13Sep
Ha laza jelszavas kezelést és higiéniát gyakorol, csak idő kérdése, amíg az egyre növekvő számú nagyszabású biztonsági rés ég. Hagyd, hogy hálásak legyél a múlt biztonsági törés golyókkal és páncélokkal szemben a jövőben. Olvasson tovább, miközben megmutatom, hogyan ellenőrizheti jelszavait és megvédheti magát.
Mi a Big Deal és miért van ez a kérdés?
Az idén októberben az Adobe felfedte, hogy jelentős biztonsági hiba történt, amely az Adobe.com és Adobe szoftverek 3 millió felhasználóját érintette. Ezután a számot 38 millióra módosították. Aztán, még sokkolóbb, amikor az adatbázishoz a patkány kiszivárgott, az adatgyűjtést végző biztonsági kutatók visszatértek és azt mondták, hogy hasonlít az 150 millió kompromittált felhasználói fiókra. Ez a felhasználói beavatkozás mértéke miatt az Adobe sérti a futást, mint a történelem egyik legrosszabb biztonsági sérelmét.
Az Adobe azonban alig van egyedül ezen a fronton;egyszerűen megnyitottuk a jogsértést, mert fájdalmasan új keletű.Az elmúlt néhány évben több tucatnyi hatalmas biztonsági sérülést szenvedtek el, ahol a felhasználói adatok, beleértve a jelszavakat is veszélyeztették. Az
LinkedIn-t 2012-ben érte el( 6,46 millió felhasználói rekord sérült meg).Ugyanebben az évben az eHarmony( 1.5 millió felhasználói rekord) találat volt, a Last.fm( 6.5 millió felhasználói rekord) és a Yahoo!(450 000 felhasználói rekord).2011-ben a Sony Playstation Network-t sújtotta( 101 millió felhasználói rekord veszélybe került).A Gawker Media( az olyan helyek anyavállalata, mint a Gizmodo és a Lifehacker) 2010-ben sújtott( 1,3 millió felhasználói rekord sérült).És ezek csak példák a nagy sérelmekre, amelyek miatt a hír!
A Privacy Rights Clearinghouse 2005-től napjainkig tartja a biztonsági sérülések adatbázisát. Adatbázisuk széles körű jogsértéstípusokat tartalmaz: kártékony hitelkártyák, lopott társadalombiztosítási számok, ellopott jelszavak és orvosi feljegyzések. Az adatbázis a cikk közzétételétől számítva 4,033 sérülést tartalmaz 617,937,023 felhasználói adatbázist .Nem mindegyik több százmillió jogsértésből állt a felhasználói jelszavak, de milliók millióit.
Miért számít ez? A jogsértés nyilvánvaló és azonnali biztonsági vonatkozásain kívül a jogsértések kárt okoznak. A hackerek azonnal elkezdhetik tesztelni azokat a bejelentkezéseket és jelszavakat, amelyeket más webhelyeken betakarítanak.A legtöbb ember lusta a jelszavával, és jó esély van arra, hogy ha valaki a [email protected] címet használja a bob1979 jelszóval, akkor ugyanaz a bejelentkezési / jelszópár más webhelyeknél is működni fog. Ha ezek a webhelyek magasabb profilúak( pl. Banki oldalak, vagy ha az Adobe által használt jelszó valóban feloldja e-mail postafiókját), akkor van probléma. Miután valaki hozzáférést kapott az e-mail üzenetekhez, elkezdheti a jelszó helyreállítását más szolgáltatásokban, és hozzájuthat hozzájuk.
Az ilyen típusú láncreakció megállítására egyetlen lehetőség, hogy az internetes oldalak és szolgáltatások hálózatán belül még több biztonsági problémát okoz, az, hogy kövesse két jó jelszóhigiéniai alapszabályt:
- Az e-mail jelszónak hosszúnak, erősnek és teljesenegyedülálló az összes bejelentkezés között.
- Minden bejelentkezés hosszú, erős és egyedi jelszót kap. Nincs jelszó újbóli felhasználása. valaha.
Ez a két szabály az összes olyan biztonsági útmutató, amelyet valaha is megosztottunk veled, beleértve a vészhelyzeti útmutatót is. A visszaszerzés után az e-mail jelszó kompromisszumos.
Most ezen a ponton valószínűleg kicsit rángatózol, mert őszintén szólva szinte senki sem rendelkezik tökéletesen légmentes jelszóval és biztonsággal. Nem vagy egyedül, ha hiányzik a jelszavas higiénia. Valójában itt az ideje a vallomásnak.
Több tucat biztonsági cikket, hozzászólást a biztonsági résekről és más jelszóval kapcsolatos hozzászólásokról írtam az évek során, amikor a How-To Geek-ben jártam. Annak ellenére, hogy éppen olyan informált személy, aki jobban meg kellene ismernie a jelszókezelőt, és biztonságos jelszavakat generált minden új weboldal és szolgáltatás számára, mikor az e-maileket a kompromittált Adobe bejelentkezési listáján keresztül rendeztem, és megfeleltem a feltört jelszóval szembenmég mindig tudtam, hogy égettem.
Az Adobe-fiókot régóta csináltam, amikor a jelszavas higiéniájával lényegesen lazább voltam, és az általam használt jelszó gyakori volt az több tucat weboldalán és szolgáltatásán, amelyet feliratkoztam, mielőtt szuper komolyanjó jelszavak.
Mindezeket meg lehetett volna akadályozni, ha teljes mértékben gyakorolnám azt, amit én hirdetett, és nem csak egyedi és erős jelszavakat hoztak létre, de az és is ellenőrzött régi jelszavamat annak biztosítása érdekében, hogy ez a helyzet soha nem történt meg először. Akár soha nem is próbálta konzisztens és biztonságos a jelszóval kapcsolatos gyakorlataival, vagy egyszerűen csak ellenőriznie kell őket, hogy könnyű legyen, alapos jelszavas ellenőrzés a jelszavas biztonság és a nyugalom útja. Olvass tovább, ahogy megmutatom, hogyan.
Felkészülés az Ön legmagasabb szintű biztonsági kihívásaira
Manuálisan ellenőrizhetné a jelszavát, de ez rendkívül unalmas lenne, és nem kapna semmilyen előnyöket a jó univerzális jelszókezelő használatából. Ahelyett, hogy mindent kézzel auditálnánk, a könnyű és nagyrészt automatizált útvonalat fogjuk átvenni: a jelszavakat a LastPass Security Challenge alkalmazásával ellenőrizzük.
Ez az útmutató nem foglalkozik a LastPass beállításával, ezért ha még nem rendelkezik LastPass rendszerrel, akkor javasoljuk, hogy állítsa be. Tekintse meg a HTTP Útmutató a LastPass használatának megkezdéséhez. Bár a LastPass frissítette az útmutatót( az interfész sokkal szebb és jobb áramvonalas), még mindig könnyedén követheti a lépéseket. Ha először állítja be a LastPass-ot, győződjön meg róla, hogy -t importál az -ből a tárolt jelszavakat a böngésződről, mivel a célunk az, hogy ellenőrizzük az összes használt jelszót.
Adjon meg minden bejelentkezést és jelszót a LastPass-ba: Ha teljesen új vagy a LastPass-ra vagy teljesen nem használta minden bejelentkezéshez, itt az ideje, hogy minden beíródjon bejelentkezéskor a LastPass rendszerbe. Meg fogjuk ismételni az e-mail-visszaszerzési útmutatóban megadott e-mail címünkre vonatkozó tanácsadást:
Keresse meg az e-mailjét regisztrációs emlékeztetőkhöz. Nem lesz nehéz emlékezni a gyakran használt bejelentkezési nevekre, például a Facebookra és a bankjára, de valószínűleg több tucatnyi kifizetési szolgáltatásról van szó, hogy nem is emlékszik arra, hogy az e-mailjeidet be kell jelentkezni. Használjon olyan kulcsszavas kereséseket, mint a "welcome to", "reset", "recovery", "verify", "password", "username", "login", "account" és olyan kombinációk, mint a "reset password".Ismét tudjuk, hogy ez egy szóváltás, de ha egyszer ezt a jelszókezelővel végezte el, az összes fiók mesterlista, és soha többé nem kell ezt a kulcsszóvadászatot végrehajtania.
A kétfunkciós hitelesítés engedélyezése a LastPass-fiókodon: Ez a lépés nem feltétlenül szükséges a biztonsági audit elvégzéséhez, de közben figyelünk arra, hogy mindent megteszünk, hogy ösztönözzük,a LastPass fiókot, hogy bekapcsolja a kétütemű hitelesítést a LastPass boltozat további védelmére.(Nemcsak növeli a számla biztonságát, hanem a biztonsági ellenőrzési pontokon is lendületet kap!)
A LastPass Security Challenge
kezelése Most, hogy importálta az összes jelszavát, itt az ideje,hogy nem a legfontosabb jelszavas biztonsági nindzsák 1% -a. Látogasson el a LastPass Security Challenge oldalra, és nyomja meg a "Start the Challenge" gombot az oldal alján. A rendszer felkérést kap a fő jelszó megadására, amint a fenti képernyőképen látható, majd a LastPass felajánlja, hogy ellenőrizze, hogy a boltívben lévő e-mail címek bármelyike része-e az általa nyomon követett jogsértéseknek. Nincs ok arra, hogy kihasználjuk ezt:
Ha szerencséd van, akkor negatív eredményt ad. Ha szerencséd van, ilyen módon felugró ablak jelenik meg, ha további információra van szüksége az e-mailek megsértéséről:
A LastPass egyetlen biztonsági figyelmeztetést ad ki minden egyes példányhoz. Ha már régóta rendelkezel az e-mail címed, készen állsz arra, hogy megdöbbentse, hogy hány jelszó megsérti. A jelszó megsértése:
Az előugró ablakok után a LastPass Security Challenge fő paneljére bocsátják. Emlékszel korábban az útmutatóban, amikor beszéltem arról, hogy jelenleg jó jelszavas higiéniát gyakorolok, de hogy soha nem jöttem el, hogy megfelelően frissítsem a régebbi weboldalakat és szolgáltatásokat? Nagyon jól mutatja a kapott pontszámot. Ouch:
Ez az én pontszámom évek óta véletlenszerű jelszavak keverednek be. Ne légy túl sokkolta, ha a pontszám még alacsonyabb, ha már ugyanazokat a gyenge jelszavakat újra és újra. Most, hogy megvan a pontszámunk( bármennyire félelmetes vagy szégyentelen lehet), itt az ideje, hogy be tudjuk ásni az adatokat. Használhatja a gyors linkeket a pontszám százalékos aránya mellett, vagy csak elkezd görgetni. Első megáll, nézzük meg a részletes eredményeket. Tekintse meg ezt a 10 000 lábnyi áttekintést a jelszavak állapotáról:
Amíg figyelmet kell fordítanunk az összes statisztikara, az igazán fontosak a "Átlagos jelszóerősség", az átlagos jelszó gyengesége vagy erőssége, és ami még fontosabb,"Az ismétlődő jelszavak száma" és a "Másolatokkal rendelkező jelszavak száma".A könyvvizsgálat okai között 43 találat történt 8-nál. Nyilvánvalóan elég lusta voltam, hogy ugyanazt a rossz minőségű jelszót több mint néhány webhelyen újra felhasználtam.
Következő megálló, az Elemzett webhelyek rész. Itt találsz egy nagyon konkrét lebontást minden bejelentkezésedről és jelszavadról, amelyet kettős jelszavas használat( ha vannak másolatok), egyedi jelszavakat, végül pedig a LastPass-ban tárolt jelszó nélküli bejelentkezéseket. Miközben a listán átnézed, csodálkozz a jelszó erősségei között. Az én esetemben az egyik pénzügyi bejelentkezésemhez 45% -os jelszó pontszámot kaptam, míg a lányom Minecraft bejelentkezési adata tökéletes 100% -os pontszámot kapott. Ismét.
A szörnyű biztonsági kihívás megszüntetése
Két nagyon hasznos link áll a könyvvizsgálati listákba. Ha rákattint a "SHOW" gombra, megmutatja az adott webhelyhez tartozó jelszót, és ha rákattint a "Weboldal meglátogatása" gombra, akkor közvetlenül a weboldalra ugorhat, így megváltoztathatja a jelszót. Nem csak akkor kell minden másodlagos jelszót megváltoztatni, hanem minden olyan jelszót, amely egy sérült fiókhoz kapcsolódott( például az Adobe.com vagy a LinkedIn), véglegesen le kell állnia.
Attól függően, hogy hány vagy annál kevesebb jelszó van( és mennyire szorgalmasak a jó jelszóval kapcsolatos gyakorlatokról), ez a lépés akár tíz percet is igénybe vehet, akár egész délután. Bár a jelszavak megváltoztatásának folyamata a frissített webhely elrendezésének függvényében változik, itt van néhány általános iránymutatás( a jelszavas frissítést a Remember the Milk példán keresztül használjuk): Látogasson el a jelszóváltási oldalra.Általában meg kell adnia az aktuális jelszavát, majd új jelszót kell generálnia.
Ehhez kattintson a kör alakú nyíllal ellátott logóra. A LastPass beilleszti az új jelszó-nyílásba( a fenti képernyőképen látható módon).Tekintse át az új jelszavát és állítsa be a kívánt beállításokat( például meghosszabbítása vagy speciális karakterek hozzáadása):
Kattintson a "Jelszó használata" gombra, majd erősítse meg, hogy frissíteni kívánja a szerkeszteni kívánt bejegyzést:
Győződjön meg róla,a weboldalon is. Ismételje meg a folyamatot minden egyes ismétlődő és gyenge jelszóért a LastPass boltozatában.
Végül az utolsó, amit ellenőrizni kell a LastPass Master Password. Ehhez kattintson a Kihívás képernyő alján található linkre, melynek címe: "A LastPass Master Password erőssége".Ha nem látja ezt:
A LastPass Master jelszót vissza kell állítania, és növelnie kell az erősséget, amíg kellemes, pozitív, 100% -os megerősítést kap.
A találatok felmérése és a LastPass Security továbbfejlesztése
Az ismételt jelszavak listájának törlése, a törölt régi bejegyzések és egyébként a bejelentkezési / jelszó-lista rögzítése után itt az ideje az ellenőrzés újraindítása. Most, hangsúlyozva, az alábbiakban látható pontszám csak a jelszavas védelem javításával jött létre.(Ha további biztonsági szolgáltatásokat engedélyez, például a többfunkciós hitelesítést, akkor körülbelül 10% -os emelést kap).
Nem rossz! Miután megszüntette minden egyes másodlagos jelszavát, és a meglévő jelszavak 90% -os vagy annál jobb teljesítményt nyújtottak, valóban javult a pontszámunk. Ha kíváncsi vagy, hogy miért nem ugrott 100% -ra, néhány tényező van a játékban, amelyek közül a legjelentősebb, hogy bizonyos jelszavakat soha nem lehet a LastPass-szabványoktól megfojtani, mert az ötletes politikáka webhely adminisztrátorainak. Például a helyi könyvtár bejelentkezési jelszava négyjegyű tű( amely 4% -ot jelent a LastPass biztonsági skála szerint).A legtöbb embernek van valamiféle outliere, mint a listájuk, és ez elveti a pontszámukat.
Ezekben az esetekben fontos, hogy ne szenvedjenek eleget, és a részletes részletezést metrikusként használhassuk:
A jelszó frissítési folyamatában 17 ismétlődő / lejárt webhelyet metéltem, létrehoztam egy egyedi jelszót minden webhelyhez és szolgáltatáshoz, és a számotahol a duplikált jelszavak száma 43-ról 0-ra csökken.
Csak egy órányi, komolyan összpontosított időt töltöttek el( 12,4% -ot költöttek át az internetes tervezők káromkodásával, akik homályos helyeken jelszó-frissítési linkeket adtak), és mindaz, ami motivált volt, a katasztrofális arányok jelszavas megsértése volt! Itt jegyzetelek, óriási sikert.
Most, hogy ellenőrizted a jelszavadat, és szivattyúztál azzal, hogy stabil az egyedi jelszavak, használjuk ki ezt a lendületet. Lépj fel útmutatónkra, hogy a LastPass még az biztonságosabbá tehető a jelszó-iterációk növelésével, a bejelentkezések korlátozásával országonként és így tovább. Az általunk vázolt ellenőrzések között, a LastPass biztonsági útmutatója alapján, és a kétfaktoros algoritmusok bekapcsolásával egy golyóálló jelszókezelő rendszerrel büszkélkedhet.