13Sep

Comment exécuter un audit de sécurité Last Pass( et pourquoi il ne peut pas attendre)

Si vous pratiquez la gestion laxiste des mots de passe et l'hygiène, ce n'est qu'une question de temps avant que l'une des nombreuses failles de sécurité à grande échelle vous brûle. Cessez d'être reconnaissant, vous avez esquivé les balles et les armures de sécurité par le passé contre les futures. Continuez à lire pendant que nous vous montrons comment auditer vos mots de passe et vous protéger.

Quel est le Big Deal et pourquoi est-ce important?

En octobre de cette année, Adobe a révélé qu'il y avait eu une faille de sécurité majeure affectant 3 millions d'utilisateurs des logiciels Adobe.com et Adobe. Puis ils ont révisé le nombre à 38 millions. Puis, encore plus choquant, lorsque la base de données du piratage a été divulguée, les chercheurs en sécurité qui ont analysé la base de données sont revenus et ont dit qu'il ressemblait plus à 150 millions de comptes utilisateur compromis .Ce degré d'exposition des utilisateurs place la violation d'Adobe dans la course comme l'une des pires failles de sécurité de l'histoire.

Adobe n'est pas le seul sur ce front, cependant;nous avons simplement ouvert avec leur brèche parce que c'est douloureusement récent. Au cours des dernières années seulement, il y a eu des dizaines de violations de sécurité massives où les informations des utilisateurs, y compris les mots de passe, ont été compromises.

LinkedIn a été atteint en 2012( 6,46 millions d'enregistrements utilisateur compromis).La même année, eHarmony a été touché( 1,5 million d'utilisateurs), de même que Last.fm( 6,5 millions d'utilisateurs) et Yahoo!(450 000 enregistrements d'utilisateurs).Le Sony Playstation Network a été touché en 2011( 101 millions d'enregistrements d'utilisateurs compromis).Gawker Media( la société mère de sites tels que Gizmodo et Lifehacker) a été touchée en 2010( 1,3 million d'enregistrements d'utilisateurs compromis).Et ce ne sont que des exemples de grandes violations qui ont fait les nouvelles!

Le Privacy Rights Clearinghouse maintient une base de données sur les failles de sécurité de 2005 à nos jours. Leur base de données comprend un large éventail de types de violations: cartes de crédit compromises, numéros de sécurité sociale volés, mots de passe volés et dossiers médicaux. La base de données, à partir de la publication de cet article, est composée de 4 033 violations contenant 617 937 023 enregistrements utilisateur .Pas tous ces centaines de millions de violations impliquaient des mots de passe d'utilisateurs, mais des millions et des millions d'entre eux l'ont fait.

Alors pourquoi est-ce important? Mis à part les implications de sécurité évidentes et immédiates d'une violation, les violations créent des dommages collatéraux. Les pirates peuvent immédiatement commencer à tester les connexions et les mots de passe qu'ils récoltent sur d'autres sites Web.

La plupart des gens sont paresseux avec leurs mots de passe, et il y a de bonnes chances que si quelqu'un utilise [email protected] avec le mot de passe bob1979, la même paire login / mot de passe fonctionnera sur d'autres sites web. Si ces autres sites ont un profil plus élevé( comme les sites bancaires ou si le mot de passe qu'il a utilisé chez Adobe débloque sa boîte de réception), il y a un problème. Une fois que quelqu'un a accès à votre boîte de réception, il peut commencer à réinitialiser son mot de passe sur d'autres services et à y accéder également.

Le seul moyen d'empêcher ce type de réaction en chaîne de créer encore plus de problèmes de sécurité dans le réseau de sites et de services que vous utilisez consiste à suivre deux règles cardinales d'hygiène des mots de passe:

  1. Votre mot de passe doit être long, fort et completunique parmi toutes vos connexions.
  2. Chaque connexion obtient un mot de passe long, fort et unique. Pas de réutilisation de mot de passe. Jamais.

Ces deux règles sont à retenir de tous les guides de sécurité que nous avons déjà partagés avec vous, y compris notre guide d'urgence it-has-hit-the-fan Comment récupérer après que votre mot de passe e-mail est compromise.

Maintenant, à ce stade, vous êtes probablement en train de vous tortiller un peu parce que, franchement, presque personne n'a des pratiques de mot de passe et de sécurité parfaitement hermétiques. Vous n'êtes pas seul si votre mot de passe d'hygiène fait défaut. En fait, il est temps de faire une confession.

J'ai écrit des douzaines d'articles de sécurité, des messages sur les failles de sécurité et d'autres messages liés aux mots de passe au cours des années où j'ai été à How-To Geek. Bien qu'étant précisément le genre de personne informée qui devrait savoir mieux, malgré l'utilisation d'un gestionnaire de mot de passe et la génération de mots de passe sécurisés pour chaque nouveau site Web et service, lorsque j'ai couru mon email à travers la liste des identifiants compromis,encore découvert que j'avais été brûlé.

J'ai fait ce compte Adobe il y a longtemps quand j'étais beaucoup plus laxiste avec mon mot de passe d'hygiène, et le mot de passe que j'ai utilisé était commun à des dizaines de sites et services que j'avais enregistrés avant que je sois vraiment sérieuxbons mots de passe.

Tout cela aurait pu être évité si j'avais pleinement pratiqué ce que je prêchais et pas seulement créé des mots de passe uniques et forts, mais aussi vérifié mes anciens mots de passe pour s'assurer que cette situation ne s'est jamais produite en premier lieu. Si vous n'avez jamais essayé d'être cohérent et sécurisé avec vos pratiques de mot de passe ou vous avez juste besoin de les vérifier pour vous mettre à l'aise, un audit de mot de passe approfondi est le chemin vers la sécurité et la tranquillité d'esprit. Continuez à lire comme nous vous montrons comment.

Préparation de votre défi de sécurité Lastpass

Vous pouvez auditer manuellement vos mots de passe, mais cela serait extrêmement fastidieux et vous ne bénéficieriez d'aucun des avantages d'un bon gestionnaire de mots de passe universel. Au lieu de tout contrôler manuellement, nous allons prendre la route facile et largement automatisée: nous allons auditer nos mots de passe en prenant le LastPass Security Challenge.

Ce guide ne couvre pas la configuration de LastPass, donc si vous n'avez pas encore de système LastPass opérationnel, nous vous encourageons vivement à en créer un. Consultez le Guide HTG sur le démarrage de LastPass pour commencer. Bien que LastPass ait été mis à jour depuis que nous avons écrit le guide( l'interface est beaucoup plus jolie et mieux rationalisée maintenant), vous pouvez toujours suivre les étapes avec facilité.Si vous configurez LastPass pour la première fois, assurez-vous d'importer tous vos mots de passe stockés dans vos navigateurs, car notre objectif est d'auditer chaque mot de passe que vous utilisez.

Entrez chaque identifiant et mot de passe dans LastPass: Que vous soyez nouveau sur LastPass ou que vous ne l'utilisiez pas complètement pour chaque connexion, il est maintenant temps de vous assurer que vous avez entré toutes les connexions dans le système LastPass. Nous allons nous faire l'écho des conseils que nous avons donnés dans notre guide de récupération d'e-mails pour peigner votre boîte e-mail pour les rappels:

Recherchez dans votre courrier électronique les rappels d'enregistrement. Il ne sera pas difficile de se souvenir de vos identifiants fréquemment utilisés, comme Facebook et votre banque, mais il existe probablement des dizaines de services de dédouanement dont vous ne vous souvenez peut-être même pas que vous utilisez votre adresse e-mail pour vous connecter. Utilisez des mots clés comme "bienvenue à", "réinitialiser", "récupération", "vérifier", "mot de passe", "nom d'utilisateur", "connexion", "compte" et des combinaisons comme "réinitialiser mot de passe" ou "vérifier compte".Encore une fois, nous savons que c'est un problème, mais une fois que vous avez fait cela avec un gestionnaire de mot de passe à vos côtés, vous avez une liste principale de tous votre compte et vous n'aurez plus jamais à faire ce mot-clé.

Activer l'authentification à deux facteurs sur votre compte LastPass: Cette étape n'est pas strictement nécessaire pour effectuer l'audit de sécurité, mais pendant que nous avons votre attention, nous ferons tout notre possible pour vous encourager, pendant que vous dépassezvotre compte LastPass, pour activer l'authentification à deux facteurs afin de sécuriser davantage votre coffre-fort LastPass.(Non seulement cela augmentera la sécurité de votre compte, mais vous obtiendrez également une amélioration de votre score d'audit de sécurité!)

Prendre le Défi de Sécurité LastPass

Maintenant que vous avez importé tous vos mots de passe, il est temps de vous préparer à la honte.de ne pas être dans le 1% des ninjas de sécurité mot de passe hardcore. Visitez la page LastPass Security Challenge et appuyez sur "Start the Challenge" au bas de la page. Vous serez invité à entrer votre mot de passe principal, comme indiqué dans la capture d'écran ci-dessus, puis LastPass vous proposera de vérifier si l'une des adresses e-mail contenues dans votre coffre fait partie des violations qu'il a suivies.

Si vous avez de la chance, cela renvoie un résultat négatif. Si vous êtes chanceux, vous obtenez une fenêtre contextuelle demandant si vous souhaitez obtenir plus d'informations sur les violations dans lesquelles votre e-mail a été impliqué:

LastPass émet une seule alerte de sécurité pour chaque instance. Si votre adresse e-mail existe depuis longtemps, préparez-vous à être choqué du nombre de violations de mot de passe dans lesquelles il a été mêlé. Voici un exemple de violation de mot de passe:

Après les pop-ups, vous serez transféré dans le panneau principal du LastPass Security Challenge. Rappelez-vous plus tôt dans le guide quand j'ai parlé de la façon dont je pratique actuellement une bonne hygiène des mots de passe, mais que je n'avais jamais réussi à mettre à jour correctement un grand nombre de sites Web et de services plus anciens. Il montre vraiment dans le score que j'ai reçu. Ouch:

C'est mon score avec des années de mots de passe aléatoires mélangés. Ne soyez pas trop choqué si votre score est encore plus bas si vous avez utilisé la même poignée de mots de passe faibles encore et encore. Maintenant que nous avons notre score( aussi impressionnant soit-il honteux), il est temps de creuser dans les données. Vous pouvez utiliser les liens rapides à côté de votre pourcentage de score ou simplement commencer à défiler. Premier arrêt, regardons les résultats détaillés. Considérez ceci comme un aperçu de 100 000 pieds de l'état de vos mots de passe:

Alors que vous devriez prêter attention à toutes les statistiques ici, les plus importantes sont: "Force moyenne des mots de passe","Nombre de mots de passe en double" et "Nombre de sites ayant des mots de passe en double".Dans la cause de ma vérification, il y avait 8 dupes sur 43 sites. De toute évidence, j'avais été assez paresseux en réutilisant le même mot de passe de bas grade sur plus de quelques sites.

Arrêt suivant, la section Sites analysés. Vous trouverez ici une décomposition très concrète de tous vos identifiants et mots de passe organisés par l'utilisation de mots de passe dupliqués( si vous avez des doublons), des mots de passe uniques, et enfin, des connexions sans mot de passe stockées dans LastPass. Pendant que vous regardez dans la liste, admirez le contraste entre les forces du mot de passe. Dans mon cas, l'un de mes identifiants financiers a reçu un score de 45%, tandis que le login Minecraft de ma fille a obtenu un score parfait de 100%.Encore une fois, aïe.

Correction de votre terrible score de sécurité

Deux liens très utiles sont intégrés dans les listes d'audit. Si vous cliquez sur "SHOW", il vous montrera le mot de passe pour ce site et si vous cliquez sur "Visitez le site", vous pouvez accéder directement au site Web afin de pouvoir changer le mot de passe. Non seulement chaque mot de passe dupliqué doit être modifié, mais tout mot de passe associé à un compte qui a été piraté( comme Adobe.com ou LinkedIn) doit être définitivement supprimé.

En fonction du nombre de mots de passe que vous possédez( et de la diligence avec laquelle vous avez travaillé sur les bonnes pratiques de mot de passe), cette étape du processus peut prendre dix minutes ou toute l'après-midi. Bien que le processus de modification de vos mots de passe varie en fonction de la mise en page du site, voici quelques directives générales à suivre( nous utilisons notre mise à jour du mot de passe à Remember the Milk): Visitez la page de changement de mot de passe. Typiquement, vous devrez entrer votre mot de passe actuel, puis générer un nouveau mot de passe.

Faites-le en cliquant sur le logo lock-with-circular-arrow. LastPass insère dans le nouveau slot de mot de passe( comme vu dans la capture d'écran ci-dessus).Examinez votre nouveau mot de passe et faites les ajustements si vous le désirez( comme l'allonger ou ajouter des caractères spéciaux):

Cliquez sur "Utiliser mot de passe" puis confirmez que vous voulez mettre à jour l'entrée que vous éditez:

Assurez-vous de confirmeravec le site Web aussi. Répétez le processus pour chaque mot de passe dupliqué et faible dans votre coffre LastPass.

Enfin, la dernière chose que vous devez auditer est votre mot de passe principal LastPass. Pour ce faire, cliquez sur le lien situé en bas de l'écran de défi intitulé «Tester la force de mon mot de passe principal LastPass».Si vous ne voyez pas ceci:

Vous devez réinitialiser votre mot de passe principal LastPass et augmenter la force jusqu'à ce que vous receviez une confirmation agréable et positive à 100%.

Surveiller les résultats et améliorer encore votre sécurité LastPass

Après avoir parcouru la liste des mots de passe en double, supprimé les anciennes entrées, et rangé et sécurisé votre liste de connexion / mot de passe, il est temps de réexécuter l'audit. Maintenant, pour mettre l'accent, le score que vous voyez ci-dessous a été soulevé uniquement en améliorant la sécurité des mots de passe.(Si vous activez des fonctions de sécurité supplémentaires, comme l'authentification multifacteur, vous recevrez une augmentation d'environ 10%).

Pas mal! Après avoir éliminé tous les mots de passe en double et amélioré tous les mots de passe existants jusqu'à 90% ou plus, cela a vraiment amélioré notre score. Si vous êtes curieux de savoir pourquoi il n'est pas passé à 100%, il y a quelques facteurs en jeu, dont le plus important est que certains mots de passe ne peuvent jamais être gonflés par les normes LastPass en raison de politiques stupides mises en place par leadministrateurs du site. Par exemple, le mot de passe de connexion de ma bibliothèque locale est une broche à quatre chiffres( dont la note est de 4% sur l'échelle de sécurité LastPass).La plupart des gens auront une sorte de valeur aberrante comme celle-là dans leur liste et cela fera glisser leur score vers le bas.

Dans ce cas, il est important de ne pas se décourager et d'utiliser votre décomposition détaillée comme une métrique:

Dans le processus de mise à jour du mot de passe j'ai supprimé 17 sites dupliqués / expirés, créé un mot de passe unique pour chaque site et service.des sites avec des mots de passe en double de 43 à 0 dans le processus.

Il a fallu environ une heure de temps très concentré( 12,4% de malédiction pour les concepteurs de sites Web qui mettent des mises à jour de mot de passe dans des endroits obscurs) et tout ce qu'il fallait pour me motiver était une faille de mot de passe catastrophique! Je fais une note ici, énorme succès.

Maintenant que vous avez audité vos mots de passe et que vous êtes impatient de disposer d'une batterie de mots de passe uniques, profitons de cet élan. Lancez notre guide pour rendre LastPass même plus sûr en augmentant les itérations du mot de passe, en limitant les connexions par pays, et plus encore. Entre l'exécution de la vérification décrite ici, notre guide de sécurité LastPass et l'activation d'algorithmes à deux facteurs, vous disposez d'un système de gestion de mot de passe à toute épreuve dont vous pouvez être fier.