应对心脏出血：更新密码或进行双重认证

  根据IDG News Service 4月28日消息：最近一次你考虑使用不同的密码来登录不同的网站是什么时候？应该是被称为“心脏出血”的互联网大漏洞被爆出的时候。

  本月早些时候，互联网Open SSL爆出超级大漏洞，这一漏洞被命名为heartbleed,意思为“心脏出血”。对于普通人们而言，理解这一漏洞是比较困难的：OpenSSL相当于互联网当中的一个门锁，可以保证用户的所有信息不被第三方看到，出现的漏洞使加密的数据被盗窃。

  以前可能没有过多考虑在线密码的互联网用户现在因为“心脏出血”漏洞已经在转变他们的想法，甚至通过双重验证来保证安全。

  OpenSSL的心脏出血漏洞，在2011年末的一个新版本软件中被发现，这个漏洞会在某些情况下，允许网络攻击者从64KB服务器内存窃取数据，而这样的数据其实已经设置了密码或加密密钥，然而网络攻击者还是可以用来窃取用户的帐户，甚至利用恶意网站来模仿真实网站来收集用户名和密码。如果进行双重认证，用户需要提供两个独立信息才能进入，这样可以帮助保护用户免受这种攻击。

  心脏出血漏洞披露后，登录一些社交媒体可以看到一个密码重置和登录认证注册，同时其进行了双重认证。

  然而其他的互联网公司拒绝透露他们是否检测到了更多的密码修改或进行双重认证。很多公司，包括谷歌和雅虎，说他们已经修补了漏洞，但是并不清楚每个公司在第一时间进行修复的网站是否还是容易被攻击。

  这种不确定性可能会使用户增加使用密码服务软件，一个密码管理软件1Password迅速风靡。根据其开发者AgileBits的消息，在心脏出血漏洞纰漏后不久，这款软件在苹果的应用程序商店的下载量，就从排名200以后上升至前10。

1Password Mac版软件界面截图

  但是人们安全意识的增强只能持续不长的时间。“1Password软件的下载量目前已经在苹果应用商店排名第67。

  来自安全分析服务提供商RedSeal Network的首席技术官Mike Lloyd则认为：“心脏出血漏洞已经影响了人们的想法，至少在一段时间内。”

  安全专家和服务公司无法估计在主要的在线服务上，到底有多少用户改变密码或开始使用双重认证。但他们说他们已经注意到了一个新的迹象——甚至非技术人员——开始注意安全问题。

  “心脏出血漏洞不仅仅是一个小范围的事情，它的影响范围非常大。”云安全公司Elastica 的首席技术官Zulfikar Ramzan说，“我必须要做更多的事情来保证安全。”

  其他专家的也同意这样的观点。他们说更多可能不是很懂技术的人正在改变他们的密码或者是采取更为聪明的方法来保证安全上网。“这次的漏洞对于用户而言是一次警钟，心脏出血漏洞使得更多的人对他们的密码进行加强。” Lloyd说道。

  人们也可以对他们的在线帐户有一个更全面的看法。现在，网络用户更清楚在社交网站和网上银行上使用相同的密码是不明智的。

  使用不同的密码来登录不同的网站，虽然这并不是革命性的，但这是进步性的。

  “有时需要一场灾难让人们去做他们需要一直做的。”来自HyTrust的首席设计师Steve Pate这样评价道。