Saltatu nabigazio-menua eta joan edukira

EROSKI CONSUMER, kontsumitzailearen egunkaria

Bilatzailea

Fundazioaren logotipoa

EROSKI CONSUMERen kanalak


Artikulu hau itzulpen automatikoko sistema batek itzuli du. Informazio gehiago, hemen.

Euskarara itzultzeko sistemek aurrerapen handiak izan dituzte azken urteotan, baina oraindik badute zer hobetua. Hobekuntza horren parte izan nahi? Aukeratu esaldi osoak nahieran, eta klikatu hemen.

Zer egin sareko segurtasun-akatsen aurrean?

Heartbleed epaitzak argi utzi du garrantzitsua dela pasahitz sendoak eta bakarrak erabiltzea web gune bakoitzeko

Apirilaren hasieran, ingeniari-talde batek ahultasun bat aurkitu zuen OpEnsSL kodean, mundu osoko web guneek asko erabiltzen duten software librea, erabiltzaileen datu sentikorrak zifratzeko (pasahitzak, izenak edo posta elektronikoa). Google, Facebook, Yahoo edo PayPal bezalako enpresak, eta, gainera, banku asko, erabiltzailearen eta web orriko zerbitzariaren arteko komunikazioak seguruak bihurtzeko. Horregatik, orain, Heartbleed hutsegitearen ondoren, zure segurtasuna zalantzan dago. Artikulu honek Heartbleed aurrean nola jokatu eta antzeko segurtasun-akats batzuk nola egin azaltzen du.

Img heartbleed
Irudia: Dmitry Baranovski

Errore globala

Heartbleed akatsa (odola darion odola ingelesez) beste erabiltzaile batzuen saio-hasieran sar daiteke, kilobyte gutxi batzuei esker (64), protokoloak libre uzten baititu zerbitzari seguru batera sartzean. Bit horiek ausazko gakoen programa bat aktibatzeko erabil daitezke, eta programa horrek erabiltzailearenak izan daitezke. Horrela, hirugarrenen kredentzialak lapurtu daitezke.
Heartbleed akatsak beste erabiltzaileen saio-hasierara sartzeko aukera ematen du

Akatsa iragartzen zen bitartean, adabakia ere argitaratu zen, eta horrek enpresa asko bere liburutegiak eguneratzera eraman zituen. Hala ere, kalkuluen arabera, milioi bat zerbitzari inguruk erabiltzen zuten OpEnsSLren bertsioetako bat aurkitutako “bug”arekin. Segurtasun-sinadura batzuek Interneteko zati garrantzitsu batera igotzen dute arazoa. Izan ere, uste da Heartbleed dela Sarearen historiako hiru akats nagusietako bat.

Akatsaz baliatzeko, zerbitzariaren memoriako 64 kilobyte horiek lortzen dira, hainbat erasotan datu-zatiak lortzeko. Albistearen zati on bat da erasotzaile batek ezin duela aukeratu memoriaren zein zati sartzen den eta, beraz, zerbitzari bati eraso egiteak ez du esan nahi pertsonen pasahitzak azkar emango dizkionik.

Nola dakit nire datuak seguruak ote diren?

Erabiltzaileen arazoetako bat da ezin dutela jakin hirugarren batek bere datuak modu maltzurrean lortu dituen. Beraz, aukera seguruena OpEnsSL erabiltzen duten zerbitzu guztien pasahitzak aldatzea da.

Aukerarik seguruena, OpEnsSL erabiltzen duten zerbitzu guztien pasahitzak aldatzea da

Interneteko plataforma batzuek mezu elektronikoak bidali dizkiete erabiltzaileei akatsaz ohartarazteko, eta pasahitza aldatzea gomendatzen dute. Hala ere, zerbitzu guztiek ez dute ohar hau abiarazi. Bloombergen arabera, NSA (Aebetako Inteligentzia Agentzia Nazionala) ahultasun hori erabili zuen informazioa eskuratzeko, baina hori gero NSak Twitter-en gezurtatu zuen.

Heartbleed-etik babesteko gomendioak

Badira on line zenbait tresna, hala nola LastPass Heartbleed checker edo Heartbleed test, web orri bat segurtasun-akats horren aurrean ahula den jakiteko aukera ematen dutenak. Hala, erabiltzaileek beren datu pertsonalak konprometituta dauden egiazta dezakete.

Chrome nabigatzailearentzako luzapen bat ere badago, eta Heartbleed web orri kaltebera batera sartzen den pertsonari abisatzen dio.

Baina aholku garrantzitsuena Open SSL erabiltzen duten eta konprometituta egon diren gune guztien pasahitza aldatzea da. Baina gaur egun erabiltzaileak jakin ezin duen bezala, Sareko zerbitzu ezagunenez gain, aholku hori erabiltzen dituen Interneteko zerbitzu guztietara hedatzen da.

Pasahitza aldatzeko aholkuak

Segurtasun-akats garrantzitsu horrek agerian utzi du garrantzitsua dela web gune bakoitzeko pasahitz sendoak eta bakarrak izatea. Jende askok pasahitz bera erabiltzen du Internet bidez dozenaka web orritan alta emateko. Hala ere, zerbitzu horietako bat, erabiltzaileen kredentzialak lapurtzen dituen eraso maltzurraren bidez konprometituta geratzen denean, arrisku berberari ere azalduko zaio, herritarrak posta elektronikoaren konbinazio bera eta erabiltzaile-izena eta pasahitza partekatzen dituenean.
Zortzi digitu baino gehiagoko gakoak bilatu behar dira, eta teklatuaren zeinuekin konbinazio alfanumerikoa izan behar dute

Pasahitza hautatzeko aholku batzuk zortzi digitutik gorako gakoak bilatu behar dira, eta teklatuaren zeinuekin konbinazio alfanumerikoa izan behar dute. Konbinazioa zuzena dela ziurtatzeko, Interneten hainbat pasahitz indartsu daude.

Batarau mnemoteknikoa pasahitzak sortzekoarazorik gabe gogoratzeko, erabiltzaileak erraz gogoratuko duen esaldi batean pentsatu behar du; esaldiko hitz bakoitzaren hasierako letra aukeratu behar du; eta batzuk maiuskulaz, minuskulaz eta zenbakiz idatzi behar ditu, eta, azkenik, karaktere berezi batzuk erantsi. Horrela, “Mantxako leku batean erabaki nahi ez dudana” esaldiarekin, pasahitza “3 ud L1 MCnNQA$” izan daiteke.

Sortutako pasahitzak ez dira testu planoan idatzi behar ordenagailuaren dokumentu batean; izan ere, gailuan baimendu gabeko sarbide batek erabiltzailearen segurtasuna arriskuan jar dezake. Horretarako, aplikazio batzuk (adibidez, 1 Password, LastPass edo Passlocker) modu seguruan gordetzen eta kudeatzen dituzte on line zerbitzu guztien eta erabiltzailearen aplikazioen pasahitzak.

RSS. Sigue informado

Hau interesa dakizuke:

Infografiak | Argazkiak | Ikerketak