Heartbleed 臭蟲是最近引起很多討論的資安問題,「知名密碼學專家Bruce Schneier表示,這是個災難性的臭蟲,如果從1~10要評分的話,他給11分。該臭蟲讓網路上的任何人都能讀取藉由OpenSSL保護的系統內容,可能涵蓋用來確認服務供應商或加密流量的金鑰,也可能是使用者的名稱、密碼,或其他內容,可說是幾乎所有內容都有機會外洩」。(資安教父:Heartbleed是網路有史以來最嚴重的臭蟲)
雖然報導讀起來很嚇人,但大家不必驚慌,請遵守以下原則,做好個人防護:
1. 存取重要資料的服務,如 Google, Dropbox, Facebook 等等,請更新密碼,密碼長度至少 14 字元,包含英、數、符號、空白鍵等增加複雜度,避免使用常見字彙或1234等懶人密碼,也不可重複使用同一組密碼。
遭受影響的網路公司清單,請見 http://on.mash.to/R84J2X。
其中,微軟的所有服務都不受影響,所以如果你使用的是微軟的信箱帳號或 O365 等等的服務,只需做好一般密碼的防護措施即可。
2. 重要的帳號請開啟二階段驗證:目前很多網路公司都提供這項服務了。使用者除了帳號、密碼之外,可以透過手機簡訊的驗證,或 Google Authenticator 的驗證碼,多一層貼身防護。請參考:[教學] 開啟 Google 兩步驟驗證,使用 Google Authenticator 產生驗證碼,強化帳戶安全
3. 如果你使用 LastPass 管理密碼,請點擊瀏覽器上的服務圖示→工具→安全檢查→點擊最後一行「開始這次挑戰 」,即可偵測目前您的所有密碼強度,以及針對這次安全臭蟲,所給予的安全性建議。或者使用 LastPass Heartbleed checker 來查詢網站是否有資安危險。
最後,也請參考:[網二] 20130813 個人電腦/網站的資訊安全:給非營利組織的建議,做好個人與組織密碼的防護,是讓網路生活安全、愉快的重要一步!
0 意見:
張貼留言