Two-Factor Authenticationを使用して、Heartbleedに似たバグに対する回復力を高める

4月7日月曜日に、いわゆるハートブリードバグ。Heartbleedは、トランスポート層セキュリティ（TLS）セキュリティプロトコルを実装するソフトウェアライブラリであるOpenSSLの欠陥です。TLSは、Webサイト、電子メール、インスタントメッセージングなどを介した通信を保護するために広く使用されています。接頭辞「https」またはブラウザのアドレスバーのロックによって認識できます。

ハートブリードバグ

Heartbleedバグにより、攻撃者は影響を受けるサーバーのメモリの一部を取得できます。このメモリは、TLS秘密鍵、ユーザーのパスワード、クレジットカードの詳細などの機密データを保存および処理するために使用されます。そのため、攻撃者はこのバグを使用して、会社のWebアプリケーションから機密データを取得できます。特定の状況下では、このバグにより、脆弱なTLSサーバーと過去に交換された機密データを取得することもできます。さらに、攻撃者は、影響を受けるWebアプリケーションのTLS秘密鍵を使用して、正規のサーバーになりすます不正なサーバーをセットアップすることもできます。

Heartbleedと静的パスワードで保護されたアカウントへの影響

Heartbleedバグは、ユーザー名と静的パスワードが十分なレベルのセキュリティを提供していた時代が確実に終わったことをもう一度痛々しく確認しています。

Heartbleedバグの影響を受けるWebアプリケーションは、過去2年間にTLSを介して交換されたすべての機密データが侵害される可能性があると想定する必要があります。Heartbleedにより、影響を受けるWebアプリケーションとの通信を傍受した攻撃者は、この機密データを復号化することができます。つまり、このような攻撃者は、Webアプリケーションのユーザーのユーザー名とパスワードを取得し、それらが有効である限り、それらを使用してログオンできます。

さらに、Heartbleedの影響を直接受けていないWebアプリケーションも影響を受ける可能性があります。間接的に 、ユーザーは複数のWebアプリケーション間でパスワードを共有する傾向があるため。Heartbleedの影響を受けないWebアプリケーションで使用されるパスワードは、Heartbleedの影響を受けるWebアプリケーションでも使用されると、依然として侵害される可能性があります。つまり、静的パスワードに依存するWebアプリケーションの所有者は、ユーザー自身のパスワードのセキュリティを制御できなくなります。他のWebアプリケーションのセキュリティがない（存在しない）場合があります。

二要素認証を利用して、ハートブリードやハートブリードのようなバグから保護する

を使用するWebアプリケーション二要素認証 （2FA）ユーザーを認証するために、過去数日間、Heartbleedについてそれほど心配する必要はありませんでした。

ワンタイムパスワード（OTP）に基づく2要素認証により、パスワードは1回しか使用できず、有効期間が短いことが保証されます。結果として、過去2年間に使用され、攻撃者によって回収されたOTPは、その攻撃者にとって価値がありません。OTPの短命な性質は、TLSで保護された通信を解読する敵にそれらを無価値にします。さらに、2FAは、ユーザーがさまざまなアカウント間でパスワードを共有できないことを保証します。これにより、Webアプリケーションの所有者は、Heartbleedの影響を受ける可能性がある他のアプリケーションと資格情報を共有するユーザーについて心配する必要がなくなります。

ハートブリードのバグは、オンラインの世界で大きな混乱を引き起こしました。しかし、それはおそらく、私たちが見る最後のバグではありません。したがって、Heartbleedおよび今後のHeartbleedに類似したバグに対する回復力を高めるために、Webアプリケーションの所有者は2FAを導入する必要があります。