13Sep
Hvis du praktiserer lax-adgangskodeadministration og hygiejne, er det kun et spørgsmål om tid, indtil en af de stadig flere omfattende sikkerhedsbrud brænder dig. Stop med at være taknemmelig, du dodged fortiden sikkerhed bryde kugler og rustning dig selv mod de fremtidige. Læs videre, da vi viser dig, hvordan du reviderer dine adgangskoder og beskytter dig selv.
Hvad er Big Deal og hvorfor er dette spørgsmål?
I oktober i år afslørede Adobe, at der var et stort sikkerhedsbrud, der ramte 3 millioner brugere af Adobe.com og Adobe-software. Derefter reviderede de tallet til 38 mio. Så endnu mere chokerende, da databasen fra hacket blev lækket, kom sikkerhedsforskere, der analyserede databasen, tilbage og sagde, at det var mere som 150 millioner kompromitterede brugerkonti. Denne grad af brugereksponering sætter Adobe-bruddet i kørslen som et af de værste sikkerhedsbrud i historien.
Adobe er dog næppe alene på denne front;vi åbnede simpelthen med deres brud, fordi det er smerteligt nyligt. I de sidste par år har der været dusinvis af massive sikkerhedsbrud, hvor brugeroplysninger, herunder adgangskoder, er blevet kompromitteret.
LinkedIn blev ramt i 2012( 6.46 millioner brugerrekorder kompromitteret).Samme år blev eHarmony ramt( 1,5 millioner brugerregistre) som var Last.fm( 6,5 millioner brugerregistre) og Yahoo!(450.000 brugerregistre).Sony Playstation Network blev ramt i 2011( 101 millioner brugerrekorder kompromitteret).Gawker Media( moderselskabet på websteder som Gizmodo og Lifehacker) blev ramt i 2010( 1,3 millioner brugerrekorder kompromitteret).Og det er bare eksempler på store brud, der lavede nyhederne!
Privacy Rights Clearinghouse opretholder en database med sikkerhedsbrud fra 2005 til i dag. Deres database indeholder en bred vifte af brudstyper: kompromitterede kreditkort, stjålne sociale sikringsnumre, stjålne adgangskoder og lægejournaler. Databasen, som offentliggørelsen af denne artikel, består af 4.033 brud indeholdende 617.937.023 brugerregistre .Ikke alle de hundredvis af millioner af brud involverede brugeradgangskoder, men millioner af millioner af dem gjorde det.
Så hvorfor betyder det noget? Bortset fra de åbenbare og umiddelbare sikkerhedsmæssige konsekvenser af en overtrædelse skaber overtrædelserne sikkerhedsskade. Hackerne kan straks begynde at teste logins og adgangskoder, de høster på andre websteder.De fleste mennesker er dovne med deres adgangskoder, og der er en god chance for, at hvis nogen brugte [email protected] med adgangskoden bob1979, vil det samme login / password pair arbejde på andre hjemmesider. Hvis disse andre hjemmesider er højere profil( f.eks. Bankwebsteder eller hvis adgangskoden, han brugte på Adobe, faktisk låser sin email-indbakke op), så er der et problem. Når nogen har adgang til din e-mail-indbakke, kan de begynde at nulstille adgangskoden på andre tjenester og få adgang til dem også.
Den eneste måde at stoppe denne form for kædereaktion på med at forårsage endnu flere sikkerhedsproblemer inden for netværket af websteder og tjenester, du bruger, er at følge to kardinalregler for god adgangskodehygiejne:
- Din email-kodeord skal være lang, stærk og fuldstændigunik blandt alle dine logins.
- Hvert login får en lang, stærk og unik adgangskode. Ingen adgangskode genbrug. nogensinde.
Disse to regler er afhentningen fra alle sikkerhedsguider, vi nogensinde har delt med dig, herunder vores nød-it-has-hit-the-fan guide. Sådan genopretter du efter din e-mail-adgangskode er kompromitteret.
Nu på dette tidspunkt er du sandsynligvis squirming lidt, fordi ærligt nok, næsten ingen har perfekt lufttæt adgangskode praksis og sikkerhed. Du er ikke alene, hvis din adgangskodehygiejne mangler. Faktisk er det tid til en tilståelse.
Jeg har skrevet snesevis af sikkerhedsartikler, indlæg om sikkerhedsbrud og andre adgangskoderelaterede indlæg i de år, jeg har været på How-To Geek. På trods af at jeg netop er den slags informeret person, der burde vide bedre, på trods af at du bruger en adgangskodeadministrator og genererer sikre adgangskoder til hver ny hjemmeside og service, da jeg kørte min email via listen over kompromitterede Adobe logins og matchede det med det kompromitterede kodeord, jegfandt stadig ud af, at jeg var blevet brændt.
Jeg lavede den Adobe-konto for længe siden, da jeg var betydeligt mere lax med min adgangskodehygiejne, og det kodeord, jeg brugte, var almindeligt på tværs af dusinvis af af websteder og tjenester, som jeg havde tilmeldt mig, før jeg blev meget seriøs om at lavegode adgangskoder.
Alt dette kunne have været forhindret, hvis jeg fuldt ud havde praktiseret det, jeg forkyndte og ikke bare skabte unikke og stærke adgangskoder, men også revideret mine gamle adgangskoder for at sikre, at denne situation aldrig skete i første omgang. Uanset om du aldrig har forsøgt at være konsekvent og sikker med din adgangskodepraksis, eller du bare skal tjekke dem for at gøre dig tilpas, er en grundig adgangskode revision vejen til adgangskode sikkerhed og ro i sindet. Læs videre som vi viser dig hvordan.
Forberedelse til din Lastpass Security Udfordring
Du kan manuelt kontrollere dine adgangskoder, men det ville være enormt kedeligt, og du ville ikke få nogen fordel ved at bruge en god universel adgangskodeadministrator. I stedet for at manuelt gennemgå alt, skal vi tage den nemme og stort set automatiserede rute: Vi skal revidere vores adgangskoder ved at tage LastPass Security Challenge.
Denne vejledning dækker ikke opsætning af LastPass, så hvis du ikke allerede har et LastPass-system kørende, anbefaler vi dig stærkt at sætte en op. Tjek The HTG Guide til Kom godt i gang med LastPass for at komme i gang. Selvom LastPass har opdateret siden vi skrev vejledningen( grænsefladen er meget smukkere og bedre strømlinet nu), kan du stadig følge trinene med lethed. Hvis du konfigurerer LastPass for første gang, skal du sørge for at importere alle dine gemte adgangskoder fra dine browsere, da vores mål er at revidere hver enkelt adgangskode, du bruger.
Indtast hver login og adgangskode til LastPass: Uanset om du er helt ny til LastPass, eller du ikke har brugt det fuldt ud til hvert login, er det nu tid til at sikre, at du har indtastet hver login til LastPass systemet. Vi kommer til at ekko det råd, vi gav i vores email recovery guide til kæmning af din e-mail-indbakke til påmindelser:
Søg efter din email for registrering påmindelser. Det vil ikke være svært at huske dine ofte brugte logins som Facebook og din bank, men der er sandsynligvis snesevis af ydelser, som du måske ikke engang husker at du bruger din email til at logge ind på.Brug søgeordssøgninger som "velkommen til", "nulstil", "gendannelse", "bekræft", "adgangskode", "brugernavn", "login", "konto" og kombinationer deraf som "nulstil adgangskode" eller "bekræft konto".Igen ved vi, at dette er en besvær, men når du har gjort dette med en adgangskodeadministrator på din side, har du en mesterliste over hele din konto, og du bliver aldrig nødt til at gøre dette søgeords jagt igen.
Aktivér tofaktorautentificering på din LastPass-konto: Dette trin er ikke strengt nødvendigt for at udføre sikkerhedsrevisionen, men mens vi har din opmærksomhed, vil vi gøre alt, hvad vi kan for at opmuntre dig, mens du smutter rundt idin LastPass-konto, for at aktivere to-faktor-godkendelse for yderligere at sikre dit LastPass-hvælving.(Det øger ikke kun din kontosikkerhed, du får også et boost i din sikkerhedskontrol score også!)
Tager LastPass Security Challenge
Nu hvor du har importeret alle dine adgangskoder, er det tid til at sætte dig selv i skamat ikke være i 1% af hardcore adgangskode sikkerhed ninjaer. Besøg siden LastPass Security Challenge og tryk på "Start the Challenge" nederst på siden. Du bliver bedt om at indtaste dit hovedadgangskode, som det ses på skærmbilledet ovenfor, og så vil LastPass tilbyde at kontrollere, om en af de emailadresser, der er indeholdt i dit hvælving, var en del af eventuelle overtrædelser, den har sporet. Der er ingen god grund til ikke at udnytte dette:
Hvis du er heldig, returnerer den en negativ. Hvis du er heldig, får du en pop-up som denne, hvis du vil have mere information om overtrædelserne, din e-mail var involveret i:
LastPass udsteder en enkelt sikkerhedsalarm for hver instans. Hvis du har haft din e-mail-adresse i lang tid, vær forberedt på at være chokeret over, hvor mange kodeord, der er overskredet, er blevet sammenflettet. Her er et eksempel på en adgangskode om brud på adgangskode:
Efter popup-vinduerne bliver du dumpet til hovedpanelet i LastPass Security Challenge. Husk tidligere i vejledningen, da jeg talte om, hvordan jeg i øjeblikket praktiserer god adgangskodehygiejne, men at jeg aldrig havde fået nok til at opdatere en masse ældre websteder og service? Det viser virkelig i den score jeg modtog. Ouch:
Det er min score med år værd at tilfældige adgangskoder blandet i. Må ikke være for chokeret, hvis din score er endnu lavere, hvis du har brugt de samme håndfuld svage adgangskoder igen og igen. Nu hvor vi har vores score( dog fantastisk eller skammeligt, kan det være), er det tid til at grave ind i dataene. Du kan bruge de hurtige links ud for din score procent eller bare begynde at rulle. Første stop, lad os tjekke de detaljerede resultater. Overvej dette et 10.000 fods overblik over tilstanden af dine adgangskoder:
Mens du skal være opmærksom på alle statistikker her, er de virkelig vigtige "gennemsnitlig adgangskode styrke", hvor svag eller stærk din gennemsnitlige adgangskode er og endnu vigtigere,"Antal kopier af adgangskoder" og "Antal websteder med dublette adgangskoder".I forbindelse med min revision var der 8 dupes på tværs af 43 websteder. Det var klart, at jeg havde været ret doven at genbruge det samme lavkvalitets kodeord på mere end nogle få websteder.
Næste stop, sektionen Analyserede websteder. Her finder du en meget konkret nedbrydning af alle dine logins og adgangskoder, der er organiseret ved hjælp af to gange brug af adgangskode( hvis du havde dubletter), unikke adgangskoder og endelig logins uden en adgangskode gemt i LastPass. Mens du kigger over listen, skal du beundre kontrast mellem passwordstyrker. I mit tilfælde blev en af mine finansielle login fået et 45% kodeord, mens min datter Minecraft login blev givet en perfekt 100% score. Igen, ouch.
Fastsættelse af din forfærdelige sikkerhedsudfordring Score
Der er to meget nyttige links bygget direkte ind i revisionsoversigterne. Hvis du klikker på "SHOW", vil det vise dig adgangskoden til det pågældende websted, og hvis du klikker på "Besøg websted" kan du hoppe direkte til hjemmesiden, så du kan ændre adgangskoden. Ikke kun bør hver duplikat kodeord ændres, men ethvert kodeord, der blev knyttet til en konto, der blev overtrådt( f.eks. Adobe.com eller LinkedIn), skal pensioneres permanent.
Afhængigt af hvor mange eller få adgangskoder du har( og hvor flittige du har været om god adgangskodepraksis), kan dette trin i processen tage dig ti minutter eller hele eftermiddagen. Selvom processen med at ændre dine adgangskoder varierer afhængigt af layoutet på det websted, du opdaterer, er der nogle generelle retningslinjer, der skal følges( vi bruger vores adgangskodeopdatering til Remember the Milk som et eksempel): Besøg siden om adgangskodeændring. Normalt skal du indtaste din nuværende adgangskode og derefter generere en ny adgangskode.
Gør det ved at klikke på lås-med-cirkulær-pil-logoet. LastPass indsætter i den nye adgangskodeplads( som det ses på skærmbilledet ovenfor).Se over din nye adgangskode, og foretag justeringer, hvis du ønsker det( f.eks. Forlænger det eller tilføjer specialtegn):
Klik på "Brug kodeord" og bekræft derefter, at du vil opdatere den indgang, du redigerer:
Sørg for at bekræfte ændringenmed hjemmesiden også.Gentag processen for hvert duplikat og svagt kodeord i dit LastPass-vault.
Endelig er det sidste, du har brug for at revidere, dit LastPass Master Password. Gør det ved at klikke på linket nederst på skærmbilledet Udfordring med titlen "Test styrken af mit LastPass Master Password".Hvis du ikke ser dette:
Du skal nulstille dit LastPass Master Password og øge styrken, indtil du får en god, positiv bekræftelse på 100%.
Overvågning af resultaterne og yderligere forbedring af din LastPass-sikkerhed
Når du har slogget gennem listen over dublette adgangskoder, slettet gamle poster og ellers ryddet op og sikret din login / adgangskode liste, er det tid til at køre revisionen igen. Nu, for at blive lagt vægt på, blev scoren, du ser nedenfor, kun opdraget ved at forbedre adgangskodesikkerheden.(Hvis du aktiverer yderligere sikkerhedsfunktioner, som multi-factor-godkendelse, får du et boost på omkring 10%).
Ikke dårligt! Efter at have elimineret hver duplikat kodeord og bringe alle eksisterende adgangskoder op til 90% styrke eller bedre, forbedrede det virkelig vores score. Hvis du er nysgerrig, hvorfor den ikke hoppede op til 100%, er der nogle faktorer til spil, hvoraf de mest fremtrædende er, at nogle adgangskoder aldrig kan blive bragt op til snuff efter LastPass-standarder på grund af dumme politikker på plads afwebsted administratorer. F.eks. Er mit lokalbiblioteks loginadgangskode en firecifret pin( som giver 4% på LastPass-sikkerhedsskalaen).De fleste mennesker vil have en slags outliers sådan i deres liste, og det vil trække deres score ned.
I sådanne tilfælde er det vigtigt ikke at blive modløs, og at bruge din detaljerede sammenbrud som en metrisk:
I opdateringen af adgangskode beskrev jeg 17 duplikat / udløbne websteder, oprettede en unik adgangskode til hvert websted og service og bragte nummeretaf websteder med dublette adgangskoder ned fra 43 til 0 i processen.
Det tog kun ca. en time med alvorligt fokuseret tid( hvoraf 12,4% blev brugt forbandende webdesignere, der lagde adgangskode opdaterings links i obskure steder), og alt det, der krævede for at få mig motiveret, var et kodeord, der krænker katastrofale proportioner! Jeg laver en note her, stor succes.
Nu, hvor du har revideret dine adgangskoder, og du er pumpet om at have et stabilt unikt kodeord, lad os drage fordel af det fremadgående momentum. Få vores guide til at gøre LastPass selv mere sikker ved at øge password iterations, begrænse logins efter land og meget mere. Mellem at køre den revision, vi skitserede her, følger vores LastPass sikkerhedsguide og aktiverer tofaktoralgoritmer, du har et kuglebeskyttet kodeordstyringssystem, du kan være stolt af.
