13Sep
Kui kasutate salajast paroolijuhtimist ja hügieeni, siis on see vaid aja küsimus, kuni üks paljudest suuremahulistest turvarikkumistest põleb. Lõpeta tänulik, et olete varem turvameetmeid rikkunud ja kaitsed endiste vastu. Loe edasi, kui näeme teile, kuidas oma paroolid kontrollida ja ennast kaitsta.
Mis on suur asi ja miks see on asi?
Käesoleva aasta oktoobris tõdes Adobe, et on toimunud suur turvarikkumine, mis mõjutas 3 miljonit Adobe.com'i ja Adobe tarkvara kasutajat. Seejärel vaatasid nad üle 38 miljoni arvu. Veelgi šokeerivamalt, kui andmebaas hukkus lekkinud, läksid andmebaasi analüüsinud turvaeksperdid tagasi ja ütlesid, et see oli rohkem kui 150 000 000 -ga seotud kasutajakontod. Selline kasutajate kokkupuuteaste muudab Adobe'i rikke üheks halvimaks turvarikkumiseks ajaloos.
Adobe peaaegu üksi selles suunas;me lihtsalt avasime nende rikkumise, sest see on hiljuti valus. Viimastel aastatel on üksi olnud kümneid ulatuslikke turvarikkumisi, kus kasutajateavet, sealhulgas paroole, on ohustatud.
LinkedIn tabas 2012. aastal( kompromiteeritud 6,46 miljonit kasutajatunnust).Samal aastal tabas eHarmony( 1,5 miljonit kasutajatunnust), nagu ka Last.fm( 6,5 miljonit kasutaja kirjeid) ja Yahoo!(450 000 kasutaja arvestust).2011. aastal tabas Sony Playstation Network( 101 miljonit kasutajaandmeid kompromiteeriti).2010. aastal tabas Gawker Media( selliste saitide emaettevõtja nagu Gizmodo ja Lifehacker)( 1,3 miljonit kasutajatunnust kompromiteeriti).Ja need on lihtsalt näited suurtest rikkumistest, mis uudiseid tegi!
Privaatsusõiguste teabevõrgustik säilitab turvarikkumiste andmebaasi alates 2005. aastast kuni praeguseni. Nende andmebaas sisaldab laia valikut rikkumiste tüüpe: kompromiteeritud krediitkaarte, varastatud sotsiaalkindlustuse numbreid, varastatud paroole ja meditsiinilisi andmeid. Andmebaas alates käesoleva artikli avaldamisest koosneb 4,033 rikkumistest , mis sisaldab 617 937 023 kasutaja arvestust .Mitte iga neist sadu miljoneid rikkumisi ei kasutanud kasutajaraporte, vaid miljonid neist tegid.
Miks see nii tähtis on? Peale rikkumise ilmselse ja vahetu julgeolekuga seotud tagajärjed tekitavad rikkumisi ka lisakahju. Häkkerid võivad kohe alustada teistes veebisaitidel kogutud sisselogimiste ja paroolide katsetamist.Enamik inimesi on oma paroolidega laisk, ja on hea võimalus, et kui keegi kasutab [email protected] parooli bob1979, siis sama salasõna / paar töötab ka teistes veebisaitides. Kui need teised veebisaidid on kõrgema profiiliga( nt pangakontosid või kui parool, mida ta Adobe'is tegelikult avas, oma e-posti postkasti) avaneb probleem. Kui keegi omab juurdepääsu teie e-posti sisendkausta, saavad nad hakata parooli muudele teenustele uuesti sisestama ja neile juurde pääsema.
Ainus viis, kuidas peatada selline ahelreaktsioon veelgi turvaprobleemide tekitamisel veebisaitide ja -teenuste võrgustikus, on järgida kahte parema hea hügieeni peamist reeglit:
- Teie e-posti parool peaks olema pikk, tugev ja täiestiainulaadne kõigi teie sisselogimiste seas.
- Iga sisselogimine saab pikk, tugev ja unikaalne parool. Parooli korduskasutamine ei ole lubatud. Ever.
Need kaks reeglit on iga turvalisuse juhendiga, mille oleme teiega kunagi varem jaganud,null, kaasa arvatud meie hädaolukorras, see on-on-hit-the-fan-juhend Kuidas taastada pärast teie e-posti parooli ohtu.
Nüüd on see, et sa oled ilmselt väike, sest ausalt öeldes on vaevalt kellelgi täiesti õhukindlat parooli tavasid ja turvalisust. Sa ei ole üksi, kui sul pole parooli hügieeni. Tegelikult on aeg konfessioonile.
Olen kirjutanud kümneid turvalisuse artikleid, postitusi turvarikkumistest ja muudest parooliga seotud postitustest aastate jooksul, mil olen olnud How-To Geeki. Hoolimata sellest, et täpselt on see kindel teadlik isik, kes peaks paremini tundma, hoolimata salajase halduri kasutamisest ja turvaliste paroolide loomist iga uue veebisaidi ja teenuse jaoks, kui ma saatsin oma e-posti läbi kompromiteeritud Adobe'i sisselogimiste nimekirja ja sobisin selle vastu rikutud parooliga, siis maikkagi avastasin, et mul on põletatud.
Ma tegin selle Adobe'i konto juba ammu, kui olin oma paroolihügieeni tunduvalt lahkemini, ja salasõna, mida kasutasin, oli kogu -i kümneid -i levinud veebisaitidel ja teenustel, millega ma olen registreerunud, enne kui ma sain väga tõsiselt tegemisehead paroolid.
Kõik seda oleks võinud ära hoida, kui ma täielikult harjutanud seda, mida kuulutasin, ja mitte ainult unikaalsete ja tugevate paroolide loomist, kuid ja auditeerisid minu vanu paroole, et seda olukorda pole kunagi juhtunud.Ükskõik, kas te ei ole kunagi isegi proovinud oma salasõnadega töötada järjepidevalt ja turvaliselt, või kui teil on vaja neid hõlpsalt kontrollida, on põhjalik paroolaudit paroolienergia ja meelerahu tee. Loe edasi, kui me näeme teile, kuidas.
Ettevalmistused teie Lastpassi turvaprobleemiks
Võiksite oma paroolid käsitsi kontrollida, kuid see oleks tohutult tüütu ja te ei saaks kasu parema universaalse paroolijuhi kasutamisest. Kogu käsitsi auditeerimise asemel võtame kasutusele lihtsa ja suuresti automatiseeritud marsruudi: me kontrollime oma paroole, võttes LastPassi turvalisuse väljakutse.
Käesolev juhend ei hõlma LastPassi seadistamist, seega kui te pole veel LastPassi süsteemi juba töökorras olevat, siis soovitame tungivalt üles seda seadistada. Tutvuge HTTG juhendiga, kuidas alustada tööle LastPassiga. Kuigi LastPass on ajakohastatud alates juhendi kirjutamisest( liides on palju ilusamaid ja paremini täiustatud), saate siiski hõlpsalt samme järgida. Kui installite LastPassit esmakordselt, impordige kindlasti kõik oma salvestatud paroolid oma brauseritest, kuna meie eesmärgiks on iga kasutatava parooli kontrollimine.
Sisestage iga LastPassi sisselogimine ja salasõna: Kas olete täiesti uusim LastPassile või pole seda iga sisselogimise jaoks täielikult kasutanud, on nüüd aeg veenduda, et sisestasite iga sisselogimise LastPassi süsteemi. Me läheme kajastatud nõuetest, mida me andsime oma e-posti taastamise juhendis oma e-posti postkasti meeldetuletuste kambrimiseks:
Otsige oma e-posti teel registreerimise meeldetuletusi. Ei ole raske meeles pidada oma sageli kasutatavaid sisselogimisi, nagu Facebook ja teie pank, kuid seal on tõenäoliselt kümneid väljamineku teenuseid, mille puhul võite isegi mitte meeles pidada, et kasutate oma e-posti sisselogimiseks. Kasutage märksõnade otsinguid, nagu näiteks "tere tulemast", "lähtestada", "taastuda", "kinnitada", "parooli", "kasutajanime", "sisselogimist", "kontot" ja selliseid kombinatsioone nagu "lähtestada parool" või "kinnitada konto".Jällegi me teame, et see on probleem, kuid kui olete selle teinud oma paroolijuhi kaudu, on teil kogu oma konto põhiloend ja te ei pea seda märksõna hunt uuesti tegema.
Võimalda kahe viimase tegurite autentimine teie LastPassi kontol: See samm ei ole turvalisuse auditi läbiviimiseks hädavajalik, kuid kui me teie tähelepanu juhime, siis teeme kõik, mida me suudame, et teid innustadateie LastPassi konto, et lülitada sisse kahesuunaline autentimine, et veelgi teie LastPassi vaidi turvalisemaks muuta.(Teie konto turvalisus ei suurene mitte ainult, aga saate oma turbetugevuse skoori suurendada!)
LastPass Security Challenge
kasutamine Nüüd, kui olete oma paroole importima, on aeg oma häbist kinni hoidamis ei kuulu 1% hardcore parooli turvalisuse ninjas. Külastage lehte LastPass Security Challenge ja klõpsake lehe allservas nuppu "Start Challenge".Teil palutakse sisestada oma master parool, nagu on näha ülaltoodud pildil, ja seejärel pakub LastPass kontrollida, kas mõni teie vahis sisalduvatest e-posti aadressidest on osa kõikidest rikkumistest, mida ta on jälginud. Puudub ühtki põhjust, miks seda ära kasutada:
Kui sul on õnne, tagastab see negatiivse tulemuse. Kui teil on õnne, kuvatakse selline hüpikaken, milles küsitakse, kas soovite saada lisateavet teie e-posti rikkumiste kohta:
LastPass väljastab iga juhtumi jaoks ühe turvahoiatuse. Kui olete oma e-posti aadressi juba pikka aega olnud, olge valmis šokeerima, kui palju salasõna rikutakse, siis on see sisselülitatud. Siin on näide salasõnade rikkumisest:
Pärast hüpikakende tegemist lohistatakse teid LastPassi turvalisuse väljakutse põhipaneelisse. Juhtus mäletan varem, kui ma rääkisin sellest, kuidas ma praegu parajasti parooli hügieeni praktiseerin, kuid et ma ei oleks kunagi saanud palju vanemate veebisaitide ja teenuse nõuetekohast värskendamist? See tõesti näitab minu skooris. Ouch:
See on minu arv, mis on aastaid väärt juhuslike paroolidega segatud. Ärge liiga šokeeritud, kui teie skoor on veelgi madalam, kui olete korduvalt sama paarikut nõrkade paroolide kasutamist kasutanud. Nüüd, kui meil on meie skoor( kuigi võimas või häbiväärne see võib olla), on aeg kaevuda andmed. Võite kasutada kiirpunkte oma protsendipunkti kõrval või lihtsalt alustada kerimisega. Esimene peatus, vaadake üksikasjalikke tulemusi. Mõelge sellele 10 000 jalga ülevaate oma paroolide olekust:
Kuigi sa peaksid pöörama tähelepanu kõikidele siin olevatele statistikatele, on tõeliselt olulised "keskmine salasõna tugevus", kui nõrk või tugev on teie keskmine parool ja veelgi olulisem"Dubleeritud paroolide arv" ja "Paroolide kordusparameetrite arv".Minu auditi tagajärjel oli 43 veebisaiti kokku 8 tühimikut. Tundub, et ma olin üsna laisk taaskasutanud sama vähese taseme parooli enam kui paaril saitidel.
Järgmine peatus, jaotis Analüüsitud saidid. Siin leiate väga selgelt kõik teie salasõnade ja paroolide kustutamiseks kasutatavad paroolid( kui teil oli duplikaat), unikaalsed paroolid ja lõpuks sisselogimine ilma paroolita LastPassi. Kuigi sa vaatad nimekirja üle, imestavad salasõna tugevuste kontrastsust. Minu puhul anti ühele mu finantsloendist 45% salasõna skoor, samal ajal kui minu tütre Minecrafti sisselogimisel sai täiuslik 100% skoor. Jällegi, ouch.
Sinu kohutava julgeoleku väljakutse skoori
kinnitamine Auditi loendisse on sisestatud kaks väga kasulikku linki. Kui klõpsate "NÄITA", näitab see selle saidi parooli ja kui klõpsate "Külasta veebisaiti", võite hüpata otse veebisaidile, et saaksite parooli muuta. Mitte ainult ei tohiks muuta iga eksemplaris sisalduvat parooli, kuid mis tahes salasõna, mis oli lisatud rikutud kontole( nt Adobe.com või LinkedIn), tuleks jäädavalt lahkuda.
Sõltuvalt sellest, kui palju või vähe paroole olete( ja kui hoolikalt olete olnud parimate parooliga tegelemiseks), võib protsessi see samm kümme minutit või kogu pärastlõunal sind kaasa võtta. Kuigi paroolide muutmise protsess varieerub sõltuvalt teie uuendatud saidi paigutusest, on siin mõned üldised juhised, mida järgida( me kasutame oma parooli värskendamist näiteks "Remember the Milk"): külastage parooli muutmise lehte. Tavaliselt peate sisestama oma praeguse parooli ja seejärel uue parooli.
Tehke seda, klõpsates ring-noolega logo lukustamiseks. LastPass lisab uue parooli pesa( nagu on näha ülaltoodud pildil).Vaadake oma uut parooli üle ja tehke soovi korral kohandusi( näiteks pikendades seda või lisades erimärke):
Klõpsake nuppu "Kasuta parooli" ja seejärel kinnitage, et soovite redigeeritavat kirjet uuendada:
Kindlasti kinnitage muudatustka veebisaidiga. Korda protsessi iga LastPassi võlviku duplikaadi ja nõrga parooli jaoks.
Lõpuks, viimane asi, mida peate kontrollima, on teie LastPassi peaarvakaart. Tehke seda, klõpsates ekraani Challenge allservas oleval lingil, mille pealkiri on "Minu LastPassi peaarparaadi tugevuse testimine".Kui te seda ei näe:
Peate oma LastPassi peaarparooli lähtestama ja suurendama tugevust, kuni saate kena, positiivse 100% tugevuse kinnituse.
Tulemuste ülevaatamine ja LastPassi turvalisuse täiendav suurendamine
Kui olete varundanud paroolide, kustutatud vanade kirjete nimekirja ja muul viisil sisselogitud ja turvalisenud oma sisselogimis- / parooliloendi, on aeg kontrollida uuesti. Nüüd, rõhuasetuse puhul näitas allpool olevat tulemust ainult paroolide turvalisuse parandamine.(Kui lubate täiendavaid turvafunktsioone, nagu mitmeteguri autentimine, saate tõuke umbes 10% võrra).
Pole paha! Pärast iga duplikaadi parooli kaotamist ja kõikide praeguste paroolide( kuni 90% tugevuse või paremaks muutmine) parandamine parandas meie tulemust. Kui olete huvitav, miks see 100% -lt ei tõusnud, on mängul mõned tegurid, millest kõige olulisem on see, et mõned paroolid ei pruugi LastPassi standardite järgi nuuskida, kunasaidi administraatorid. Näiteks minu kohaliku raamatukogu sisselogimisparool on neljakohaline pistik( mille tulemus on LastPassi turvalisuse skaalal 4%).Enamikul inimestel on nende nimekirjas mingisugused väljavoolud, mis tõmbavad nende skoori alla.
Sellistel juhtudel on oluline, et sa ei ahvatleks ja kasutaksite üksikasjalikku jaotust meetrina:
Parooli uuendamise protsessis ma kärpisin 17 duplikaati / aegunud saidid, loonud igale saidile ja teenusele unikaalse parooli ja tõstanin numbridubleeritavate paroolidega saitide arv allapoole 43 kuni 0.
See võttis umbes tund aega tõsiselt keskendunud ajast( 12,4% sellest kulutati veebisaitide disaineritele, kes panid salasõna värskendamise lingid varjatud kohtadesse), ja kõik, mis mulle motiveeritud võeti, oli katastroofiliste proportsioonide salasõna rikkumine! Ma teen siin märkuse, suurt edu.
Nüüd, kui olete oma paroolid kontrollinud ja olete pumbanud unikaalsete paroolide stabiilsena, võtame ära selle edasisuunamise. Pöörake meie juhiseid LastPass ja isegi -i turvalisemaks muutmisel, suurendades salasõnade kordamist, piirates sisselogimisandmed riikide kaupa ja palju muud. Siin kirjeldatud auditi läbiviimisega, järgides meie LastPassi turvavahendit ja lülitades sisse kahefaktorilised algoritmid, on sulle kuulikindlate paroolijuhtimissüsteem, mille üle uhked võite olla.