13Sep
Pokud praktikujete laxní správu hesel a hygienu, je to jen otázka času, dokud vás nepořádá jedna z četných rozsáhlých bezpečnostních porušení.Přestaňte být vděčni, že jste se vyhnuli minulým bezpečnostním střelám a zbrojním proti budoucím. Přečtěte si, jak vám ukážeme, jak kontrolovat hesla a chránit vás.
Jaká je velká dohoda a proč to má záležitost?
V říjnu letošního roku společnost Adobe zjistila, že došlo k závažnému narušení bezpečnosti, které postihlo 3 miliony uživatelů softwaru Adobe.com a Adobe. Poté revidovali číslo na 38 milionů.Pak, ještě víc šokující, když byla databáze z hacku vytečena, se vědci v oblasti bezpečnosti, kteří analyzovali databázi, vrátili a řekli, že jde spíše o 150 milionů ohrožených uživatelských účtů .Tento stupeň uživatelské expozice způsobuje, že porušení technologie Adobe je v provozu jako jeden z nejhorších bezpečnostních porušení v historii.
Adobe je na této frontě sotva sám;jednoduše jsme otevřeli s porušením, protože je to bolestně nedávné.Jen v posledních několika letech došlo k desítkám obrovských bezpečnostních porušení, kdy byly informace o uživatelích, včetně hesel, ohroženy.
LinkedIn byl zasažen v roce 2012( 6,46 milionů uživatelských záznamů bylo ohroženo).V témže roce byl eHarmony zasažen( 1,5 milionu uživatelských záznamů), stejně jako Last.fm( 6,5 milionu záznamů uživatelů) a Yahoo!(450 000 uživatelských záznamů).Síť Sony Playstation byla zasažena v roce 2011( 101 milionů uživatelů bylo kompromitováno).Společnost Gawker Media( mateřská společnost z lokalit, jako je Gizmodo a Lifehacker) byla zasažena v roce 2010( 1,3 milionu uživatelských záznamů bylo ohroženo).A to jsou jen příklady velkých porušení, které dělaly zprávy!
Společnost Privacy Rights Clearinghouse udržuje databázi porušení bezpečnosti od roku 2005 do současnosti. Jejich databáze zahrnuje širokou škálu typů porušení: kompromisy kreditních karet, odcizené čísla sociálního zabezpečení, odcizené hesla a lékařské záznamy. Databáze od vydání tohoto článku se skládá z 4 033 porušení obsahujících 617 937 023 uživatelských záznamů .Ne každý z těch stovek milionů porušení zahrnoval uživatelská hesla, ale miliony a miliony z nich.
Tak proč to záleží?Vedle zjevných a okamžitých bezpečnostních důsledků porušení porušování způsobují vedlejší škody. Hackeři mohou okamžitě začít testovat přihlašovací údaje a hesla, která sklízí na jiných webových stránkách.Většina lidí je líná svým heslem a je dobrá šance, že pokud někdo použije [email protected] s heslem bob1979, stejný login / heslo pár bude pracovat na jiných webových stránkách. Pokud jsou tyto jiné webové stránky vyšší profil( například bankovní stránky nebo pokud heslo, které používá, společnost Adobe skutečně odblokuje e-mailovou schránku), je zde problém. Jakmile někdo má přístup do vaší e-mailové schránky, může začít znovu nastavovat heslo na jiné služby a získat přístup k nim.
Jediným způsobem, jak zastavit tento druh řetězové reakce způsobit ještě více bezpečnostních problémů v síti webových stránek a služeb, které používáte, je dodržovat dvě základní pravidla dobré hygieny hesel:
- Vaše heslo by mělo být dlouhé, silné a úplnéjedinečné mezi všemi vašimi přihlašovacími údaji.
- Každé přihlášení získá dlouhé, silné a jedinečné heslo. Bez opětovného použití hesla. někdy.
Tato dvě pravidla jsou únikem z každého bezpečnostního průvodce, který jsme kdy s vámi sdíleli, včetně našeho havarijního průvodce, který vám pomohl. Jak obnovit heslo po e-mailu je kompromisní.
Nyní se pravděpodobně trochu rozmrtíte, protože upřímně řečeno, má člověk téměř nikdo dokonale vzduchotěsné heslo a bezpečnost. Nejste sami, pokud chybí vaše hesla. Ve skutečnosti je čas na přiznání.
Napsal jsem desítky bezpečnostních článků, příspěvků o bezpečnostních porušeních a dalších příspěvcích týkajících se hesla v průběhu let, kdy jsem byl v How-To Geek. Přestože jsem přesně ten druh informovaného člověka, který by měl vědět lépe, navzdory používání správce hesel a vytváření bezpečných hesel pro každou novou webovou stránku a službu, když jsem spustil svůj e-mail přes seznam ohrožených přihlašovacích údajů Adobe a srovnal jej s kompromitovaným heslem,stále jsem zjistil, že jsem spálil.
Dělal jsem ten účet Adobe už dávno, když jsem byl s výrazně více laxní heslem a heslem, které jsem použil, bylo běžné v desítkách webových stránek a služeb, se kterými jsem se zaregistroval,dobré hesla.
Všechno to mohlo být zabráněno, kdybych plně cvičil to, co jsem kázal, a nejen že jsem vytvořil jedinečná a silná hesla, ale také auditoval mé staré heslo, aby zajistila, že se tato situace nikdy nestala. Ať už jste se ani nikdy nepokoušeli být konzistentní a bezpeční se svými praxí v oblasti hesla, nebo je třeba je kontrolovat, abyste se uklidnili, důkladný audit heslem je cesta k zabezpečení heslem a klid. Přečtěte si, jak vám ukážeme jak.
Příprava na poslední bezpečnostní výzvu
Můžete ručně provést kontrolu hesel, ale to by bylo nesmírně zdlouhavé a neměli byste získat žádnou výhodu použití dobrého univerzálního správce hesel. Namísto ručního auditu všeho se chystáme provést jednoduchou a velmi automatizovanou trasu: budeme kontrolovat naše hesla tím, že budeme provádět LastPass Security Challenge.
Tato příručka se netýká nastavení LastPassu, takže pokud ještě nemáte systém LastPass, důrazně doporučujeme, abyste si jej nastavili. Podívejte se na příručku HTG, která vám pomůže začít se systémem LastPass, abyste mohli začít. Přestože LastPass byl aktualizován od doby, kdy jsme napsali průvodce( rozhraní je mnohem hezčí a lépe zjednodušené), stále můžete postupovat s kroky snadno. Pokud nastavujete aplikaci LastPass poprvé, ujistěte se, že jste ze svých prohlížečů importovali všechna uložená hesla, neboť naším cílem je prověřit každé jednotlivé heslo, které používáte.
Zadejte každé přihlašovací jméno a heslo do LastPassu: Ať už jste úplně nový pro LastPass, nebo jste ho zcela nepoužívali pro každé přihlášení, nyní je čas ujistit se, že jste zadali každé přihlášení do systému LastPass. Připomínáme vám rady, které jsme vám poskytli v našem e-mailovém manuálu pro obnovu e-mailové schránky pro připomenutí:
Vyhledejte svůj email pro registraci upomínky. Nebude těžké si zapamatovat své často používané přihlašovací údaje, jako je Facebook a vaše banka, ale pravděpodobné tucty vyspělých služeb, které si možná ani nezapomenete, že používáte svůj e-mail pro přihlášení.Použijte vyhledávání klíčových slov jako "uvítání", "resetování", "obnovení", "ověření", "heslo", "uživatelské jméno", "přihlašovací jméno", "účet".Znovu víme, že se jedná o potíže, ale jakmile to uděláte s manažerem hesel na vaší straně, máte hlavní seznam všech vašich účtů a nikdy nebudete muset tento klíčový klíč provést znovu.
Povolte dvoufaktorovou autentizaci na vašem účtu LastPass: Tento krok není nezbytně nutný k provedení auditu zabezpečení, ale přestože budeme mít vaši pozornost, budeme dělat vše, co je v našich silách, abychom vás povzbudili,vašeho účtu LastPass, abyste zapnuli dvoufaktorovou autentizaci a zajistili vaši LastPass vault.(Nejen, že zvýší bezpečnost vašeho účtu, tak i vaše skóre zabezpečení se zvýší!)
Zajištění bezpečnostní výzvy LastPass
Nyní, když jste importovali všechna vaše hesla, je čas, abyste se ošklivaliže není v 1% tvrdých ninjů pro zabezpečení heslem. Navštivte stránku LastPass Security Challenge a stiskněte "Spustit výzvu" v dolní části stránky. Budete vyzváni k zadání svého hlavního hesla, jak je vidět na výše uvedeném snímku obrazovky, a pak LastPass nabídne zkontrolovat, zda některá z e-mailových adres obsažených ve vašem trezoru byla součástí porušení, které sledoval. Neexistuje žádný důvod, proč byste to neměli využít:
Pokud máte štěstí, vrátí se negativní.Máte-li štěstí, dostanete takový pop-up, který se ptá, zda chcete získat více informací o porušení vašeho e-mailu:
LastPass vydá jednu bezpečnostní výstrahu pro každou instanci. Pokud jste měli dlouhou dobu svou e-mailovou adresu, buďte připraveni být šokován tím, kolik překročení hesla bylo zapleteno. Zde je příklad upozornění na porušení hesla:
Po vyskakovacích oknech se dostanete do hlavního panelu aplikace LastPass Security Challenge. Zapamatujte si dříve v příručce, když jsem mluvil o tom, jak v současné době cvičí dobrou hygienu hesel, ale že jsem se nikdy nedostal k tomu, abych správně aktualizoval spoustu starších webových stránek a služeb? To opravdu ukazuje ve skóre jsem dostal. Ouch:
To je moje skóre s dobou náhodných hesel, které se skládají za pár let. Nebuďte příliš šokovaní, pokud je vaše skóre ještě nižší, pokud používáte stejnou hromadu slabých hesel znovu a znovu. Nyní, když máme naše skóre( ať už je to úžasné nebo hanebné, může to být), je čas shánět data. Můžete použít rychlé odkazy vedle vašeho procentuálního podílu nebo stačí spustit posouvání.První zastávka, podívejte se na podrobné výsledky. Zvažte to 10 000 nožní přehled stavu vašich hesel:
Zatímco byste měli věnovat pozornost všem statistikám zde, opravdu důležité jsou "Průměrná hodnota hesla", jak slabé nebo silné je vaše průměrné heslo a ještě důležitější je,"Počet duplicitních hesel" a "Počet webů s duplicitními hesly".V příčinách mého auditu bylo na 43 místech 8 dupesů.Samozřejmě jsem byl líně líný, že používám stejné heslo s nízkou kvalitou na více než několika místech.
Další zastávka, část Analyzované weby. Zde najdete velmi konkrétní rozpis všech přihlašovacích údajů a hesel, které jsou organizovány použitím duplicitního hesla( pokud jste měli duplikáty), jedinečných hesel a nakonec přihlašování bez hesla uloženého v aplikaci LastPass. Zatímco se díváte nad seznamem, obdivujte kontrast mezi silnými hesly. V mém případě byl jeden z mých finančních přihlášení obdržen 45% skóre hesla, zatímco přihlašování Minecraft dcery bylo dáno dokonalému 100% skóre. Opět ano.
Stanovení vašeho strašlivého skóre zabezpečení
K dispozici jsou dva velmi užitečné odkazy postavené přímo do seznamu auditů.Pokud kliknete na tlačítko "SHOW", zobrazí se vám heslo pro daný web a kliknete-li na tlačítko "Navštívit stránku", můžete se přeskočit přímo na web, abyste mohli změnit heslo. Nejenže by se mělo změnit každé heslo, ale heslo, které bylo připojeno k účtu, který byl porušen( například Adobe.com nebo LinkedIn), by měl být trvale vyřazen.
V závislosti na tom, kolik hesel máte nebo kolikrát máte( a jak jste byli pečliví o dobrých heslech), může tento krok procesu trvat deset minut nebo celé odpoledne. Ačkoli proces změny hesel se bude lišit podle uspořádání stránek, které aktualizujete, uvádíme několik obecných pokynů, které následují( používáme například aktualizaci hesla v části Paměť mléka jako příklad): Navštivte stránku s heslem. Obvykle budete muset zadat své aktuální heslo a pak vygenerovat nové heslo.
Udělejte tak kliknutím na logo zámku s kruhovou šipkou. LastPass vloží do nového slotu pro heslo( jak je vidět na snímku obrazovky výše).Podívejte se na nové heslo a proveďte úpravy, pokud si přejete( např. Prodloužení nebo přidání zvláštních znaků):
Klikněte na "Use Password" a potvrďte, že chcete aktualizovat položku, kterou upravujete:
Ujistěte se, že změnu potvrďtes webovými stránkami. Opakujte proces pro každé duplicitní a slabé heslo ve vaší LastPass vault.
Konečně poslední věc, kterou potřebujete provést, je vaše LastPass Master Password. Postupujte tak, že kliknete na odkaz v dolní části obrazovky Challenge označené jako "Test síly mého LastPass Master Password".Pokud to nevidíte:
Potřebujete obnovit své LastPass Master Password a zvýšit sílu, dokud nedostanete příjemné, pozitivní potvrzení o 100% síle.
Zjišťování výsledků a další vylepšení vašeho zabezpečení LastPass
Poté, co jste prolistovali seznam duplicitních hesel, smazali staré položky a jinak vymažili a zabezpečili svůj seznam přihlašovacích údajů a hesel, je čas znovu provést audit. Nyní, pro důraz, skóre, které vidíte níže, bylo vychováno pouze zlepšením zabezpečení heslem.(Pokud povolíte další bezpečnostní funkce, jako je například multifaktorová autentizace, získáte podporu přibližně 10%).
Není špatné!Po odstranění všech duplicitních hesel a přenesení všech stávajících hesel až o 90% nebo více, skutečně zlepšilo naše skóre. Pokud jste zvědaví, proč to nesáhlo na 100%, je zde několik faktorů, z nichž nejdůležitější je, že některé hesla nemohou být nikdy přeneseny do šňupací tabule podle standardů LastPass, protože hloupé politiky na místěsprávci stránek. Například přihlašovací heslo místní knihovny je čtyřmístný pin( který dosahuje skóre 4% v měřítku zabezpečení LastPass).Většina lidí bude mít nějaké odlehčené hodnoty, jako je ten v jejich seznamu, a že bude táhnout jejich skóre dolů.
V takových případech je důležité nedůtknout se a použít podrobný rozpis jako metrika:
V procesu aktualizace hesla jsem zrušil 17 duplicitních / vypršelých stránek, vytvořil jsem jedinečné heslo pro každou stránku a službu a přinesl číslowebů s duplicitními hesly od 43 do 0 v procesu.
Trvalo to zhruba hodinu vážně soustředěného času( 12,4% z toho bylo strávil proklínání návrhářů webových stránek, kteří položili odkazy na aktualizaci hesla v nejasných místech) a vše, co bylo zapotřebí, abych se mě motivovala, bylo narušení hesla v katastrofických rozměrech! Uvám zde poznámku, obrovský úspěch.
Nyní, když jste ověřili své hesla a vy jste vyčerpáni tím, že budete mít stabilní unikátní hesla, využijte této rychlosti. Udělejte si náš průvodce k tomu, abyste si LastPass dokonce bezpečněji zvětšili hesla, omezovali přihlašování podle země a další.Mezi prováděním auditu, který jsme zde popsali, po našem bezpečnostním průvodci LastPass a zapnutím dvoufaktorových algoritmů, budete mít systém pro správu hesel, na který se můžete pyšnit.