您现在正在浏览: 首页 » 网络安全
安全协议并不安全,"心脏流血"OpenSSL爆重大安全漏洞影响全球互联网厂商

发布时间: 2014-04-10 15:12:19   作者:本站编辑   浏览次数:  


      2014年4月8日,微软终结了Windows XP的技术支持,当大多数人在忧虑如何保护个人电脑操作系统安全时,OpenSSL安全协议却爆出本年度最严重的安全漏洞!无论您的个人电脑多么安全,只要登陆的网站使用了存在漏洞的OpenSSL版本,就可能被黑客实时监控到登录账号和密码。

       OpenSSL是什么? SSL(安全套接层)协议是使用最为普遍的网站加密技术,URL 中使用 https 打头的连接都采用了 SSL 加密技术。OpenSSL 则是开源的 SSL 套件,是为网络通信提供安全及数据完整性的一种安全协议,它通过一种开放源 代码的SSL协议,实现网络通信的高强度加密。 这也就是说,OpenSSL的存在,就是一个多用途的、跨平台的安全工具,由于它非常安全,所以被广泛地用于各 种网络应用程序中。Lifehacker指出,全球大约66%的网络使用OpenSSL加密数据。
       此次漏洞别名为Heartbleed(译为"心脏出血"),当前互联网最危险的漏洞 安全专家表示,Heartbleed 漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议 (DTLS)的 Heartbeat 扩展存在漏洞。该漏洞发生在OpenSSL对TLS的心跳扩展(RFC6520)的实现代码中,由 于遗漏了一处边界检查,使攻击者无需任何特权信息或身份验证,简而言之就是黑客可以轻松获取包含证书私 钥、用户名与密码、聊天消息、电子邮件以及重要的商业文档和通信等重要数据。 利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多以https开头网址的用户登录账号密码,虽然目 前此漏洞影响多少网站我们并不能给出准确数字,但是诸如我们经常访问的支付宝、淘宝、微信公众号、YY语 音、陌陌、雅虎邮件、各大银行的网银系统、门户等,基本上都被爆存在该问题。而在国外,受到波及的网站 也数不胜数,就连大名鼎鼎的NASA(美国航空)也在其中。 
       专家建议您通过确认网站是否修补了该漏洞并修改您在该网站的密码来抵御这次漏洞带来的影响!一些建议:
       1.确保你的密码足够长。你的密码中的字母越多,你的密码就越不容易被别人猜到。谷歌和微软均认为,密码越长越安全。微软建议,你的密码长度至少要达到8个字母。大多数网站对于密码设置也有最低字母数量要求,这样可以有效地防止你使用极易被人猜出的4个字母的密码。
       2.尽量让密码字母随机排列。如果你使用的密码是一个常见的单词或短语,那么你的这个密码再长也没有效,因为它还是很容易被人猜出。你最好使用一些随机的字母组合,包括各种字母、数字和符号。不要用你的姓名或公司名称作为你的密码,也不要用某个单词来充当密码。你的密码应该包含一系列大写和小写字母、数字和符号。
       3. 用错误的拼写取代正确拼写的单词。如果你准备在密码中使用单词或短语,那么故意使用错误的拼写也是防止密码被别人猜对的好办法。你可以用符号和数字来取代字母。例如,如果你想要在密码中使用“I love soccer”这句话,那么你可以将它改写为“ 1LuvSoCC3r!1”,这样可以让它变得更安全。
       4. 同一个密码不要应用于多个账户。 你千万不要将同一个密码应用到你的所有账户中。否则,如果攻击者发现了你的一个密码,那么他们就可能会访问你所有的个人页面和账户。你还应该确保每个密码都不同于你以前设置的密码或其他现有的密码。
       5. 避免出现弱密码。如果你仍然不确定超强密码与弱智密码之间的差别,那么这些密码你千万不要使用:abc1234、password、admin、iloveyou和aaaaaa。在去年12月Adobe的系统遭受黑客攻击时,被破解的都是类似这些简单低级的密码。
       6. 通过造句来编写密码。编写超强密码的另一个好办法就是想出一句你很容易记住的句子,然后进行改写。例如,你造了一个句子“My favorite animal is the koala bear”。现在,你可以取用该句子中每个单词的首字母,然后添加某些标点符号,并用数字替代其中的某些字母。那么,这句话就变成了这样的密码mFA1tkB!。
       Heartbleed风波过后,一大问题是互联网公司会否改变它们的安全措施。很多大型互联网公司都已经转向了PFS(完全正向保密)技术——它能让密钥的保存时间变得很短,是未来的一个发展方向。

这里推荐一个测试网站是否存在该漏洞的在线测试机构: 点击打开


                                                                                                                           [本文由信息中心涂扬整理]


设为首页 - 加入收藏
版权所有©西安石油大学信息中心    技术支持:西安石油大学信息中心
地址:陕西省西安市电子二路东段18号西安石油大学信息中心 邮编:710065 Email:xxzx@xsyu.edu.cn