Video: How to reset your Apple ID password on your iPhone, iPad, or iPod touch — Apple Support (Oktober 2024)
Det vanligste rådet for sluttbrukere i all den brusen rundt Heartbleed-sårbarheten i OpenSSL var å tilbakestille passord som ble brukt på sensitive nettsteder. Ved å legge til side det som kanskje ikke er det beste rådet, må brukerne være på vakt for potensielle phishing-angrep på veien, advarte sikkerhetseksperter.
Sikkerhetsforskere røpet detaljer om Heartbleed-sårbarheten tidligere denne uken, og serveradministratorer og tjenesteleverandører over hele verden har kryptert for å sjekke systemene sine og for å lukke sårbarheten så snart som mulig. Som det er blitt diskutert her på SecurityWatch og PCMag.com, kan programvarefeilen utnyttes til å hente tilfeldige informasjonsbiter i datamaskinens minne, potensielt lekke private nøkler, sensitive data og sertifikater.
Med tanke på interessen for emnet når forskere finner ut omfanget av problemet og implikasjonene, er phishing-angrep som blir beskrevet som varsler om tilbakestilling av passord, veldig sannsynlig. Det er lett å forestille seg cyberkriminelle og andre svindlere som gledelig gnir seg i hendene når de planlegger piggyback-angrep.
Ikke klikk!
Noen organisasjoner har allerede lappet systemene sine og rekker proaktivt til kundene for å gi dem råd om å endre passord. Dessverre har SecurityWatch sett minst to tilfeller der e-posten inkluderte en klikkbar kobling som fører brukere til nettstedet for å tilbakestille passordet. Og hva er den første regelen med å unngå phishing-angrep? La oss si det sammen: Ikke klikk på lenker i e-post!
Som vi har sett med falske PayPal- og bankemails, er det enkelt å forfalske e-postoverskrifter og lage veldig realistiske e-poster. Nettstedet brukere slutter på kan også se ut som den virkelige tingen.
For å være rettferdig blir folk flinkere til å gjenkjenne e-postadresser for tilbakestilling av passord som potensielt skadelige. Bekymringer over Heartbleed kan imidlertid lure selv de mest forsiktige brukerne. "Hvis du tenkte:" Hei, kanskje jeg burde endre passordet til eksempel.com , bare i tilfelle ", og så kommer en e-postmelding som hevder å være fra eksempel.com som tar deg til en påloggingsskjerm som ser ut som eksempel.com … du kan tilgi at du bare fulgte vane og prøvde å logge deg inn, "skrev Paul Ducklin, en sikkerhetsevangelist for Sophos, på bloggen Naked Security.
Sikkerhetsregler gjelder fortsatt
Ja, Heartbleed er alvorlig og vil ha konsekvenser for Internett-sikkerhet i flere måneder og år fremover. Men det betyr ikke at vi glemmer alle leksjonene om å gjenkjenne spam og phishing-e-poster. Vær mistenksom overfor uønskede e-postmeldinger du mottar, selv om de er fra selskaper du er kjent med. Hvis e-posten ber deg om å klikke på en kobling i meldingene for å tilbakestille passordet ditt, kan du kvele den trangen til å gjøre det. Besøk nettstedet manuelt og start passord tilbakestilling direkte fra nettstedet.
Hvis selskaper stoppet for å vurdere sikkerhetsmessige implikasjoner og ikke la lenker til påloggingssiden i selve e-posten, ville det være mye tryggere for kundene fordi de ikke kommer til å vane å klikke på lenker, hevdet Ducklin. "Hvis ingen legitime nettsteder noensinne har lagt inn påloggingslenker i e-postkorrespondansen, blir det trivielle å avgjøre om innloggingslenker er bra eller dårlig: de er dårlige, og det er slutten på det, " sa han.
Mange råd der ute forteller brukerne om å endre passord overalt. I stedet bør du bare endre passord på nettsteder som har bekreftet at de har fikset Heartbleed-feilen. Noe annet kan faktisk øke sjansene for at den private informasjonen din blir snorklet, advarte Ducklin.
