账户安全

更新：在上一篇有关此漏洞的文章中曾提到（引用了Github上的列表）HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示，他们的用户并未受此漏洞的影响，所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表，这些服务官方推荐更改用户密码。 NPR（美国国家公共广播电台）主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后，人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题，这次是OpenSSL中的一种严重的加密漏洞，被戏称为”Heartbleed”（心滴血）。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL，别担心，下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后，数据都将使用SSL/TLS协议进行加密，不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候，OpenSSL的维护人员针对一种严重漏洞发布了修订，此漏洞在实现TLS功能时出现，称为”Heartbeat”（心跳包），攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说，如果保护机器的库是有漏洞的版本，那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码，甚至包括服务器用于加密连接的专用密钥。此外，利用Heartbleed漏洞不会留下痕迹，没有确定的方法来判断服务器是否被黑客入侵过，也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是，该漏洞很明显能够被轻松利用，而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗，包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新：Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书（下面有更多检查相关内容）的时间，只需在以下所有站点上更改密码即可：Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码！ 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞，但你还需要知道之前是否有存在过。很幸运，你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是，PayPal和Google未受影响。坏消息是，Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户，请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后，还需要考虑重新发布网站证书。因此准备好监视服务器证书，并确保使用的是最新证书（4月8日或之后发布的证书）。为此，请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期，请点击地址栏中的绿色锁图标，然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后，最重要的一步是立即更改密码。此时可修改密码策略，并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。