13Sep
Om du övar lösenordshantering och hygien är det bara en fråga om tid tills en av de allt fler omfattande säkerhetsbristerna bränner dig. Sluta vara tacksam du dodged den tidigare säkerheten bryter kulor och rustning dig mot de framtida. Läs vidare när vi visar dig hur du granskar dina lösenord och skyddar dig själv.
Vad är Big Deal och varför är det här?
I oktober i år avslöjade Adobe att det hade varit ett stort säkerhetsbrott som drabbade 3 miljoner användare av Adobe.com och Adobe-programvaran. Därefter reviderade de numret till 38 miljoner. Då, ännu mer chockerande, när databasen från hacken läckte, kom säkerhetsforskare som analyserade databasen tillbaka och sa att det var mer som 150 miljoner -kompromitterade användarkonton. Denna grad av användarexponering innebär att Adobe bryter i körningen som en av de värsta säkerhetsbristerna i historien.
Adobe är dock knappast ensam på den här fronten, dock;vi öppnade helt enkelt med deras brott eftersom det är smärtsamt nyligen. Under de senaste åren har det varit dussintals massiva säkerhetsbrott där användarinformation, inklusive lösenord, har äventyras.
LinkedIn träffades 2012( 6,46 miljoner användarrekord äventyras).Samma år träffades eHarmony( 1,5 miljoner användarrekord) liksom Last.fm( 6,5 miljoner användarrekord) och Yahoo!(450 000 användarrekord).Sony Playstation Network blev slagen under 2011( 101 miljoner användarrekord äventyras).Gawker Media( moderbolaget till webbplatser som Gizmodo och Lifehacker) slogs under 2010( 1,3 miljoner användarrekord äventyras).Och det är bara exempel på stora överträdelser som gjorde nyheterna!
Privacy Rights Clearinghouse upprätthåller en databas över säkerhetsöverträdelser från 2005 till idag. Deras databas innehåller ett brett spektrum av överträdelsetyper: kompromissade kreditkort, stulna personnummer, stulna lösenord och journaler. Databasen, vid offentliggörandet av denna artikel, består av 4.033 brott som innehåller 617.937.023 användarregister .Inte var och en av de hundratals miljoner överträdelserna involverade användarlösenord, men miljontals miljoner av dem gjorde det.
Så varför spelar det roll? Bortsett från de uppenbara och omedelbara säkerhetsimplikationerna av ett brott, skapar överträdelserna säkerhetsskador. Hackarna kan omedelbart börja testa loggar och lösenord som de skördar på andra webbplatser.De flesta människor är lat med sina lösenord, och det finns en bra chans att om någon använde [email protected] med lösenordet bob1979, kommer samma inloggning / lösenordspar att fungera på andra webbplatser. Om de andra webbplatserna är högre profil( som bankwebbplatser eller om lösenordet som användes på Adobe låser upp sin e-postkorg), så är det ett problem. När någon har tillgång till din e-postbrevlåda kan de börja återställa lösenordet på andra tjänster och få åtkomst till dem också.
Det enda sättet att stoppa denna typ av kedjereaktion från att orsaka ännu fler säkerhetsproblem inom nätverket av webbplatser och tjänster du använder är att följa två kardinala regler för bra lösenordshygien:
- Ditt e-postlösenord ska vara långt, starkt och heltunikt bland alla dina inloggningar.
- Varje inloggning får ett långt, starkt och unikt lösenord. Inget lösenord återanvändning. någonsin.
Dessa två regler är avhämtningen från varje säkerhetsguide som vi någonsin har delat med dig, inklusive vår nödsituation, det har gjort-fan-guiden. Hur återställs efter att ditt lösenord är kompromissat.
Nu är du förmodligen kvittande lite, för det är uppenbarligen ingen som har perfekt lufttäta lösenordspraxis och säkerhet. Du är inte ensam om ditt lösenord hygien saknas. Det är faktiskt dags för en bekännelse.
Jag har skrivit dussintals säkerhetsartiklar, inlägg om säkerhetsbrott och andra lösenordsrelaterade inlägg under åren jag har varit på How-To Geek. Trots att du precis är den typ av informerad person som borde veta bättre, trots att du använder en lösenordshanterare och genererar säkra lösenord för varje ny webbplats och tjänst, när jag sprang min e-post genom listan över kompromissade Adobe-inloggningar och matchade den mot det kompromissade lösenordet, jagupptäckte fortfarande att jag hade blivit bränd.
Jag skapade det Adobe-kontot för länge sedan när jag var betydligt mer lat med min lösenordshygien och lösenordet jag använde var vanligt över dussintals av webbplatser och tjänster som jag hade anmält mig med innan jag blev super seriös om att görabra lösenord.
Allt detta kunde ha förhindrats om jag hade praktiserat det jag predikade och inte bara skapade unika och starka lösenord men har även granskat mina gamla lösenord för att säkerställa att denna situation aldrig hände i första hand. Oavsett om du aldrig ens försökt att vara konsekvent och säker med ditt lösenordspraxis eller om du bara behöver kolla över dem för att göra dig lugn, är en grundlig lösenordsrevision vägen till lösenordsäkerhet och sinnesfrid. Läs vidare när vi visar dig hur.
Förberedelser för din säkerhetsutmaning för Lastpass
Du kan manuellt granska dina lösenord, men det skulle vara enormt tråkigt och du skulle inte få några fördelar med att använda en bra universell lösenordsansvarig. I stället för att manuellt granska allt, tar vi den enkla och mest automatiserade rutten: vi ska granska våra lösenord genom att ta LastPass Security Challenge.
Den här guiden täcker inte inställningen för LastPass, så om du inte redan har ett LastPass-system igång, rekommenderar vi starkt att du ställer in en. Kolla in HTG-guiden för att komma igång med LastPass för att komma igång.Även om LastPass har uppdaterat sedan vi skrev guiden( gränssnittet är mycket snyggare och bättre strömlinjeformat nu), kan du fortfarande följa stegen med lätthet. Om du konfigurerar LastPass för första gången, var noga med att importera alla dina lagrade lösenord från dina webbläsare, eftersom vårt mål är att granska varje enskilt lösenord du använder.
Ange varje inloggning och lösenord till LastPass: Oavsett om du är helt ny på LastPass eller om du inte har använt den fullständigt för varje inloggning, är det dags att se till att du har angett varje inloggning i LastPass-systemet. Vi kommer att echo de råd vi gav i vår e-poståterställningsguide för att kamma din e-postbrevlåda för påminnelser:
Sök din e-post för registrering påminnelser. Det kommer inte vara svårt att komma ihåg dina ofta använda inloggningar som Facebook och din bank men det finns troligt dussintals utläggande tjänster som du inte ens kan komma ihåg att du använder din e-post för att logga in. Använd sökordssökningar som "välkommen till", "återställ", "återställning", "verifiera", "lösenord", "användarnamn", "inloggning", "konto" och kombinationer där som "återställ lösenord" eller "verifiera konto".Återigen vet vi att det här är ett krångel, men när du har gjort det med en lösenordshanterare vid din sida har du en mallista över hela ditt konto och du behöver aldrig göra det här sökordet igen.
Aktivera tvåfaktorautentisering på ditt LastPass-konto: Detta steg är inte absolut nödvändigt för att utföra säkerhetsrevisionen, men samtidigt som vi har uppmärksamhet kommer vi att göra allt vi kan för att uppmuntra dig, medan du muckar runt iditt LastPass-konto, för att aktivera tvåfaktors autentisering för att ytterligare säkra ditt LastPass valv.(Inte bara ökar din kontosäkerhet, du får också en ökning i ditt säkerhetsgranskningsresultat!)
Tillsammans med LastPass Security Challenge
Nu när du har importerat alla dina lösenord är det dags att städa dig själv för syndenatt inte vara i 1% av hardcore lösenords säkerhetsninjer. Besök sidan LastPass Security Challenge och tryck på "Start the Challenge" längst ner på sidan. Du kommer att bli uppmanad att ange ditt huvudlösenord, vilket visas på skärmbilden ovan, och sedan kommer LastPass att se om någon av de e-postadresser som finns i ditt valv var en del av eventuella överträdelser som den har spårat. Det finns ingen bra anledning att inte dra nytta av detta:
Om du har tur, returnerar den en negativ. Om du har tur får du en popup som den här frågar om du vill ha mer information om de överträdelser som din e-post var inblandad i:
LastPass kommer att utfärda en enda säkerhetsalarm för varje instans. Om du har haft din e-postadress under en längre tid, var beredd att vara chockad över hur många lösenordsöverträdelser det har gått ihop. Här är ett exempel på ett meddelande om lösenordsbrott:
Efter popup-fönster kommer du att dumpas till huvudpanelen i LastPass Security Challenge. Kom ihåg tidigare i guiden när jag pratade om hur jag för närvarande övar bra lösenordshygien men att jag aldrig hade fått mig att korrekt uppdatera många äldre webbplatser och service? Det visar verkligen i poängen jag fick. Ouch:
Det är min poäng med år av slumpmässiga lösenord blandas in. Var inte för chockad om din poäng är ännu lägre om du har använt samma handfulla svaga lösenord om och om igen. Nu när vi har vår poäng( dock fantastisk eller skamligt kan det vara), det är dags att gräva in i data. Du kan använda snabblänkarna bredvid din poängprocent eller bara börja rulla. Första stopp, låt oss kolla in de detaljerade resultaten. Tänk på detta en 10 000 fot överblick över läget för dina lösenord:
Medan du bör uppmärksamma all statistik här, är de riktigt viktiga "genomsnittlig lösenordsstyrka", hur svag eller stark är ditt genomsnittliga lösenord och, ännu viktigare,"Antal dubbla lösenord" och "Antal webbplatser som har dubbla lösenord".Till följd av min revision var det 8 dupes på 43 platser. Tydligen hade jag varit ganska lat att återanvända samma lågklassiga lösenord på mer än några webbplatser.
Nästa stopp, avsnittet Analyserade platser. Här hittar du en mycket konkret nedbrytning av alla dina inloggningar och lösenord som ordnas med dubbla användningsområden för lösenord( om du hade dubbletter), unika lösenord och slutligen inloggningar utan lösenord som lagrats i LastPass. Medan du tittar över listan, undrar du kontrasten mellan lösenordsstyrkor. I mitt fall fick en av mina finansiella inloggningar ett 45% lösenordsresultat medan min dotters Minecraft-inloggning fick ett perfekt 100% poäng.Återigen, ouch.
Fixing Your Terrible Security Challenge Score
Det finns två väldigt användbara länkar byggda direkt in i revisionsförteckningarna. Om du klickar på "SHOW" visas det lösenordet för den webbplatsen och om du klickar på "Besök webbplats" kan du hoppa direkt till webbplatsen så att du kan ändra lösenordet. Inte bara bör alla dubbla lösenord ändras, men alla lösenord som var kopplade till ett konto som bryts( till exempel Adobe.com eller LinkedIn) borde pensioneras permanent.
Beroende på hur många eller några lösenord du har( och hur flitig du har handlat om bra lösenordspraxis), kan detta steg i processen ta dig tio minuter eller hela eftermiddagen.Även om processen med att ändra dina lösenord varierar beroende på layouten på webbplatsen du uppdaterar, här följer några allmänna riktlinjer för att följa( vi använder vår lösenordsuppdatering på Remember the Milk som ett exempel): Besök sidan för lösenordsbyte. Vanligtvis måste du ange ditt nuvarande lösenord och sedan skapa ett nytt lösenord.
Gör så genom att klicka på lås-med-cirkel-pilen logotypen. LastPass sätter in i det nya lösenordspasset( som ses på skärmbilden ovan).Titta över ditt nya lösenord och gör justeringar om du vill( till exempel förlänga det eller lägga till i specialtecken):
Klicka på "Använd lösenord" och bekräfta sedan att du vill uppdatera den post som du redigerar:
Se till att bekräfta ändringenmed webbplatsen också.Upprepa processen för varje dubblett och svagt lösenord i ditt LastPass valv.
Slutligen är det sista du behöver att granska ditt LastPass Master Password. Gör så genom att klicka på länken längst ned på Utmaningsskärmen med etiketten "Testa styrkan på mitt LastPass Master Password".Om du inte ser detta:
Du måste återställa ditt LastPass Master Password och öka styrkan tills du får en bra, positiv, 100% styrka.
Granskning av resultaten och ytterligare förbättring av din LastPass-säkerhet
När du har slagit igenom listan över dubbla lösenord, raderade gamla poster och på annat sätt rensat och säkrat din inloggnings- / lösenordslista är det dags att köra granskningen igen. Nu, för tonvikt, uppnåddes poängen som du ser nedan endast genom att förbättra lösenordsäkerheten.(Om du aktiverar ytterligare säkerhetsfunktioner, som multi-factor-autentisering, får du en ökning på cirka 10%).
Inte dåligt! Efter att ha eliminerat varje dubbelt lösenord och medför alla befintliga lösenord upp till 90% styrka eller bättre förbättrade det verkligen vårt resultat. Om du är nyfiken på varför den inte hoppa till 100%, finns det några faktorer att spela, det mest framträdande av vilket är att vissa lösenord aldrig kan föras upp till snus genom LastPass-standarder på grund av dumma policyer på plats avwebbplats administratörer. Till exempel är mitt lokala biblioteks inloggningslösenord en fyrsiffrig stift( som uppgår till 4% på LastPass-säkerhetsskalan).De flesta kommer att ha något slags outliers så i deras lista och det kommer att dra deras poäng ner.
I sådana fall är det viktigt att inte bli avskräckta och att använda din detaljerade uppdelning som en metrisk:
I lösenordsuppdateringsprocessen beskrev jag 17 duplikat / utgått webbplatser, skapade ett unikt lösenord för varje webbplats och tjänst och tog numretav webbplatser med dubbla lösenord ner från 43 till 0 i processen.
Det tog bara ungefär en timme med allvarligt fokuserad tid( 12,4% av dem tillbringades förbannande webbdesigners som lägger lösenordsuppdateringslänkar i obskurliga platser) och allt som krävdes för att få mig motiverad var ett lösenordsbrott av katastrofala proportioner! Jag gör en anteckning här, stor framgång.
Nu när du har granskat dina lösenord och du pumpas om att ha ett stabilt unikt lösenord, låt oss utnyttja den framåtgående dynamiken. Hämta vår guide för att göra LastPass till och med säkrare genom att öka lösenordet iterationer, begränsa inloggningar per land och mer. Mellan att köra revisionen som vi skisserade här, följer vår LastPass säkerhetsguide och aktiverar tvåfaktoralgoritmer, du har ett kollisionsskyddat lösenordshanteringssystem du kan vara stolt över.