe unique et fort pour chaque site Web que vous visitez.
Deuxièmement, vous devez commencer à changer vos mots de passe . Le plan de gestion de crise dans notre guide, Comment récupérer après que votre mot de passe d'email est compromis, est un excellent moyen de s'assurer que vous ne manquez aucun mot de passe; il souligne également les principes de base d'une bonne hygiène des mots de passe, cités ici:
- Les mots de passe doivent toujours être plus longs que le minimum autorisé par le service pour . Si le service en question autorise des mots de passe de 6 à 20 caractères, optez pour le mot de passe le plus long dont vous vous souviendrez
- N'utilisez pas de mots de dictionnaire dans le cadre de votre mot de passe . Votre mot de passe devrait ne jamais être si simple qu'une analyse rapide avec un fichier de dictionnaire le révélerait. N'incluez jamais votre nom, une partie du nom d'utilisateur ou du courriel, ou d'autres éléments facilement identifiables comme le nom de votre entreprise ou votre nom de rue. Évitez également d'utiliser des combinaisons de clavier courantes comme "qwerty" ou "asdf" comme mot de passe
- Utilisez des mots de passe au lieu des mots de passe . Si vous n'utilisez pas un gestionnaire de mots de passe oui, nous nous rendons compte que nous utilisons l'utilisation d'un gestionnaire de mots de passe) alors vous pouvez vous souvenir de mots de passe plus forts en les transformant en mots de passe. Pour votre compte Amazon, par exemple, vous pouvez créer le mot de passe facile à mémoriser "J'aime lire des livres" et ensuite le croquer dans un mot de passe comme "! Luv2ReadBkz". C'est facile à retenir et c'est assez fort.
Troisièmement, si possible, vous voulez activer l'authentification à deux facteurs. Vous pouvez en savoir plus sur l'authentification à deux facteurs ici, mais en un mot, vous pouvez ajouter une couche d'identification supplémentaire à votre connexion
RELATED: Qu'est-ce que l'authentification à deux facteurs, et pourquoi en ai-je besoin?
Avec Gmail, par exemple, l'authentification à deux facteurs nécessite non seulement votre identifiant et votre mot de passe mais également l'accès au téléphone portable enregistré sur votre compte Gmail afin que vous puissiez accepter un code SMS à saisir lorsque vous vous connectez depuis un nouveau compte.
L'authentification à deux facteurs étant activée, il est très difficile pour une personne ayant accès à votre identifiant et à votre mot de passe (comme avec le Bug Heartbleed) d'accéder à votre compte.
Failles de sécurité, en particulier Avec de telles implications, elles ne sont jamais amusantes, mais elles nous offrent l'opportunité de resserrer nos pratiques de mots de passe et de veiller à ce que les mots de passe uniques et forts conservent les dommages, lorsqu'ils se produisent.
Comment configurer OneDrive pour synchroniser uniquement certains dossiers dans Windows 10
OneDrive fournit 15 Go d'espace libre dans le cloud pour stocker des photos, de la musique, des documents et d'autres fichiers. Ces fichiers peuvent être synchronisés entre plusieurs appareils tels que les téléphones intelligents, les tablettes et les ordinateurs. Toutefois, vous ne souhaiterez peut-être pas télécharger tout votre contenu sur certains appareils.
Comment supprimer Cortana de la barre des tâches de Windows 10
Cortana est la dernière assistante numérique personnelle à faire son entrée sur un marché déjà dominé par Apple et Google. Cortana arrive officiellement sur le bureau de Windows 10. C'est en général une bonne chose, mais il est toujours important de savoir comment réduire la présence de Cortana. Au cas où vous n'auriez pas entendu, Cortana est la version Microsoft du même type de voix .