Kuidas käivitada viimase passi turvalisuse audit (ja miks see ei saa oodata)
Kui te harjutate lõdvale paroolihaldusele ja hügieenile, on see vaid aja küsimus, kuni üks suurema hulga suuremahulistest turvarikkumistest teid põletab. Ära ole tänulikud, kui sa eirasid mineviku turvarikkumisi ja kaitsesid end tulevaste vastu. Lugege edasi, kui näitame teile, kuidas oma paroole kontrollida ja ennast kaitsta.
Mis on Big Deal ja miks see küsimus on?
Käesoleva aasta oktoobris selgus Adobe, et oli toimunud suur turvarikkumine, mis mõjutas 3 miljonit Adobe.com ja Adobe tarkvara kasutajat. Siis nad muutsid selle arvu 38 miljonini. Siis, veelgi šokeerivamalt, kui häkkide andmebaas lekkis, tulid andmebaasi analüüsinud turvateadlased tagasi ja ütlesid, et see on rohkem 150 miljonit eurot kasutajakontod. Selline kasutajate kokkupuude määrab Adobe'i rikkumise jooksva ajaloos kõige hullemaks turvarikkumiseks.
Adobe ei ole sellel esikohal siiski üksi; me lihtsalt avasime nende rikkumisega, sest see on valusalt hiljutine. Ainuüksi viimastel aastatel on olnud kümneid massiivseid turvarikkumisi, mille puhul kasutajaandmeid, sealhulgas paroole, on ohustatud.
LinkedIn tabas 2012. aastal (6,46 miljonit kasutajate rekordit). Samal aastal tabas eHarmony (1,5 miljonit kasutaja kirjet) nagu ka Last.fm (6,5 miljonit kasutaja kirjet) ja Yahoo! (450 000 kasutaja kirjet). Sony Playstation Network tabas 2011. aastal (101 miljonit kasutajate registrit kahjustati). Gawker Media (Gizmodo ja Lifehacker'i saitide emaettevõte) tabas 2010. aastal (1,3 miljonit kasutajate registrit kahjustati). Ja need on vaid näited uudiste rikkumistest!
Privaatsuse õiguste teabevõrgustik säilitab alates 2005. aastast kuni tänapäevani turvalisuse rikkumiste andmebaasi. Nende andmebaas sisaldab mitmesuguseid rikkumisi: ohustatud krediitkaardid, varastatud sotsiaalkindlustuse numbrid, varastatud paroolid ja meditsiinilised andmed. Andmebaas koosneb käesoleva artikli avaldamisest alates 4033 rikkumist sisaldavad 617 937 023 kasutaja kirjet. Mitte igaüks neist sadadest miljonitest rikkumistest ei hõlmanud kasutaja paroole, kuid miljonid neist miljonitest.
Miks see nii on? Lisaks rikkumise ilmsetele ja vahetu julgeolekuga seotud tagajärgedele tekivad rikkumised tagatiseks. Häkkerid saavad kohe alustada teiste veebisaitide poolt kogutud sisselogimiste ja paroolide testimist.
Enamik inimesi on oma paroolidega laisk ja seal on hea võimalus, et kui keegi kasutab [email protected] parooliga bob1979, töötab sama sisselogimise / parooli paar teistel veebisaitidel. Kui need teised veebisaidid on kõrgema profiiliga (nagu pangandus saidid või kui parool, mida Adobe kasutas tegelikult e-posti postkastis), siis on probleem. Kui keegi saab teie e-posti postkasti juurde, saavad nad alustada teiste teenuste parooli lähtestamist ja ka neile juurdepääsu.
Ainus viis sellise ahelreaktsiooni peatamiseks tekitada veelgi suuremaid turvaprobleeme veebisaitide ja teenuste võrgus on järgida kahte head parooli hügieeni reeglit:
- Teie e-posti parool peaks olema pikk, tugev ja täiesti unikaalne kõigi teie sisselogimiste hulgas.
- Iga sisselogimine saab pika, tugeva ja unikaalse parooli. Parooli korduvkasutamine puudub. Kunagi.
Need kaks reeglit on kõikidest teiega jagatud turvajuhenditest, kaasa arvatud meie hädaolukorras olevad juhised. Kuidas taastada pärast e-posti parooli kahjustamist.
Nüüd, hetkel, sa oled ilmselt natuke särtsuv, sest ausalt öeldes pole peaaegu kellelgi täiesti õhukindlat parooli. Sa ei ole üksi, kui parooli hügieen puudub. Tegelikult on aeg ülestunnistuseks.
Ma olen kirjutanud kümneid turvaartikleid, postitusi turvarikkumistest ja muudest parooliga seotud postitustest aastate jooksul, mil ma olen olnud How-To Geekis. Vaatamata sellele, et see on just selline informeeritud isik, kes peaks parooli haldaja kasutamisest ja iga uue veebilehe ja teenuse jaoks turvaliste paroolide loomisest teadma paremini, kui ma oma e-kirju läbi ohustatud Adobe'i sisselogimiste loendi kasutasin ja see oli kompromissitud parooliga vastavuses, ma ikka selgus, et ma olen põlenud.
Ma tegin selle Adobe'i konto kaua aega tagasi, kui olin oma paroolihügieeniga oluliselt lõdvestunud ja kasutasin parooli kümneid veebisaitide ja teenuste kohta, millega ma enne registreerusin, et saada häid paroole.
Kõik see oleks võinud ära hoida, kui oleksin täielikult harjutanud seda, mida ma kuulutasin ja mitte ainult loonud unikaalsed ja tugevad paroolid ka auditeeris mu vanu paroole, et tagada, et see olukord ei juhtuks kunagi. Kas olete kunagi kunagi üritanud oma paroolipraktikatega järjekindlalt ja turvaliselt proovida või lihtsalt vaja neid üle vaadata, et ennast kergesti kontrollida, on põhjalik paroolide audit tee turvalisuse ja meelerahu poole. Lugege edasi, kui näitame teile, kuidas.
Lastpass Security Challenge'i ettevalmistamine
Sa võiksid oma paroole käsitsi auditeerida, kuid see oleks tohutult tüütu ja sa ei saaks mingeid eeliseid hea universaalse paroolihalduri kasutamisest. Selle asemel, et kõike käsitsi auditeerida, kavatseme võtta lihtsa ja suures osas automatiseeritud marsruudi: me kavatseme oma paroole auditeerida, võttes viimast turvaprobleemi.
Käesolev juhend ei hõlma LastPassi seadistamist, nii et kui teil pole veel LastPass süsteemi käivitatud, siis soovitame teil selle seadistada. Tutvu HTP juhendiga, kuidas alustada LastPassiga alustamist. Kuigi LastPass on värskendanud pärast juhendi kirjutamist (liides on palju ilusam ja nüüdseks paremini ühtlustatud), saate siiski samme kergesti järgida. Kui seadistate LastPassi esimest korda, siis veenduge, et importite kõik teie brauserite salvestatud paroolid, kuna meie eesmärk on iga kasutatava parooli kontrollimine.
Sisestage LastPassisse kõik kasutajanimi ja parool: Kas olete täiesti uus LastPass või te ei ole seda täielikult kasutanud iga sisselogimise jaoks, on nüüd aeg veenduda, et olete sisestanud iga kord sisselogimine LastPass süsteemi. Me kordame teie e-posti taastamise juhendis antud nõuandeid meilisõnumite meilisõnumite kombineerimiseks:
Otsi oma meilisõnumite kohta meeldetuletusi. Ei ole raske meeles pidada teie sageli kasutatavaid sisselogimisi nagu Facebook ja teie pank, kuid tõenäoliselt on kümneid teenuseid, mida te isegi ei mäleta, et kasutate oma e-posti sisselogimiseks. Kasutage märksõnade otsinguid nagu “Tere tulemast”, “Lähtesta”, “Taastamine”, “Kinnita”, “Parool”, “Kasutajanimi”, “Sisse logimine”, “Konto” ja nende kombinatsioonid, nagu näiteks „Nulli parool” või „Kinnita konto“ . Jällegi, me teame, et see on kiusame, kuid kui olete seda teinud oma paroolihalduriga, on teil kogu konto peamine nimekiri ja sa ei pea seda märksõna veel kord tegema..
Luba kahekordne autentimine oma LastPassi kontol: See samm ei ole turvaauditi läbiviimiseks tingimata vajalik, kuid kui me oleme teie tähelepanu pööranud, teeme kõik endast oleneva, et julgustada teid, kui olete oma LastPass'i kontol ringi liikudes, sisse lülitama kahefaktorilise autentimise kindlustage oma LastPassi võlvid veelgi. (See mitte ainult ei suurenda teie konto turvalisust, vaid saate ka teie turvalisuse auditi skoori!)
LastPass Security Challenge'i võtmine
Nüüd, kui olete kõik oma paroolid importinud, on aeg ennast ennast häbistada, et ei ole 1% hardcore paroolide turvalisuse ninjas. Külastage lehekülge LastPass Security Challenge ja vajutage lehekülje allosas „Start the Challenge”. Teil palutakse sisestada oma parool, nagu on näha ülaloleval pildil, ja seejärel pakub LastPass, kas teie varahoidlas olevad e-posti aadressid olid osa mis tahes rikkumistest, mida ta on jälginud. Pole põhjust seda ära kasutada:
Kui sa oled õnnelik, tagastab see negatiivse. Kui olete õnnelik, saate sellise hüpikakna, milles küsitakse, kas soovite rohkem teavet oma e-posti rikkumiste kohta:
LastPass väljastab iga eksemplari kohta ühe turvahoiatuse. Kui olete oma e-posti aadressi pikka aega olnud, olge valmis olema šokeeritud, kui palju paroolide rikkumisi see on kokku puutunud. Siin on näide parooli rikkumise teatest:
Pärast hüpikaknaid laaditakse teid viimane LastPass Security Challenge'i põhipaneelile. Mäletage varem juhendis, kui rääkisin, kuidas ma praegu parimat hügieeni tava rakendan, kuid et ma poleks kunagi saanud palju vanemaid veebisaite ja teenust õigesti uuendama? See näitab tõesti saadud skoori. Ouch:
See on minu skoor, millel on aastate väärtuses juhuslikke paroole, mis on segatud. Ära ole liiga šokeeritud, kui teie skoor on veelgi madalam, kui olete kasutanud sama käputäis nõrku paroole ikka ja jälle. Nüüd, kui meil on oma skoor (kuigi see võib olla fantastiline või häbiväärne), on aeg andmetesse kaevata. Kiireid linke saate kasutada oma skoori protsendi kõrval või lihtsalt alustada kerimist. Esimene peatus, vaadake üksikasjalikke tulemusi. Vaadake seda 10 000 suu ülevaadet oma paroolide olekust:
Kuigi peaksite pöörama tähelepanu kõikidele siinsetele statistikale, on tõesti olulised need, mis on "keskmine parooli tugevus", kui nõrk või tugev teie keskmine parool on ja veelgi olulisem "duplikaatide paroolide arv" ja "topeltparoolidega saitide arv ”. Oma auditi põhjuseks oli 43 kohapeal 8 dupsi. On selge, et ma olin päris laisk taaskasutades sama madala kvaliteediklassi parooli rohkem kui paaril saidil.
Järgmine peatus, jaotis Analüüsitud saidid. Siit leiad väga konkreetse jaotuse kõigist oma sisselogimistest ja paroolidest, mida korraldavad paroolide korduvkasutamine (kui teil oli duplikaadid), unikaalseid paroole ja lõpuks sisselogimist ilma LastPassis salvestatud paroolita. Vaadates loendit üle, imestage parooli tugevuste vahelist kontrastsust. Minu puhul anti üks minu rahalistest sisselogimistest 45% salasõna, samal ajal kui minu tütre Minecrafti sisselogimisel anti täiuslik 100% skoor. Jällegi.
Teie kohutava julgeoleku väljakutse skoori kinnitamine
Auditi nimekirjadesse on ehitatud kaks väga kasulikku linki. Kui klõpsate nupule „SHOW”, näidatakse teile selle saidi parooli ja kui klõpsate „Visit Site”, võite hüpata paremale veebilehele, et saaksite parooli muuta. Iga paroolide parooli ei tohiks muuta, kuid mis tahes rikutud kontole (näiteks Adobe.com või LinkedIn) lisatud parool peaks jääma püsivalt pensionile.
Sõltuvalt sellest, kui palju või mitu parooli olete (ja kui hoolikas olete olnud parooli parimate tavade kohta), võib protsessi see samm võtta kümme minutit või kogu pärastlõunal. Kuigi paroolide muutmise protsess sõltub teie värskendatava saidi paigutusest, on siin mõned üldised juhised, mida järgida (me kasutame parooli värskendust menüüs Pea meeles piima näitena): külastage parooli muutmise lehte . Tavaliselt peate sisestama oma parooli ja genereerima uue parooli.
Tehke seda, kui klõpsate lukk-ümmarguse noolega logo. LastPass lisab uue parooli pesasse (nagu näha ülaloleval pildil). Vaadake üle oma uue parooli ja tehke soovitud muudatusi (näiteks pikendage või lisage erimärgid):
Klõpsake nupul „Kasuta parooli” ja kinnitage, et soovite värskendada redigeeritavat kirjet:
Veenduge, et muudatused kinnitatakse ka veebisaidiga. Korrake protsessi iga korduva ja nõrga parooliga oma LastPassi võlvis.
Lõpuks, viimane asi, mida peate auditeerima, on teie LastPassi parool. Tehke seda, kui klõpsate Challenge ekraani allosas asuvale lingile „Testida oma LastPass Master Password'i tugevust“. Kui te seda ei näe:
Te peate lähtestama oma LastPass-parooli ja suurendama jõudu, kuni saate kena, positiivse ja 100% -se tugevuse kinnituse.
Tulemuste uurimine ja teie LastPass'i turvalisuse edasine suurendamine
Pärast paroolide duplikaatide loendamist, vanade kirjete kustutamist ja muul viisil sisselogimist ja oma sisselogimise / parooli nimekirja kinnitamist on aeg auditi uuesti käivitada. Nüüd, rõhutamiseks, tõstatati allpool toodud skoor ainult parooli turvalisuse parandamise teel. (Kui lubate täiendavaid turvafunktsioone, nagu mitme teguri autentimine, saate umbes 10% suuruse tõusu).
Pole paha! Pärast iga parooli parooli eemaldamist ja kõigi olemasolevate paroolide jõudmist kuni 90% -ni või paremaks, parandas see meie tulemust. Kui oled uudishimulik, miks see ei muutunud 100% -le, on mõned tegurid, millest kõige olulisem on see, et mõningaid paroole ei saa kunagi viimase nädala standardite tõttu nuusktõve vastu tuua. saidi administraatorid. Näiteks on minu kohaliku raamatukogu sisselogimise parool neljakohaline PIN-kood (mis annab 4% viimase astme turvatasemest). Enamikul inimestel on oma nimekirjas sellised kõrvalekalded, mis lohistavad oma skoori alla.
Sellistel juhtudel on oluline, et te ei heidaks muret, ja kasutage oma üksikasjalikku jaotust mõõdiku kujul:
Parooli uuendamise protsessis kärbisin 17 dubleeritud / aegunud saiti, loonud igale saidile ja teenusele unikaalse parooli ning toonin protsessis duplikaatidega paroolide arvu 43-lt 0-le.
See võttis aega vaid tund aega, mille jooksul oli keskendunud vaid 12 tundi (millest 12,4% kulutati kurikuulsa veebilehe kujundajatele, kes panid parooli värskendamise lingid varjatud kohtadesse) ja kõik, mis mulle motiveeritud oli, oli katastroofiliste proportsioonide paroolide rikkumine! Ma teen siin märkuse, suur edu.
Nüüd, kui olete oma paroole auditeerinud ja olete pumba saanud unikaalsete paroolide stabiilsuse, kasutage ära selle edasiliikumise hoogu. Tõstke oma juhendit LastPassi tegemiseks isegi turvalisem, suurendades parooli iteratsioone, piirates sisselogimisi riikide kaupa ja palju muud. Auditi läbiviimise vahel, mida me siin kirjeldasime, järgides meie LastPassi turvajuhendit ja kahe faktoriga algoritmide sisselülitamist, on teil olemas kuulikindla paroolihaldussüsteem, mida saate uhked olla.