Hivatalosan a CVE-2014-0160 azonosítót kapta az a súlyos OpenSSL sebezhetõség, amely a Heartbleed Bug nevet kapta: tõle retteg az egész internet. (A bug részletes, angol nyelvû leírása ezen az oldalon olvasható.) Ahogy a probléma kibontakozik, egyre inkább kiderül, jogos az aggodalom.

Röviden összefoglalva: kutatók még múlt hét kedden a web történetének talán legsúlyosabb biztonsági problémáját fedezték fel. Kiderült, a webkiszolgálók kétharmadán futó OpenSSL szoftver olyan sérülékenységet rejt, melynek kihasználásával ki lehetett játszani az eddig megbízhatónak hitt, titkosított SSL/TLS kapcsolatokat.

A támadók így adathalász szerverüket korrekt webhelynek mutathatták és felhasználói bejelentkezési adatokat is kilophattak. A szerverek javítását elkezdték, de ilyen méretû probléma esetén kérdéses, hogy mennyi idõn belül lehet mindet kijavítani – ha ez egyáltalán lehetséges. Addig is a felhasználóknak minden okuk meg van megváltoztatni a jelszavaikat.

Utóbb derült ki, hogy egyáltalán nem csak szervereket érint a baj, hanem az Androidot is, mivel az szintén az OpenSSL könyvtárat használja. A Google (per pillanatnyi) álláspontja szerint csak a 4.11-es Android sérülékeny, de terjednek a hírek, amelyek már a 4.2.2 érintettségérõl szólnak. Mindenesetre a Google áruházból már letölthetõ több eszköz, köztük például ez, amivel kideríthetõ, hogy kitett-e a készülék a Heartbleednek, bekapcsolt állapotban van-e a veszélyeztetett komponens.

Addig is – mivel az idõnkénti jelszócsere amúgy Heartbleed nélkül is indokolt – érdemes mindenütt kicserélni a jelszavunkat. Szakértõk azt tanácsolják, hogy legyen esélyünk védekezni hekkerek és rosszindulatú szoftverek ellen, olyan jelszavakat kell adnunk, amelyek legalább 12 karakterbõl, köztük számokból, kis és nagybetûkbõl állnak. Egy legfeljebb nyolc karakteres, értelmes szóból álló jelszót ugyanis pillanatok alatt törnek fel.

A hekkerek jellemzõen kétféle módszert alkalmaznak. Az egyik ilyen, ha a felhasználó neveket, dátumokat, értelmes szavakat ad meg: ezeket nagyon könnyen és gyorsan ki lehet deríteni. A másik az úgynevezett brute force (nyers erõ) támadás, mikor a betûk és számok összes lehetséges kombinációját kipróbálják az eszközünkön. Ehhez nagy teljesítményû számítógép és sok idõ szükséges.

Tehát semmiképpen ne használjunk jelszónak értelmes szavakat, vagy más, közösségi portálról, innen-onnan kideríthetõ, ránk jellemzõ kifejezéseket.  Hogy egy látszólag értelmetlen jelszót is meg tudjunk jegyezni, ahhoz például kézenfekvõ módszer, ha például egy hosszú és értelmes mondatnak a kezdõbetûibõl képezünk – csakis számunkra értelemmel bíró – jelszót.

Például: A feleségemet Katinak, a két fiaimat Jánosnak és Boldizsárnak, a kedvenc kutyámat Buksinak hívják. A jelszó (idézõjelek nélkül): „AfKa2fJéBakkBh”. Általánosságban elmondható, hogy minél hosszabb egy jelszó, annál nehezebb kitalálni, vagy brute force támadással kideríteni.