A múlt héten felfedezett, súlyos OpenSSL-sérülékenység ismét a többfaktoros azonosítás kérdésére irányítja a figyelmet.

A múlt hét elején felfedezett, az érintett verzió kitettségét tekintve közel két éves intervallumot felölelő OpenSSL-sebezhetőség rendkívül széles körben érinti az informatikai iparág szereplőit és felhasználóit. A Heartbleed néven hivatkozott bug lehetőséget ad az érintett OpenSSL-verzióval védett rendszerek memóriájának olvasására, hozzáférhetővé válnak a kommunikációs csatornák titkosítására használt privát kulcsok, és az adatlopás mellett utat nyit a szolgáltatások vagy felhasználók megszemélyesítésére is. A hibát az OpenSSL 1.0.1g verziójában javították, a sebezhető komponens a webszerverek mellett hálózati és mobil eszközöket, célgépeket is érint, ahol később érkezhetnek a frissítések és az új firmware-verziók.

A webszerverek tanúsítványának cseréje mellett a különösen az első napokban felhasználói oldalon is indokolt volt a fontos jelszavak megváltoztatása: bár egyes szolgáltatások – például LinkedIn, Outlook, PayPal, Evernote – biztonságosak voltak, az érintettség mások esetében nem mindig volt egyértelmű, és akadnak olyan fontos szolgáltatások – például Facebook, Google vagy Dropbox –, ahol ez kifejezetten ajánlatos volt. Az egyes domainek korábbi és aktuális jellemzőit online is ellenőrizheti, aki bízik a webes felületekben. Külön érdekesség, hogy a Bloomberg értesülései szerint az NSA is régóta ismerte és kiaknázta a bugot, amely ironikus módon éppen a biztonságos kapcsolatok alkalmazásakor (mondjuk https:// weboldalak böngészésekor) használható ki.

Így lehetne sokkal nehezebb dolguk

A jelszavak biztonsága és sebezhetősége jó ideje téma: a különböző azonosítók különböző, rendszeresen változtatott jelszavakat javasolnak, amelyek egyaránt tartalmaznak kis- és nagybetűket, számokat vagy speciális karaktereket, ráadásul nem emlékeztetnek semmilyen értelmes kifejezésre. Mindez nem csak a felhasználók felületessége vagy kényelmessége miatt nehezen kivitelezhető, de a kémprogramok az összetett jelszavakat is ugyanúgy kiszivárogtatják, sőt a jelszavakat tároló intézmények rendszerei is gyakran válnak az adattolvajok célpontjává. Nem véletlen, hogy egyre többen az alternatív hitelesítési megoldásokban látják a megoldást.

A Sophos Naked Security blogján is a két lépésben történü (két faktoros) beléptetésről értekeznek, amelyre a vezető online szolgáltatások egyike-másika már lehetőséget ad felhasználóinak – igaz, nem feltétlenül az ingyenes vagy fapados ügyfeleknek. Az azonosítás újabb rétege a Heartbleed jelentőségét persze nem csökkentené, de az ilyen úton ellopott jelszavak egy részét nehezen alkalmazhatóvá vagy egyenesen használhatatlanná tenné, jelentősen megnehezítve a támadók dolgát. A két faktoros beléptetés vagy akár a vizuális eszközök olyan módon egészítik ki a jelszavas hitelesítést, amellyel a kockázatok végül elfogadható szintre csökkenhetnek.

Biztonság

Podcastokat szinkronizál géppel a Spotify

A svéd szolgáltató egyelőre néhány népszerű podcastot igyekszik minél több emberhez eljuttatni. Természetesen az MI hatékony közreműködésével.
 
A világ a "cloud first" stratégiát követi. Nem kérdés, hogy a IT-biztonságnak is azzal kell tartania a tempót, de nem felejtheti, hogy honnan startolt.

a melléklet támogatója a Clico Hungary

Hirdetés

Jön a Clico formabontó cloud meetupja, ahol eloszlatják a viharfelhőket

Merre mennek a bitek a felhőben, ledobja-e szemellenzőjét az IT-biztonságért felelős kolléga, ha felhőt lát, lesz-e két év múlva fejlesztés cloud nélkül? A Clico novemberben fesztelen szakmázásra hívja a szoftverfejlesztőket a müncheni sörkertek vibrálását idéző KEG sörművházba.

Minden vállalatnak számolnia kell az életciklusuk végéhez érő technológiák licencelési keresztkockázataival. Rogányi Dániel és Vincze-Berecz Tibor (IPR-Insights) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 1. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.