hearbleed Update 告诉您应该麻烦更改哪些密码的网站

[更新:请看下面的奖励xkcd链接。]有关背景,请参阅这份关于密码卫生一般原则的早期心脏出血报告,以及一系列测试实用程序中的这份报告,以检查可能受影响的站点是否已经修复。

您今天和周末的简单两点清单:

1 )除了前面提到的一些其他测试站点(最后通过,可能的。LV,Qualys,Filippo . io ),请查看安全公司IVPN提供的非常方便的指南。这里是它显示的内容的示例:

当然它并不覆盖所有站点,但是它包括许多最大容量的站点。这个演示最有用的两个方面是显示哪些站点根本没有使用OpenSSL,因此没有受到影响;并澄清哪些受影响的密码已经实施了修复,以便新的、更改过的密码将保持不变。我不能独立担保这里的所有报道,但是我知道的那些报道和我在别处看到的一致。同样,这里的优点是演示简单明了。

2 )随着这一事件的消退,科技人员发现了它的长期含义,承诺牢记密码生命的基本规则,正如在最初的帖子中滔滔不绝地解释的那样:

错误地更改密码,尤其是在这样的报告之后;对于你关心的网站,不要使用你在其他地方用过的密码;使用密码管理器避免前两个提示中的疯狂;当两级安全系统可用时,例如在Gmail中使用它们;提醒你自己,为什么值得去找这个麻烦,看一看如果你不去,会发生什么。不管怎样,那份报告很有趣。就这些。同样,最近报告的结果是,大多数重要站点现在已经修补了它们的OpenSSL漏洞,所以没有进一步的借口推迟密码更改。

更新: xkcd对这个错误实际上是如何工作的有很好的视觉解释。

上一篇文章下一篇文章