加密软件惊现“用户机密外泄”
Users are advised to change websites’ passwords
有三分之二网站都在使用的OpenSSL加密技术惊现会导致加密信息外泄的技术漏洞,而这些网站中包括加拿大税务局、Facebook甚至FBI。因此,网上用户的信用卡号码、电邮账户、电子交易信息等个人隐私都有可能遭到令网站机密信息“核心泄露”的攻击。目前有关公司正在积极修补OpenSSL漏洞,加拿大税务局也因此关闭了报税网站,并建议用户加强防范,立即修改他们的网上密码。
A technical flaw which has compromised the security encryption of the online information has been detected in OpenSSL, software used by two-thirds of websites that include CRA, Facebook and even the FBI. As a result, online users’ personal privacy, from credit card numbers to email accounts and online commerce – is at risks of “heart bleed attacks”. As the websites are scrambling to patch the SSL flaw and CRA has shut down its online services, users are advised to take preventive measures to change their online passwords immediately.
(大中报泊然报道)互联网安全专家目前正在积极修补令人震惊的加密软件漏洞Heartbleed(心脏出血)臭虫,其会导致数百万用户的个人信息外泄,包括信用卡号码、电邮账户和各种电子商务信息。
有报道称,目前有多达三分之二的网站都在使用OpenSSL加密技术保护用户的密码和其他信息,但是现在一个名为Heartbleed的大型安全漏洞却浮出水面。该漏洞可让入侵者诱使服务器泄漏你的个人信息。
在获知有关Heartbleed漏洞的消息后,加拿大税务局已经关闭了报税网站,预期该网站至少要到本周末才会重启。但税务局也表示,此举只是出于谨慎而采取的防范措施。
与此同时,加拿大各银行、航空公司、以及Amazon.c、Wal-Mart和Indigo Booksall等网络零售商均表示,它们不受Heartbleed漏洞影响。
科技资讯媒体Mashable已经列出一系列受Heartbleed漏洞影响的网站,其中包括Facebook、Gmail (或其他Google服务)、Tumblr、Yahoo邮箱子、GoDaddy、Intuit (TuboTax)、Dropbox、LastPass、OkCupid和Soundcloud,并建议这些网站的用户立即修改密码。
如果你对其他网站心存疑虑,可以通过Github网站的Heartbleed-Masstest列表查看网站测试结果,不过这些结果都是来自Github 的志愿者社区,并未经过相关政府机构验证。此外,filippo.io/Heartbleed等服务网站也可以帮助你进行网站测试。
虽然用户立即修改所有密码听起来是个好主意,但实际上在相关网站更新其OpenSSL软件之前,更改密码没有任何用处,因为新密码仍然会不堪一击。多伦多密码管理网站1Password建议称,更改密码的最佳时间是在网站打完漏洞补丁和更新证书后。
在更改密码时,最明智的做法就是不要将同一个密码应用于多个账户,否则如果黑客发现了你的一个密码,就可以访问你其他的账户。还有一个经验法则就是信用卡密码应该单独设置,不要和其他任何网站共用相同的密码。
在设置新密码时,应该避免出现“1234”这样的弱智密码。正如 xkcd.com网站创建者门罗(Randall Munroe)所指出的,密码强度的最重要决定因素就是无序性。大致来说,密码越难猜强度就越高。因此,用户应该尽量选择长密码,如果你觉得自己难以记住多个长密码,而又不想使用密码管理器,那至少应该记住一个强密码,并将其用于最重要的电子交易。最后,一定要切记的是银行密码和游戏密码千万不能相同,否则黑客入侵你常登陆的游戏论坛就可以盗走你的银行密码。
Heartbleed漏洞并不是病毒,而似乎是出现在开源加密库OpenSSL加密机制中的一个程序错误,黑客可以利用这个缺陷轻松潜入存在漏洞的系统,窃取用户的密码和其他加密信息。据发现和命名Heartbleed漏洞的芬兰网络安全公司Codenomicon称,这个漏洞已经存在了大约两年之久,但直到前几天才被发现。
对此,OpenSSL软件基金会(OpenSSL Software Foundation)和维护相关代码的开发商可能难辞其咎。据《华尔街日报》报道,只有四名工作人员负责维护开源加密库,并且其中只有一人是全职。