Heartbleed fallout：すべてのパスワードを変更する

今週、私たちは人気のある暗号ライブラリが2年間攻撃に対して完全に脆弱であることを学びました。 発見者によって「Heartbleed」と名付けられたバグにより、サイバー詐欺師は、2台のコンピューター間の安全な接続を開いたままにするハートビートサービスを破壊できます。 侵入すると、セキュリティキー、ログイン資格情報、およびすべての暗号化されたデータを盗むことができます。 さらに悪いことに、そのような攻撃は痕跡を残しません。

問題を解決するために個人的にできることは何もありません。 脆弱なソフトウェアを実行しているサーバーの所有者は、行動を起こす必要があります。 具体的には、脆弱性のない最新バージョンに更新し、サイトのすべてのセキュリティキーを取り消してから、キーを再発行する必要があります。 ただし、公開されたパスワードについては何かできます。 それらをすべて変更してください！

誰が脆弱ですか？

専門家は、すべてのサーバーの3分の2がバグを抱えている可能性があると推定していますが、安全なサイトのすべてが脆弱なわけではないのは事実です。 このテストを使用して、特定のドメインを確認できます。 LastPassが提供するテストは、さらに多くの情報を提供します。 たとえば、OpenSSLを使用し、過去2日間にセキュリティ証明書を再生成したサイトは、以前は脆弱であった可能性があります。

使用するすべての安全なWebサイトを調べてテストする必要があります。 現在脆弱なものはすべてメモします。 それらを再検討する必要があります。 実際、脆弱なものについて慎重に考えてください。 それらを本当に必要とし、使用していますか？ そうでない場合は、プロファイルと他のすべての情報を消去してアカウントを閉鎖することを検討してください。

それらをすべて変える！

現在のパスワードが「password」であるか「C5H8&bY！6BDB6g66rRWJ」であるかは関係ありません。 それがどれほど強力であっても、悪者はバグのあるサーバーのメモリからそれを引き出すことができます。 パスワードが何であれ、彼らはあなたのユーザー名とあなたが送信した安全なデータとともにそれを持っています。 さらに、同じパスワードを使用した他のサイトも公開されます。

セキュリティで保護されたサイトは、まだ脆弱なサイト、過去に脆弱なサイト、脆弱なことのないサイトの3つのカテゴリに分類されます。 過去に脆弱だったパスワードを変更することは絶対に不可欠です。 特に確実ではないので、決して脆弱ではないように見えるものを変更しても害はありません。 脆弱性が残っているものについては、それらを再度変更する必要がありますが、今すぐクリーンスイープを行い、重複するパスワードがないことを確認することにより、パスワード更新の2回目のラウンドを容易にします。

どうやるか

パスワードマネージャーなしでオンラインに接続することは、リスクの高いビジネスです。 まだ使用していない場合は、今から始めましょう。 編集者の選択LastPassは無料です。 ECでもあるDashlaneは、年間わずか19.99ドルです。

LastPassとDashlaneの両方が、脆弱で重複したパスワードを識別するパスワード分析レポートを提供します。 レポートから、リンクをクリックしてサイトにアクセスし、パスワードを変更できます。 パスワードマネージャーが変更を取得します。 迷惑なパスワードを考えないでください。 パスワードマネージャーに、誰も推測できないものを生成させます。

私たちのジル・ダフィーは、Dashlaneの助けを借りて、5週間でパスワードの状況を片付けたと報告しています。 Heartbleedニュースでは、もう少し緊急性が必要です。 すべてのパスワードをできるだけ早く新しい一意のパスワードに置き換えることをお勧めします。

それは終わっていません

少なくともHeartbleedバグに対して脆弱なサイトでパスワードを変更すると、少なくとも同じパスワードを使用する他のサイトが公開されないことが保証されます。 ただし、新しいパスワードは完全に危険にさらされています。 可能であれば、修正されるまでこれらのサイトに近づかないでください。 そして、彼らがするとき、もう一度パスワードを変更します。 少なくとも、信頼できるパスワードマネージャーの助けを借りて作業を行うことができます。