13Sep
Jos harjoittelet lax-salasanojen hallintaa ja hygieniaa, se on vain ajan kysymys, kunnes yksi yhä lukuisista laajamittaisista tietoturvaongelmista polttaa sinua. Lopeta kiitollisuutesi, kun väistät viimeiset tietoturvaolosuhteet luoteja ja panssaria vastaan tulevilta. Lue, kun näytämme sinulle, miten voit tarkistaa salasanasi ja suojata itsesi.
Mikä on Big Deal ja miksi tämä asia?
Tämän vuoden lokakuussa Adobe paljasti, että Adobe.com- ja Adobe-ohjelmiston 3 miljoonaa käyttäjää kohdistui suuri turvallisuusrikko. Sitten ne tarkistettiin 38 miljoonaan. Sitten, vieläkin järkyttävämmin, kun tietokanta hakkeri läpäisi, tietoturva tutkijat, jotka analysoivat tietokanta palasi ja sanoi, että se oli enemmän kuin 150 miljoonaa vaarantuneita käyttäjätilejä.Tämä käyttäjän altistumisaste aiheuttaa Adoben rikkomisen käynnissä olevan yhtenä historian pahimmista turvallisuusrikkomuksista.
Adobe on tuskin yksin tällä rintamalla;me yksinkertaisesti avattiin niiden rikkomisesta, koska se on tuskallista viimeaikaista. Pelkästään viime vuosina on ollut kymmeniä massiivisia tietoturva-aukkoja, joissa käyttäjän tietoja, salasanat mukaan lukien, on vaarantunut.
LinkedIn joutui kärsimään vuonna 2012( 6,46 miljoonaa käyttäjämääriä vaarantui).Samana vuonna eHarmony sai osuman( 1,5 miljoonaa käyttäjätunnusta), kuten Last.fm( 6,5 miljoonaa käyttäjätietueita) ja Yahoo!(450 000 käyttäjätietoa).Sony Playstation Network joutui kärsimään vuonna 2011( 101 miljoonaa asiakastunnusta vaarantunut).Gawker Media( Gizmodon ja Lifehackerin kaltaisten sivustojen emoyhtiö) joutui kärsimään vuonna 2010( 1,3 miljoonaa käyttäjätiedostoa vaarantui).Ja nämä ovat vain esimerkkejä suurista rikkomuksista, jotka tekivät uutiset!
Yksityisyyden suojaoikeus Clearinghouse ylläpitää tietokantaa tietoturvaloukkauksista vuodesta 2005 eteenpäin. Heidän tietokantaan kuuluu monenlaisia rikkomustyyppejä: vaarantuneita luottokortteja, varastettuja sosiaaliturvatunnuksia, varastettuja salasanoja ja lääketieteellisiä tietoja. Tietokanta julkaistaan tämän artikkelin julkaisussa 4.033 -rikkomuksista , joka sisältää : n 617 937 023 käyttäjärekisterin .Kaikkien näiden satojen miljoonien rikkomusten joukossa ei ollut käyttäjän salasanoja, mutta miljoonia miljoonien joukossa.
Miksi se merkitsee sitä?Rikkomisen ilmeisistä ja välittömistä turvallisuusnäkökohdista poiketen rikkomukset aiheuttavat vakuudellisia vahinkoja. Hakkerit voivat välittömästi alkaa testata kirjautumisia ja salasanoja, joita he sadosta muista verkkosivustoista.Useimmat ihmiset ovat laiskoja salasanoineen, ja on hyvä mahdollisuus, että jos joku käyttää [email protected] salasanalla bob1979, sama kirjautumis- ja salasanapari toimii muilla verkkosivuilla. Jos muut sivustot ovat korkeammat profiilit( kuten pankkisivustot tai jos salasanasi, jota hän käytti Adobeissa itse asiassa, vapauttaa sähköpostiosoitteensa), on ongelma. Kun joku on saanut pääsyn sähköpostiisi, he voivat aloittaa salasanan palauttamisen muille palveluille ja päästäkseen niihin myös.
Ainoa tapa lopettaa tällainen ketjureaktio, joka aiheuttaa yhä enemmän tietoturvaongelmia verkkosivustojen ja palveluiden verkossa, on noudattaa kahta hyvää salasanasuojausperiaatetta:
- Sähköpostisi salasanan pitäisi olla pitkä, vahva ja täysinainutlaatuinen kaikkien kirjautumiesi joukossa.
- Jokainen -sisäänkirjaus saa pitkä, vahva ja ainutlaatuinen salasana. Ei salasanan uudelleenkäyttöä. koskaan.
Nämä kaksi sääntöä ovat takeaway jokaisesta turvallisuusoppaasta, jonka olemme koskaan jakaneet kanssasi, mukaan lukien hätätilanteemme, jonka avulla voit palauttaa sen jälkeen, kun sähköpostisi salasana on kompromissi.
Nyt tässä vaiheessa olet luultavasti piristää hieman, koska suoraan sanottuna tuskin kukaan on täysin ilmatiivis salasanat ja turvallisuus. Et ole yksin, jos salasanahygieniasi puuttuu. Itse asiassa on aika tunnustaa.
Olen kirjoittanut kymmeniä tietoturvatiedotteita, viestit tietoturvaongelmista ja muita salasanapohjaisia viestejä vuosien aikana, jotka olen ollut How-To Geekissä.Huolimatta siitä, että juuri tietävää henkilöä, joka pitäisi tietää paremmin, huolimatta salasanojen hallinnoinnista ja turvallisten salasanojen luomisesta jokaiselle uudelle verkkosivustolle ja palvelulle, kun kävin sähköpostini läpi vaarantuneiden Adobe-kirjautumistunnusten luettelon ja sovitin sen vaarantuneen salasanan kanssasilti huomasin, että olin poltettu.
Tein kyseisen Adoben tilin kauan sitten, kun olin merkittävästi enemmän lax-salasanalainsäädännön kanssa ja salasanani, jota käytin, oli yhteinen : n kymmenien -sivustojen ja palveluiden välillä, jotka olin allekirjoittanut ennen kuin olin erittäin vakavasti tekemässähyviä salasanoja.
Kaikki tämä olisi voinut estää, jos olisin täysin harjoitellut sitä, mitä minä saarnasin eikä vain luonut ainutlaatuisia ja vahvoja salasanoja, mutta myös auditoi vanhat salasanani varmistaakseen, että tilanne ei koskaan tapahtunut ensiksi. Olipa et ole koskaan yrittänyt olla johdonmukaisia ja turvallisia salasanakäytännöissään tai sinun tarvitsee vain tarkistaa ne, jotta voit laittaa itsesi helposti, perusteellinen salasanatarkastus on polku salasanavarmuuteen ja mielenrauhaan. Lue, kun näytämme sinulle miten.
Valmistautuminen viimeisimmän turvavälin haasteeseen
Voit tarkistaa salasanasi manuaalisesti, mutta se olisi äärimmäisen tylsiä eikä sinulla olisi mitään hyötyä hyvästä yleispalvelun salasanojen hallinnoinnista. Sen sijaan, että tarkastelemme kaiken manuaalisesti, aiomme ottaa helposti ja suurelta osin automatisoitua reittiä: aiomme tarkastaa salasanamme ottamalla LastPass Security Challenge.
Tämä opas ei kata LastPassin asettamista, joten jos sinulla ei vielä ole LastPass-järjestelmää käynnissä, suosittelemme vahvistamaan sitä.Tutustu HTTP-ohjeeseen, jonka avulla pääset alkuun LastPassin kanssa. Vaikka LastPass on päivittänyt, koska olemme kirjoittaneet oppaan( käyttöliittymä on paljon kauniimpi ja paremmin virtaviivaistettu nyt), voit silti noudattaa ohjeita helposti. Jos asetat LastPassia ensimmäistä kertaa, muista tuoda kaikki -tallennetut salasanasi selaimistasi, sillä tavoitteena on tarkistaa jokaisen käyttämääsi salasanaa.
Anna jokaisen sisäänkirjautumisen ja salasanan LastPass: iin: Olitpa aivan uusi LastPassille tai et ole käyttänyt sitä kokonaan jokaiseen sisäänkirjautumiseen, nyt on aika varmistaa, että olet syöttänyt : n jokaiseen -sisäänkirjautumiseen LastPass-järjestelmään. Kutsumme neuvoja, jotka olemme antaneet sähköpostin palautusoppaassa, kun haastattelet sähköpostiosoitteesi muistutuksia varten:
Etsi sähköpostiosoitteesi rekisteröintivaihtoehdoista. Ei ole vaikea muistaa usein käytettyjä kirjautumislomakkeita kuten Facebook ja pankki, mutta todennäköisesti kymmeniä palveluita, joita et ehkä edes muista, että käytät sähköpostiasi kirjautumaan sisään. Käytä avainsanahaut, kuten "welcome to", "reset", "recovery", "verify", "password", "username", "login", "account" sekä niiden yhdistelmät, kuten "reset password".Jälleen tiedämme, että tämä on hankalaa, mutta kun olet tehnyt tämän salasanasuojaimella, sinulla on pääsalu kaikista tilistäsi, eikä sinun tarvitse enää tehdä tätä avainsanan metsästystä.
Ota kaksitasoinen autentikointi LastPass-tilillesi: Tämä vaihe ei ole ehdottoman välttämätöntä turvatarkastuksen suorittamiseksi, mutta kun me kiinnitämme huomiomme, teemme kaikkemme rohkaisemalla sinua, LastPass-tilisi, voit ottaa kaksitasoisen todennuksen käyttöön LastPass-holvin suojaamiseksi.(Se ei ainoastaan lisää tilin turvallisuutta, myös turva-auditointipistemääräsi kasvaa!)
LastPass Security Challenge
: n ottaminen Nyt, kun olet tuonut kaikki salasanasi, on aika vetää itsesi häpeäänettä ei ole 1% hardcore salasanan turvallisuus ninjas. Käy LastPass Security Challenge -sivulla ja paina "Aloita haaste" sivun alareunassa. Sinua pyydetään antamaan pääsalasana, kuten yllä olevassa kuvakaappauksessa näkyy, ja sitten LastPass tarjoaa tarkistaa, onko jokin holvissa olevista sähköpostiosoitteista osa rikkomuksia, jotka se on seurannut. Ei ole hyvä syy olla käyttämättä tätä:
Jos olet onnekas, se palauttaa negatiivisen. Jos olet onnekas, saat tällaisen ponnahdusikkunan kysyäksesi, haluatko lisätietoja rikkomuksista, joihin sähköpostiosoitteesi osallistui:
LastPass antaa yhden tietoturvaviestin jokaiselle instanssille. Jos sinulla on ollut sähköpostiosoitteesi pitkään, ole valmis järkyttämään kuinka monta salasanaa rikkoo. Se on esimerkki salasanan rikkomisesta:
Ponnahdusikkunat poistetaan sinulta LastPass Security Challenge -ohjelman pääpaneeliin. Muistuta aiemmin oppaassa, kun puhuin siitä, miten käytän hyvää salasanasuojausta, mutta en ole koskaan tullut oikein päivittämään paljon vanhempia verkkosivustoja ja palvelua. Se todella osoittaa saamani pisteet. Ouch:
Tämä on minun pisteet vuosien varrella satunnaisia salasanoja sekoitettu sisään Älä ole liian järkyttynyt, jos pisteet on vielä pienempi, jos olet käyttänyt samaa kourallinen heikko salasanoja uudestaan ja uudestaan. Nyt, kun saamme pisteet( mahtava tai häpeällinen se saattaa olla), on aika kaivaa tietoja. Voit käyttää pikalinkkejä pisteiden prosenttiosuuden vieressä tai vain aloittaa vierityksen. Ensimmäinen pysäkki, katsotaan yksityiskohtaisia tuloksia. Katsokaa tätä 10 000 jalkaisen yleiskatsauksen salasanasi tilanteesta:
Kun kaikki tilastot on huomioitava, todella tärkeät ovat "Keskimääräinen salasanan vahvuus", kuinka heikko tai vahva keskimääräinen salasanasi on ja vielä tärkeämpää,"Päällekkäisten salasanojen määrä" ja "niiden sivustojen määrä, joissa on päällekkäisiä salasanoja".Tarkastuksen syynä oli 43 kpl kahdeksan kpl. Selvästi olin ollut melko laiska uudestaan samaa matalaa salasanaa useammalla kuin muutamilla sivustoilla.
Seuraava pysäytys, analysoitu sivustot -osiossa. Täältä löytyy hyvin konkreettinen murto kaikista kirjautumistiedoista ja salasanoista, jotka on järjestetty päällekkäisen salasanan käytön avulla( jos sinulla on kaksoiskappaleita), ainutlaatuisia salasanoja ja lopuksi salasanoja, joissa ei ole salasanaa LastPassissa. Kun tarkastelet luetteloa, ihastele salasanan vahvuuksien vastakohta. Minun tapauksessani yksi taloudellisista kirjautumistani sai 45% salasanapisteen, kun tyttäreni Minecraftin sisäänkirjautumiselle saatiin täydellinen 100% pisteet. Jälleen, ouch.
Terrible Security Challengen korjaaminen
Auditiotiedostoihin on rakennettu kaksi erittäin hyödyllistä linkkiä.Jos valitset "SHOW", se näyttää salasanan kyseiselle sivustolle ja jos napsautat "Käy sivustolla", voit siirtyä suoraan verkkosivustolle, jotta voit vaihtaa salasanan. Ei vain sitä, että jokaista päällekkäistä salasanaa muutettaisiin, mutta kaikki salasanat, jotka liitettiin rikkoutuneeseen tiliin( kuten Adobe.com tai LinkedIn), olisi poistettava pysyvästi.
Riippuen siitä, kuinka monta tai kahta salasanaa sinulla on( ja kuinka ahkera olet ollut hyvistä salasanakäytännöistä), tämä prosessin vaihe saattaa kestää kymmenen minuuttia tai koko iltapäivällä.Vaikka salasanojen vaihtamisprosessi vaihtelee päivitettävän sivuston ulkoasun mukaan, tässä on muutamia yleisiä ohjeita( käytämme salasanapäivitystä esimerkkinä Muistuta maitoa): Siirry salasanan muutossivulle. Tyypillisesti sinun tulee syöttää nykyinen salasana ja luoda uusi salasana.
Tee näin napsauttamalla lukitusta, jossa on pyöreä nuoli. LastPass lisätään uuteen salasanaan( kuten kuvassa näkyy yllä).Katso uuden salasanasi ja tee säädöt, jos haluat( esimerkiksi pidentää sitä tai lisätä erikoismerkkejä):
Napsauta "Käytä salasanaa" ja vahvista, että haluat päivittää muokattavan merkinnän:
Vahvista muutosmyös verkkosivustolla. Toista prosessi jokaisesta päällekkäisestä ja heikosta salasanasta LastPass-holkissa.
Viimeinen asia, jonka haluat tarkistaa, on LastPass Master Password. Tee niin napsauttamalla haun näytön alareunassa olevaa linkkiä, jonka otsikko on "Testaa Last Passin pääsalasanan vahvuus".Jos et näe tätä:
Sinun täytyy nollata LastPass Master Password ja lisätä voimaa, kunnes saat mukavan, positiivisen, 100% vahvan vahvistuksen.
LastPass-suojauksen tulosten tutkiminen ja edelleenvaihdunta
Kun olet lukittanut päällekkäisten salasanojen luettelon, poistetut vanhat merkinnät ja muuten tallentanut kirjautumistietojen / salasanojen luettelon ja varmistanut sen, on aika suorittaa tarkastus uudelleen. Nyt korostetaan, että pisteet, jotka näet alla, nostettiin pelkästään parantaen salasanasuojausta.(Jos otat käyttöön muita tietoturvaominaisuuksia, kuten monitekijäinen todennus, saat noin 10 prosentin korotuksen).
Ei paha! Kun poistamme jokaisen päällekkäisen salasanan ja tuodaan kaikki olemassa olevat salasanat jopa 90%: n vahvuuden tai paremman, se todella paransi pisteet. Jos olet utelias, miksi se ei hyppäsi 100%: iin, on olemassa muutamia tekijöitä, joista tärkein on, että LastPass-standardeja ei voi koskaan tuhlata salasanoilla, koskasivuston ylläpitäjät. Esimerkiksi paikalliskirjaston sisäänkirjautumissalasana on nelinumeroinen pin( joka vastaa 4% LastPass-suojausasteikosta).Useimmilla ihmisillä on jonkinlainen outliers sellaisenaan luettelossaan ja ne vetävät pistemääränsä alaspäin.
Tällaisissa tapauksissa on tärkeää, ettet lannistu ja käytä yksityiskohtaista erittelyäsi metrisenä:
Salasanan päivitysprosessissa kynsin 17 päällekkäistä / vanhentunutta sivustoa, luonut ainutlaatuisen salasanan jokaiselle sivustolle ja palvelulle ja tuonut numeronsivustoista, joissa päällekkäiset salasanat ovat 43: sta 0: een.
Ainoa tunti vakavasti keskittyneestä ajasta( 12,4% käytettiin kirottuna verkkosivuston suunnittelijoille, jotka laittoivat salasanapäivitysten linkit epämääräisiin paikkoihin), ja kaikki, mitä tarvitsin saada minut motivoimaan, oli katastrofaalisten mittasuhteiden salasanasuojaus! Tehdyn merkin, valtava menestys.
Nyt kun olet tarkistanut salasanasi ja olet pumppaillut siitä, että sinulla on vakaa ainutlaatuisia salasanoja, käytämme tätä etenemistä.Tartu oppaaseen, jotta LastPass : n ansiosta -suojaus olisi turvallisempi lisäämällä salasanan iterointeja, rajoittamalla kirjautumisia maittain ja muualla. Suorittamamme tarkastuksen suorittamisessa, jonka olemme ottaneet käyttöön LastPass-suojausoppaamme jälkeen ja kahden tekijän algoritmien käyttöönotolla, sinulla on luodinkestävä salasanan hallintajärjestelmä, josta voi olla ylpeä.