13Sep

Kako pokrenuti zadnju sigurnosnu reviziju( i zašto ne može čekati)

Ako vježbate lazu za upravljanje lozinkom i higijenu, to je samo pitanje vremena dok vam ne spali jedna od sve brojnijih sigurnosnih kršenja. Nemojte biti zahvalni što ste izbjegli prošlost sigurnosnih kršenja metaka i oklopa protiv budućih. Pročitajte kako vam pokazujemo kako provjeravati vaše lozinke i zaštititi se.

Što je Big Deal i zašto je to pitanje?

U listopadu ove godine, Adobe je otkrio da je došlo do velike povrede sigurnosti koja je utjecala na 3 milijuna korisnika Adobe.com i Adobe softvera. Tada su promijenili broj na 38 milijuna. Zatim, još više šokantno, kada je baza podataka iz hacka procurila, sigurnosni istraživači koji su analizirali bazu podataka vratili su se i rekli da je više slično 150 milijuna ugroženih korisničkih računa. Ovaj stupanj izloženosti korisnika predstavlja kršenje programa Adobe kao jedan od najgorih sigurnosnih kršenja povijesti.

Adobe, međutim, teško je sam;jednostavno smo otvorili s njihovim povredama jer je bolno nedavno. Samo posljednjih nekoliko godina došlo je do desetaka masovnih sigurnosnih kršenja u kojima su informacije korisnika, uključujući lozinke, ugrožene.

LinkedIn je pogođen 2012. godine( 6,46 milijuna korisničkih zapisa ugroženih).Iste godine, eHarmony je pogodio( 1,5 milijuna korisničkih zapisa) kao što je bio Last.fm( 6,5 milijuna korisničkih zapisa) i Yahoo!(450.000 korisničkih zapisa).Mreža Playstation tvrtke Sony pogodila je 2011.( 101 milijuna kompromitiranih korisnika).Gawker Media( matična tvrtka web mjesta kao što su Gizmodo i Lifehacker) pogođena je 2010. godine( 1,3 milijuna korisničkih zapisa ugroženo).A to su samo primjeri velikih povreda koje su donijele vijesti!

Odjel za zaštitu prava osobnih podataka održava bazu podataka o kršenjima sigurnosti od 2005. do danas. Njihova baza podataka uključuje širok raspon vrsta kršenja: ugrožene kreditne kartice, ukradene brojeve socijalnog osiguranja, ukradene lozinke i medicinske zapise. Baza podataka, od objavljivanja ovog članka, sastoji se od 4.033 kršenja koji sadrže 617.937.023 korisničkih evidencija .Nisu svaka od tih stotina milijuna prekršaja uključivala korisničke lozinke, ali milijuni od njih su učinili milijune.

Pa zašto je to važno? Osim očitih i neposrednih sigurnosnih posljedica prekršaja, kršenja stvaraju kolateralnu štetu. Hackeri mogu odmah početi testirati prijave i zaporke koje žele na drugim web stranicama.

Većina ljudi lijeni su svojim lozinkama i ima dobre šanse da ako netko koristi [email protected] s lozinkom bob1979, taj isti login / lozinka će raditi na drugim web stranicama. Ako su te druge web stranice veći profil( kao što su bankarske web stranice ili ako lozinka koju je koristio u Adobeu zapravo otključava njegovu pristiglu poštu), postoji problem. Kada netko ima pristup vašem pristigloj pošti, oni mogu početi resetirati zaporku na drugim uslugama i dobiti im pristup.

Jedini način za zaustavljanje ove vrste lančane reakcije da uzrokuje još više sigurnosnih problema unutar mreže web stranica i usluga koje koristite je slijediti dva kardinala pravila dobre higijene lozinke:

  1. Vaša e-mail lozinka trebao bi biti dug, snažan i potpunojedinstveno među svim vašim prijavama.
  2. Svaka prijavnica dobiva dugu, snažnu i jedinstvenu lozinku. Ponovno korištenje lozinke. ikada.

Ta dva pravila su odstupanja od svakog sigurnosnog vodiča koji smo ikada podijelili s vama, uključujući i naš hitni vodič koji ima hit-the-fan vodič Kako se vratiti nakon što je vaša lozinka e-pošte kompromitirana.

Sada, u ovom trenutku, vjerojatno se malo namršti jer, iskreno, gotovo da nitko nema savršeno hermetičan lozinku praksi i sigurnost. Niste sami ako vam nedostaje higijena lozinke. Zapravo, vrijeme je za priznanje.

Napisao sam desetke sigurnosnih članaka, postova o sigurnosnim kršenjima i drugim zapisima vezanim uz lozinku tijekom godina u How-To Geeku. Unatoč tome što je upravo takva informirana osoba koja bi trebala bolje znati, unatoč upravitelju zaporke i generiranju sigurnih zaporki za svaku novu web-lokaciju i uslugu, kada sam pokrenuo e-poštu putem popisa kompromitiranih Adobe prijava i podudarala se s ugroženom lozinkomi dalje su otkrili da sam spalio.

Napravio sam taj Adobe račun davno kada sam bio znatno lakšiji od higijene lozinke, a lozinka koju sam koristila bila je uobičajena preko desetaka web stranica i usluga s kojima sam se prijavila prije nego što sam dobio super ozbiljnu stvardobre zaporke.

Sve se to moglo spriječiti da sam potpuno prakticirao ono što sam propovijedao, a ne samo stvorio jedinstvene i jake lozinke, ali i revidirale su moje stare lozinke kako bi se osigurala da se takva situacija nikada nije dogodila na prvom mjestu. Bilo da niste ni pokušali biti dosljedni i sigurni u praktičnoj praksi lozinke ili ih samo trebate provjeriti kako biste se lakše oporavili, temeljita revizija lozinke predstavlja put do sigurnosti lozinkom i mir uma.Čitajte dalje kako vam pokazujemo kako.

Priprema za svoj sigurnosni izazov za posljednji put

Možete ručno provjeriti vaše zaporke, ali to bi bilo iznimno dosadno i ne biste imali koristi od korištenja dobrog univerzalnog upravitelja zaporki. Umjesto ručne revizije svega, mi ćemo uzeti jednostavan i uglavnom automatizirani put: provjerit ćemo naše lozinke uzimajući LastPass Security Challenge.

Ovaj vodič neće pokriti postavljanje LastPass-a, tako da ako već nemate sustav LastPass sustava, preporučujemo da ga postavite. Da biste započeli, pogledajte HTG Vodič za početak korištenja programa LastPass. Iako je LastPass ažuriran od kada smo napisali vodič( sučelje je puno ljepše i bolje stručno sada), i dalje možete lako pratiti korake. Ako postavljate LastPass po prvi put, svakako uvezite sve svoje pohranjene lozinke iz preglednika jer nam je cilj reviziju svake pojedine lozinke koju koristite.

Unesite svaku prijavu i lozinku u LastPass: Bilo da ste potpuno novi za LastPass ili ga niste koristili za svaku prijavu, sada je vrijeme da provjerite jeste li unijeli svaki prijavu u LastPass sustav, Uskoro ćemo odjeknuti savjete koje smo dali u našem vodiču za oporavak e-pošte za češljanje e-pošte u pristigloj pošti za podsjetnike:

Potražite e-poštu za podsjetnike za registraciju. Nećete biti teško zapamtiti svoje često koriątene prijave kao što su Facebook i vaša banka, ali postoji vjerojatnost da će na desetke usluga izdvajanja možda čak ni zapamtiti da koristite svoju e-poštu za prijavu. Upotrebljavajte ključne riječi poput "welcome to", "reset", "recovery", "verify", "password", "username", "login", "account" i njihove kombinacije poput "reset password" ili "verify account",Opet, znamo da je to gnjavaža, ali nakon što to učinite s upraviteljem zaporki na svojoj strani, imate glavni popis svih računa i nikad više nećete morati ponovo potraţiti ovu ključnu riječ.

Omogući provjeru autentičnosti s dva faktora na vašem LastPass računu: Ovaj korak nije strogo neophodan za obavljanje sigurnosne revizije, ali dok vam je vaša pozornost, učinit ćemo sve što možemo kako bismo vas potaknuli,vaš LastPass račun, kako biste uključili provjeru autentičnosti s dva faktora kako biste dodatno osigurali svoj LastPass trezor.(Ne samo da povećava sigurnost vašeg računa, također ćete dobiti poticaj u rezultatima vaše sigurnosne revizije!)

Uzimanje LastPass Security Challenge

Sada kada ste uvezli sve svoje lozinke, vrijeme je da se okrenete za sramotuod toga da ne nalazimo u 1% najsnažnije ninoze lozinke. Posjetite stranicu LastPass Security Challenge i pritisnite "Pokreni izazov" pri dnu stranice. Od vas će biti zatraženo da unesete glavnu lozinku, kao što se vidi gore na snimci zaslona, ​​a zatim LastPass će ponuditi provjeru je li bilo koja adresa e-pošte sadržana u vašem trezoru bila dio svih kršenja koje je pratila. Nema razloga da ne iskoristite ovo:

Ako imate sreće, vraća negativan. Ako ste sretni, dobit ćete ovakvu pop-up pitanja ako želite više informacija o kršenju vaše e-pošte:

LastPass će izdati jedno sigurnosno upozorenje za svaku instancu. Ako ste već dugo imali adresu e-pošte, budite spremni biti iznenađeni koliko je lozinke kršenje. U nastavku je naveden primjer zaporke o kršenju lozinke:

Nakon skočnih prozora, ubacit ćete se na glavnu ploču LastPass Security Challengea. Sjetite se ranije u vodiču kada sam razgovarao o tome kako trenutačno radim u dobroj higijeni lozinke, ali da nikad nisam stekao pravilno ažuriranje puno starijih web stranica i usluga? To stvarno pokazuje u rezultat sam dobio. Ouch:

To je moj rezultat s godinama u vrijednosti od slučajnih lozinke miješani rezervirajte. Nemojte biti previše šokirani ako je vaš rezultat je još niža ako ste koristili isti šaka slabe lozinke iznova i iznova. Sada kada imamo svoj rezultat( koliko god to bilo strašno ili sramno), vrijeme je da iskoristimo podatke. Možete koristiti brze veze uz postotak bodova ili jednostavno početi pomicati. Prvo zaustavite, provjerimo detaljne rezultate. Razmislite o ovom pregledu stanja vaših zaporki od 10.000 stopa:

Dok biste trebali obratiti pažnju na sve statistike ovdje, one stvarno važne su "Prosječna snaga lozinke", koliko je slaba ili jaka vaša prosječna lozinka i, još važnije,"Broj dupliciranih zaporki" i "Broj web stranica koje imaju duplicirane zaporke".U svrhu moje revizije, bilo je 8 prepreka na 43 mjesta. Jasno sam bio prilično lijen ponovno korištenje iste low-grade lozinku na više od nekoliko mjesta.

Sljedeća stanica, odjeljak Analizirane web stranice. Ovdje ćete naći vrlo konkretno razbijanje svih vaših prijava i lozinki koje su organizirane dupliciranim korištenjem lozinke( ako ste imali duplikate), jedinstvenih lozinki i, konačno, prijava bez lozinke pohranjene u LastPassu. Dok gledate preko popisa, divite se razlikama između jakosti lozinke. U mom slučaju, jedan od mojih financijskih prijava dobio je 45% lozinke, dok je moje kćeri Minecraft prijavu dobila savršenu 100% rezultat. Opet, ouch.

Učvršćivanje vašeg terorističkog sigurnosnog izazova

Postoje dvije vrlo korisne veze koje su ugrađene u popis revizije. Ako kliknete "SHOW", pokazat će vam lozinku za tu web lokaciju i ako kliknete "Posjeti web stranicu", možete se prebaciti na web stranicu tako da možete promijeniti zaporku. Ne bi li se trebalo mijenjati svaka duplikata lozinka, ali bilo koja zaporka koja je bila priključena na kršeni račun( kao što je Adobe.com ili LinkedIn) treba trajno oduzeti.

Ovisno o tome koliko je lozinki koju imate( ili koliko ste marljivo za dobru lozinku), ovaj korak procesa može potrajati deset minuta ili cijelo poslijepodne. Iako će se postupak promjene lozinke razlikovati ovisno o izgledu web lokacije koju ažurira, evo nekoliko općih smjernica koje slijedite( kao primjer koristimo ažuriranje lozinke na Zapamti Mlijeko): posjetite stranicu za promjenu zaporke, Uobičajeno ćete morati unijeti trenutnu zaporku i generirati novu lozinku.

Učinite to tako da kliknete na logotip sa zaključavanjem kružne strelice. LastPass se umetne u novi utor lozinke( kao što je vidljivo na slici iznad).Potražite novu zaporku i podesite prilagodbe ako želite( kao što je produljenje ili dodavanje posebnih znakova):

Kliknite "Upotrijebi lozinku" i potvrdite da želite ažurirati unos koji uređujete:

Potvrdite promjenus web stranicom previše. Ponovite postupak za svaku dupliciranu i slabu lozinku u trezoru LastPass.

Konačno, posljednja stvar koju trebate provjeriti je vaša LastPass Master Password. Učinite to klikom na vezu pri dnu zaslona Izazov, s oznakom "Ispitajte jačinu moje Last Pass Master Password".Ako ne vidite ovo:

Morate resetirati LastPass Master Password i povećati snagu dok ne dobijete lijepu, pozitivnu potvrdu od 100%.

Pretraživanje rezultata i daljnje poboljšanje vašeg LastPass Security

Nakon što ste potegnuli popis dvostrukih zaporki, izbrisani stari unosi i na drugi način postavili i osigurali svoj popis prijava / zaporku, vrijeme je da ponovno pokrenete reviziju. Sada, za naglasak, rezultat koji vidite u nastavku je podignut isključivo poboljšanjem sigurnosti lozinke.(Ako omogućite dodatne sigurnosne značajke, kao što je autentifikacija više faktora, dobit ćete povećanje od oko 10%).

Nije loše! Nakon uklanjanja svih dvostrukih zaporki i dovođenja svih postojećih zaporki do 90% snage ili bolje, to je stvarno poboljšalo naš rezultat. Ako ste znatiželjan zašto se nije skočio na 100%, postoji nekoliko čimbenika u igri, od kojih je najistaknutiji da neke lozinke nikad ne mogu biti dovedene do smrti prema LastPass standardima zbog glupih pravila kojeadministratori web mjesta. Na primjer, lozinka za prijavu moje lokalne knjižnice je četveroznamenkasti PIN( što zauzima 4% na LastPass sigurnosnoj skali).Većina ljudi će imati neku vrstu takvog outliera kao na popisu i to će povući svoj rezultat dolje.

U takvim slučajevima važno je da se ne obeshrabrite i upotrijebite detaljan kvar kao mjerni podatak:

U procesu ažuriranja lozinke obrezao sam 17 kopiranih / istekla mjesta, stvorio jedinstvenu lozinku za svaku web stranicu i uslugu i doveo brojmjesta s dupliciranim zaporkama od 43 do 0 u tom procesu.

Trebalo je oko sat vremena ozbiljno usredotočenog vremena( od čega 12,4% potrošeno je psovanje web dizajnera koji su stavili veze za ažuriranje lozinke na nejasna mjesta), a sve što je trebalo da me motivirate bila je kršenje lozinke katastrofalnih razmjera! Zapamtite ovdje, ogroman uspjeh.

Sada kada ste revidirali svoje lozinke, a vi ste pumpirani da imate stabilnu jedinstvenu lozinku, iskoristimo prednost tog napretka naprijed. Udarite naš vodič za stvaranje LastPass čak i sigurnijim povećavajući iteracije zaporke, ograničavajući prijave po zemlji i još mnogo toga. Između vođenja revizije koji smo ovdje naveli, slijedeći naš LastPass sigurnosni vodič i uključivanje algoritama s dva faktora, imat ćete sustav za upravljanje lozinkom koji ne možete podnijeti bulletproof možete se ponositi.