13Sep

Wie führe ich ein Sicherheits-Audit für den letzten Durchgang durch( und warum es nicht warten kann)

click fraud protection

Wenn Sie laxes Passwort-Management und Hygiene praktizieren, ist es nur eine Frage der Zeit, bis eine der immer zahlreicheren Sicherheitsverstöße Sie verbrennt. Hör auf, dankbar zu sein, du bist den vergangenen Sicherheitsverletzungen entkommen und dich gegen die zukünftigen gewappnet. Lesen Sie weiter, wenn wir Ihnen zeigen, wie Sie Ihre Passwörter überprüfen und sich schützen können.

Was ist die große Sache und warum spielt das eine Rolle?

Im Oktober dieses Jahres gab Adobe bekannt, dass eine größere Sicherheitslücke bei 3 Millionen Nutzern von Adobe.com und Adobe-Software aufgetreten ist. Dann überarbeiteten sie die Zahl auf 38 Millionen. Noch schockierender, als die Datenbank von dem Hack durchsickerte, kamen Sicherheitsforscher, die die Datenbank analysierten, zurück und sagten, dass es mehr wie 150 Millionen kompromittierte Benutzerkonten waren. Dieser Grad an Benutzerexposition bringt die Adobe-Lücke in den Lauf als eine der schlimmsten Sicherheitsverletzungen in der Geschichte.

instagram viewer

Adobe ist jedoch an dieser Front kaum allein;Wir haben einfach mit ihrem Bruch geöffnet, weil es schmerzhaft aktuell ist. Allein in den letzten Jahren gab es dutzende massive Sicherheitsverletzungen, bei denen Benutzerinformationen einschließlich Passwörter kompromittiert wurden.

LinkedIn wurde im Jahr 2012 getroffen( 6,46 Millionen Benutzer Datensätze kompromittiert).Im selben Jahr wurde eHarmony( 1,5 Millionen Benutzereinträge) ebenso wie Last.fm( 6,5 Millionen Benutzereinträge) und Yahoo!(450.000 Benutzerdatensätze).Das Sony Playstation Network wurde 2011 geknackt( 101 Millionen Benutzerdatensätze kompromittiert).Gawker Media( die Muttergesellschaft von Websites wie Gizmodo und Lifehacker) wurde 2010 geknackt( 1,3 Millionen Benutzerdatensätze wurden kompromittiert).Und das sind nur Beispiele für große Brüche, die die Neuigkeiten gemacht haben!

Das Privacy Rights Clearinghouse unterhält eine Datenbank mit Sicherheitsverletzungen von 2005 bis heute. Ihre Datenbank enthält eine breite Palette von Sicherheitslücken: kompromittierte Kreditkarten, gestohlene Sozialversicherungsnummern, gestohlene Passwörter und medizinische Aufzeichnungen. Die Datenbank, ab der Veröffentlichung dieses Artikels, besteht aus 4.033 Verletzungen 617.937.023 Benutzer Datensätze enthält. Nicht jeder dieser Hunderte von Millionen von Verstößen involvierte Benutzerpasswörter, aber Millionen von Millionen von ihnen.

Warum ist das wichtig? Abgesehen von den offensichtlichen und unmittelbaren Sicherheitsauswirkungen eines Verstoßes, verursachen die Verstöße einen Kollateralschaden. Die Hacker können sofort mit dem Testen der Logins und Passwörter beginnen, die sie auf anderen Websites sammeln.

Die meisten Leute sind faul mit ihren Passwörtern und es besteht eine gute Chance, dass jemand, der [email protected] mit dem Passwort bob1979 verwendet, das gleiche Login / Passwort-Paar auch auf anderen Websites verwenden kann. Wenn diese anderen Websites ein höheres Profil haben( z. B. Banking-Websites oder wenn das Passwort, das er bei Adobe verwendet hat, seinen Posteingang freigibt), liegt ein Problem vor. Sobald jemand Zugriff auf Ihren E-Mail-Posteingang hat, kann er damit beginnen, das Passwort für andere Dienste zurückzusetzen und Zugang zu ihnen zu erhalten.

Die einzige Möglichkeit zu verhindern, dass diese Art von Kettenreaktion zu noch mehr Sicherheitsproblemen im Netzwerk von Websites und Diensten führt, ist die Einhaltung von zwei Grundregeln für eine gute Passworthygiene:

  1. Ihr E-Mail-Passwort sollte lang, stark und vollständig seineinzigartig unter all Ihren Logins.
  2. Jeder -Login erhält ein langes, starkes und eindeutiges Passwort. Keine Passwortwiederverwendung. Immer.

Diese beiden Regeln sind das Ergebnis eines jeden Sicherheitsleitfadens, den wir jemals mit Ihnen geteilt haben, einschließlich unseres Notfalls, wie Sie nach dem Verlust Ihres E-Mail-Passworts wiederherstellen können.

An diesem Punkt werden Sie sich wahrscheinlich ein wenig winden, denn, ehrlich gesagt, kaum jemand hat vollkommen luftdichte Passwörter und Sicherheit. Sie sind nicht allein, wenn Ihre Passwort-Hygiene fehlt. In der Tat ist es Zeit für ein Geständnis.

Ich habe in den Jahren, in denen ich bei How-To Geek war, Dutzende von Sicherheitsartikeln, Posts über Sicherheitsverletzungen und andere passwortbezogene Beiträge geschrieben. Obwohl ich genau die Art von informierter Person bin, die es besser wissen sollte, obwohl ich einen Passwortmanager verwalte und sichere Passwörter für jede neue Website und jeden neuen Service erstelle, wenn ich meine E-Mail durch die Liste kompromittierter Adobe-Logins lief und sie mit dem kompromittierten Passwort abgleichtefand immer noch heraus, dass ich mich verbrannt hatte.

Ich habe diesen Adobe-Account schon vor langer Zeit erstellt, als ich mit meiner Passworthygiene deutlich laxer war und das Passwort, das ich verwendete, auf von Websites und Diensten üblich war, mit denen ich mich angemeldet hatte, bevor ich es ernst nahmgute Passwörter.

All das hätte verhindert werden können, wenn ich das, was ich gepredigt hätte, vollständig praktiziert hätte und nicht nur einzigartige und starke Passwörter erstellt hätte, sondern und meine alten Passwörter überprüft hätten, um sicherzustellen, dass diese Situation überhaupt nie passiert ist. Unabhängig davon, ob Sie jemals versucht haben, konsistent und sicher mit Ihren Passwortpraktiken zu sein, oder Sie sie einfach überprüfen müssen, um sich zu beruhigen, ist ein gründliches Passwort-Audit der Weg zu Passwort-Sicherheit und Seelenfrieden. Lesen Sie weiter, wie wir Ihnen zeigen, wie.

Vorbereitung für Ihre Lastpass-Sicherheitsherausforderung

Sie könnten Ihre Kennwörter manuell überprüfen, aber das wäre enorm mühsam und Sie würden keinen der Vorteile der Verwendung eines guten universellen Kennwortmanagers erhalten. Anstatt alles manuell zu auditieren, werden wir den einfachen und weitgehend automatisierten Weg gehen: Wir werden unsere Passwörter überprüfen, indem wir die LastPass-Sicherheitsherausforderung annehmen.

In diesem Handbuch wird das Einrichten von LastPass nicht behandelt. Wenn Sie also kein LastPass-System installiert haben, empfehlen wir Ihnen dringend, dieses einzurichten. Sehen Sie sich den HTG-Leitfaden zum Einstieg in LastPass an, um loszulegen. Obwohl LastPass aktualisiert wurde, seit wir das Handbuch geschrieben haben( das Interface ist jetzt viel hübscher und besser gestrafft), können Sie die Schritte dennoch problemlos durchführen. Wenn Sie LastPass zum ersten Mal einrichten, stellen Sie sicher, dass Sie alle gespeicherten --Passwörter von Ihrem Browser importieren, da es unser Ziel ist, jedes einzelne von Ihnen verwendete Passwort zu überwachen.

Geben Sie jedes Login und Passwort in LastPass ein: Ob Sie LastPass ganz neu sind oder es nicht bei jeder Anmeldung verwenden, jetzt sollten Sie sicherstellen, dass Sie bei jedem -Login in das LastPass-System eingegeben haben. Wir werden den Ratschlag, den wir in unserem E-Mail-Wiederherstellungshandbuch gegeben haben, wiederholen, um Ihren E-Mail-Posteingang nach Erinnerungen zu durchsuchen:

Suchen Sie in Ihrer E-Mail nach Registrierungshinweisen. Es wird nicht schwer sein, sich an Ihre häufig verwendeten Logins wie Facebook und Ihre Bank zu erinnern, aber es gibt wahrscheinlich Dutzende von ausstehenden Diensten, an die Sie sich möglicherweise nicht einmal erinnern, dass Sie Ihre E-Mail verwenden, um sich anzumelden. Verwenden Sie Stichwortsuchen wie "Willkommen bei", "Zurücksetzen", "Wiederherstellung", "Verifizieren", "Passwort", "Benutzername", "Login", "Konto" und Kombinationen wie "Passwort zurücksetzen" oder "Konto bestätigen".Wir wissen, dass dies ein Ärger ist, aber sobald Sie dies mit einem Passwort-Manager an Ihrer Seite getan haben, haben Sie eine Master-Liste von Ihrem gesamten Account und Sie müssen diese Keyword-Suche nie mehr durchführen.

Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr LastPass-Konto: Dieser Schritt ist nicht unbedingt notwendig, um die Sicherheitsüberprüfung durchzuführen, aber während wir Ihre Aufmerksamkeit haben, werden wir alles tun, um Sie zu ermutigen, während Sie herumfummelnLastPass-Konto, um die Zwei-Faktor-Authentifizierung zur weiteren Sicherung Ihres LastPass-Kontos zu aktivieren.(Sie erhöhen nicht nur Ihre Kontosicherheit, sondern erhöhen auch Ihre Sicherheitsprüfsumme!)

Die LastPass-Sicherheitsherausforderung

Nachdem Sie nun alle Ihre Kennwörter importiert haben, ist es an der Zeit, sich auf die Schande einzustellennicht in den 1% der hardcore password security ninjas zu sein. Besuche die LastPass-Sicherheitsherausforderungsseite und drücke auf "Start the Challenge" am Ende der Seite. Sie werden aufgefordert, Ihr Master-Passwort einzugeben, wie in der obigen Abbildung zu sehen. LastPass bietet dann an, zu überprüfen, ob eine der in Ihrem Tresor enthaltenen E-Mail-Adressen Teil eines Verstoßes ist, den es verfolgt hat. Es gibt keinen guten Grund, dies nicht zu nutzen:

Wenn Sie Glück haben, gibt es ein Negativ zurück. Wenn Sie Glück haben, erhalten Sie ein Pop-up wie dieses, in dem Sie gefragt werden, ob Sie weitere Informationen zu den Verstößen benötigen, an denen Ihre E-Mail beteiligt war:

LastPass gibt für jede Instanz eine einzige Sicherheitswarnung aus. Wenn Sie lange Zeit Ihre E-Mail-Adresse hatten, seien Sie darauf vorbereitet, schockiert darüber zu sein, wie viele Passwort-Verstöße es verschlungen hat. Hier ein Beispiel für eine Passwort-Sicherheitsverletzung:

Nach den Pop-Ups werden Sie in das Hauptfenster der LastPass Security Challenge geworfen. Erinnern Sie sich früher an den Leitfaden, als ich darüber gesprochen habe, wie ich derzeit eine gute Passworthygiene praktiziere, aber dass ich nie dazu gekommen bin, viele ältere Websites und Dienste richtig zu aktualisieren? Es zeigt sich wirklich in der Punktzahl, die ich erhielt. Autsch:

Das ist meine Punktzahl mit jahrelangen zufälligen Passwörtern. Seien Sie nicht zu schockiert, wenn Ihre Punktzahl noch niedriger ist, wenn Sie die gleiche Handvoll von schwachen Passwörtern immer und immer wieder benutzen. Jetzt, wo wir unsere Punktzahl haben( wie auch immer, schrecklich oder beschämend), ist es Zeit, sich in die Daten zu vertiefen. Sie können die schnellen Links neben Ihrem Score-Prozentsatz verwenden oder einfach mit dem Scrollen beginnen. Erster Halt, schauen wir uns die detaillierten Ergebnisse an. Betrachten Sie dies als ein 10.000-Fuß-Überblick über den Zustand Ihrer Passwörter:

Während Sie alle Statistiken hier beachten sollten, sind die wirklich wichtigen "Durchschnittliche Passwortstärke", wie schwach oder stark Ihr durchschnittliches Passwort ist und, noch wichtiger,"Anzahl der doppelten Passwörter" und "Anzahl der Sites mit doppelten Passwörtern".Bei meiner Prüfung gab es 8 Betrügereien an 43 Standorten. Offensichtlich war ich ziemlich faul, dasselbe minderwertige Passwort auf mehr als ein paar Seiten wiederzuverwenden.

Nächster Stopp, der Abschnitt Analysierte Sites. Hier finden Sie eine sehr konkrete Übersicht über alle Ihre Logins und Passwörter, die durch doppelte Passwortnutzung( wenn Sie Duplikate hatten), eindeutige Passwörter und schließlich Logins ohne Passwort in LastPass organisiert sind. Während Sie über die Liste schauen, bestaunen Sie den Kontrast zwischen den Passwortstärken. In meinem Fall erhielt eines meiner finanziellen Logins einen Passwort-Score von 45%, während das Minecraft-Login meiner Tochter eine perfekte 100% Punktzahl erhielt. Nochmal, autsch.

Reparieren Sie Ihre furchtbare Sicherheitsherausforderung Score

Es gibt zwei sehr nützliche Links, die direkt in die Auditliste integriert sind. Wenn Sie auf "SHOW" klicken, wird Ihnen das Passwort für diese Site angezeigt. Wenn Sie auf "Site besuchen" klicken, können Sie direkt zur Website springen, um das Passwort zu ändern. Es sollte nicht nur jedes doppelte Passwort geändert werden, sondern jedes Passwort, das einem verletzten Konto beigefügt wurde( wie Adobe.com oder LinkedIn), sollte endgültig eingestellt werden.

Abhängig davon, wie viele oder wenige Passwörter Sie haben( und wie gewissenhaft Sie sich mit guten Passwortpraktiken beschäftigt haben), dauert dieser Schritt des Vorgangs möglicherweise zehn Minuten oder den ganzen Nachmittag. Obwohl die Änderung Ihrer Passwörter je nach Layout der Website, die Sie aktualisieren, unterschiedlich ist, folgen hier einige allgemeine Richtlinien( wir verwenden unser Passwort-Update bei Remember the Milk als Beispiel): Besuchen Sie die Seite zum Ändern des Passworts. Normalerweise müssen Sie Ihr aktuelles Passwort eingeben und dann ein neues Passwort generieren.

Klicken Sie dazu auf das Logo mit dem Schloss mit kreisförmigem Pfeil. LastPass fügt in den neuen Passwort-Slot ein( wie im Screenshot oben zu sehen).Sehen Sie sich Ihr neues Passwort an und nehmen Sie Anpassungen vor( z. B. Verlängern oder Hinzufügen von Sonderzeichen):

Klicken Sie auf "Passwort verwenden" und bestätigen Sie, dass Sie den von Ihnen bearbeiteten Eintrag aktualisieren möchten:

Bestätigen Sie die Änderungmit der Website auch. Wiederholen Sie den Vorgang für jedes doppelte und schwache Passwort in Ihrem LastPass-Depot.

Schließlich ist das Letzte, was Sie überprüfen müssen, Ihr LastPass-Master-Passwort. Klicke dazu auf den Link unten im Challenge-Bildschirm mit der Aufschrift "Stärke meines LastPass-Master-Passworts testen".Wenn Sie dies nicht sehen:

Sie müssen Ihr LastPass Master-Passwort zurücksetzen und die Stärke erhöhen, bis Sie eine positive, 100% -ige Bestätigung erhalten.

Vermessung der Ergebnisse und weitere Verbesserung Ihrer LastPass-Sicherheit

Nachdem Sie sich durch die Liste der doppelten Passwörter geschoben, alte Einträge gelöscht und ansonsten Ihre Login- / Passwortliste aufgeräumt und gesichert haben, ist es an der Zeit, das Audit erneut durchzuführen. Jetzt, zur Betonung, wurde die Punktzahl, die Sie unten sehen, nur durch Verbesserung der Passwortsicherheit angesprochen.(Wenn Sie zusätzliche Sicherheitsfunktionen wie die Multi-Faktor-Authentifizierung aktivieren, erhalten Sie eine Steigerung von etwa 10%).

Nicht schlecht! Nachdem wir alle doppelten Passwörter entfernt und alle bestehenden Passwörter um bis zu 90% oder mehr erhöht hatten, verbesserte sich unsere Punktzahl. Wenn Sie neugierig sind, warum es nicht zu 100% gesprungen ist, spielen ein paar Faktoren eine Rolle, von denen der wichtigste darin besteht, dass einige Passwörter nie durch LastPass - Standards ersetzt werden können, weil dieWebsite-Administratoren. Zum Beispiel ist das Login-Passwort meiner lokalen Bibliothek ein vierstelliger Pin( der auf der LastPass-Sicherheitsskala 4% erreicht).Die meisten Leute werden eine Art von Ausreißern wie diese in ihrer Liste haben und das wird ihre Punktzahl nach unten ziehen.

In solchen Fällen ist es wichtig, sich nicht entmutigen zu lassen und Ihre detaillierte Aufschlüsselung als Maß zu verwenden:

Bei der Passwortaktualisierung habe ich 17 doppelte / abgelaufene Sites bereinigt, ein eindeutiges Passwort für jede Site und jeden Service erstellt und die Nummer mitgebrachtvon Websites mit doppelten Passwörtern von 43 auf 0 im Prozess.

Es dauerte nur eine Stunde ernsthaft konzentrierter Zeit( 12,4% davon wurden dafür aufgewendet, Website-Designer zu verfluchen, die Links zur Passwortaktualisierung an unbekannten Orten platzierten), und alles, was mich motivierte, war ein Kennwortbruch von katastrophalen Ausmaßen! Ich mache mir eine Notiz, großer Erfolg.

Jetzt, da Sie Ihre Kennwörter überprüft haben und Sie über eine Vielzahl von eindeutigen Kennwörtern verfügen, sollten Sie diesen Vorteil nutzen. Lesen Sie unseren Leitfaden, um LastPass sogar sicherer zu machen, indem Sie die Iterationen von Passwörtern erhöhen, Logins nach Ländern einschränken und vieles mehr. Zwischen dem hier beschriebenen Audit, unserem LastPass-Sicherheitsleitfaden und den Zwei-Faktor-Algorithmen haben Sie ein kugelsicheres Passwortverwaltungssystem, auf das Sie stolz sein können.