13Sep
Se stai praticando la gestione e l'igiene della password lassista, è solo una questione di tempo fino a quando una delle violazioni di sicurezza su larga scala sempre più numerose ti brucia. Smettila di essere grato di aver schivato le pallottole della sicurezza precedente e di armarti contro quelle future. Continua a leggere mentre ti mostriamo come controllare le tue password e proteggerti.
Qual è il grande affare e perché questo è importante?
Nell'ottobre di quest'anno, Adobe ha rivelato che c'è stata una grave violazione della sicurezza che ha colpito 3 milioni di utenti dei software Adobe.com e Adobe. Quindi hanno rivisto il numero a 38 milioni. Poi, ancora più scioccante, quando il database dell'hack è trapelato, i ricercatori di sicurezza che hanno analizzato il database sono tornati e hanno detto che era più simile a 150 milioni di account utente compromessi da .Questo grado di esposizione dell'utente mette la violazione Adobe in corso come una delle peggiori violazioni della sicurezza nella storia.
Adobe non è da solo su questo fronte, tuttavia;abbiamo semplicemente aperto con la loro violazione perché è dolorosamente recente. Solo negli ultimi anni ci sono state dozzine di massicce violazioni della sicurezza in cui le informazioni dell'utente, incluse le password, sono state compromesse.
LinkedIn è stato colpito nel 2012( 6.46 milioni di record utente compromessi).Nello stesso anno, eHarmony è stata colpita( 1,5 milioni di record di utenti) come Last.fm( 6,5 milioni di record utente) e Yahoo!(450.000 record utente).La Sony Playstation Network è stata colpita nel 2011( 101 milioni di record utente compromessi).Gawker Media( la società madre di siti come Gizmodo e Lifehacker) è stata colpita nel 2010( 1,3 milioni di record utente compromessi).E quelli sono solo esempi di grandi violazioni che hanno fatto notizia!
The Privacy Rights Clearinghouse gestisce un database di violazioni della sicurezza dal 2005 ad oggi. Il loro database include una vasta gamma di tipi di violazione: carte di credito compromesse, numeri di sicurezza sociale rubati, password rubate e cartelle cliniche. Il database, alla data di pubblicazione di questo articolo, è composto da 4.033 violato contenente 617.937.023 record utente .Non tutte quelle centinaia di milioni di violazioni coinvolgevano le password degli utenti, ma milioni e milioni di persone lo facevano.
Quindi perché importa? A parte le ovvie e immediate implicazioni sulla sicurezza di una violazione, le violazioni creano un danno collaterale. Gli hacker possono immediatamente iniziare a testare gli accessi e le password che raccolgono su altri siti web.La maggior parte delle persone è pigra con le loro password, e c'è una buona probabilità che se qualcuno usasse [email protected] con la password bob1979, la stessa coppia di login / password funzionerà su altri siti web. Se questi altri siti web hanno un profilo più elevato( come i siti bancari o se la password che ha utilizzato in Adobe sblocca effettivamente la sua casella di posta elettronica), allora c'è un problema. Una volta che qualcuno ha accesso alla tua casella di posta elettronica, può iniziare a reimpostare la password su altri servizi e ad accedervi.
L'unico modo per impedire questo tipo di reazione a catena di causare ancora più problemi di sicurezza all'interno della rete di siti Web e servizi utilizzati è seguire due regole cardine di buona igiene della password:
- La tua password email dovrebbe essere lunga, forte e completamenteunico tra tutti i tuoi accessi.
- Ogni accesso ottiene una password lunga, forte e unica. Nessun riutilizzo della password. Ever.
Queste due regole sono il punto di partenza di ogni guida alla sicurezza che abbiamo mai condiviso con te, inclusa la nostra guida di emergenza ha-hit-the-fan Come recuperare dopo che la tua password di posta elettronica è compromessa.
A questo punto, probabilmente ti stai un po 'dimenando perché, francamente, quasi nessuno ha procedure e sicurezza della password perfettamente a tenuta d'aria. Non sei solo se manca l'igiene della password. In effetti, è il momento di una confessione.
Ho scritto dozzine di articoli sulla sicurezza, post su violazioni della sicurezza e altri post relativi alle password nel corso degli anni in cui sono stato su How-To Geek. Nonostante sia proprio il tipo di persona informata che dovrebbe conoscere meglio, nonostante l'utilizzo di un gestore di password e la generazione di password sicure per ogni nuovo sito Web e servizio, quando ho eseguito la mia e-mail attraverso l'elenco degli accessi Adobe compromessi e confrontato con la password compromessa, Iho ancora scoperto che mi ero bruciato.
Ho realizzato quell'account Adobe molto tempo fa quando ero molto più rilassato con la mia igiene della password, e la password che usavo era comune a dozzine di di siti Web e servizi con cui avevo firmato prima di diventare seriamente seriabuone password
Tutto ciò avrebbe potuto essere prevenuto se avessi esercitato pienamente ciò che predicavo e non solo creato password uniche e forti, ma anche ha verificato le mie vecchie password per garantire che questa situazione non si fosse mai verificata. Che tu non abbia mai nemmeno tentato di essere coerente e sicuro con le tue pratiche di password o che tu debba semplicemente controllarle per metterti a tuo agio, un controllo completo delle password è il percorso verso la sicurezza delle password e la tranquillità.Continua a leggere mentre ti mostriamo come.
Preparare la tua sfida di sicurezza LastPass
Potresti controllare manualmente le tue password, ma sarebbe estremamente noioso e non otterrai nessuno dei vantaggi dell'uso di un buon gestore di password universale. Invece di controllare manualmente tutto, faremo il percorso facile e in gran parte automatizzato: controlleremo le nostre password prendendo la sfida di sicurezza LastPass.
Questa guida non coprirà l'installazione di LastPass, quindi se non hai già un sistema LastPass attivo e funzionante, ti consigliamo vivamente di crearne uno. Per iniziare, consultare la Guida HTG per iniziare con LastPass. Sebbene LastPass sia aggiornato da quando abbiamo scritto la guida( l'interfaccia è molto più carina e ora è più snella), puoi comunque seguire i passaggi con facilità.Se stai configurando LastPass per la prima volta, assicurati di importare tutte le password memorizzate dai tuoi browser, poiché il nostro obiettivo è quello di controllare ogni singola password che stai utilizzando.
Inserisci tutti i login e le password in LastPass: Se sei nuovo di zecca su LastPass o non lo hai utilizzato per tutti i login, ora è il momento di assicurarti di aver inserito ogni accesso nel sistema LastPass. Faremo eco al consiglio che abbiamo fornito nella nostra guida per il recupero della posta elettronica per il controllo della posta in arrivo per i promemoria:
Cerca nella tua e-mail i promemoria per la registrazione. Non sarà difficile ricordare i tuoi accessi usati frequentemente come Facebook e la tua banca ma probabilmente ci sono decine di servizi che potrebbero non ricordare nemmeno che usi la tua email per accedere. Utilizza le ricerche per parole chiave come "benvenuto", "ripristina", "ripristino", "verifica", "password", "nome utente", "accesso", "account" e combinazioni di "password di ripristino" o "verifica account" simili. Ancora una volta, sappiamo che questo è un problema, ma una volta che hai fatto questo con un gestore di password al tuo fianco, hai un elenco principale di tutto il tuo account e non dovrai mai più fare questa ricerca di parole chiave.
Abilita l'autenticazione a due fattori sul tuo account LastPass: Questo passaggio non è strettamente necessario per eseguire il controllo di sicurezza, ma mentre abbiamo la tua attenzione faremo tutto il possibile per incoraggiarti, mentre stai facendo il giroil tuo account LastPass, per attivare l'autenticazione a due fattori per proteggere ulteriormente il tuo LastPass Vault.(Non solo aumenta la sicurezza del tuo account, anche tu otterrai un incremento nel tuo punteggio di sicurezza!)
Prendendo la sfida di sicurezza LastPass
Ora che hai importato tutte le tue password, è il momento di prepararti per la vergognadi non essere nell'1% dei ninja per la sicurezza delle password. Visita la pagina Sfida di sicurezza LastPass e premi "Inizia la sfida" nella parte inferiore della pagina. Ti verrà richiesto di inserire la tua password principale, come mostrato nello screenshot qui sopra, e LastPass ti offrirà di controllare se uno qualsiasi degli indirizzi e-mail contenuti nel tuo vault fosse parte di eventuali violazioni che ha tracciato. Non c'è una buona ragione per non approfittarne:
Se sei fortunato, restituisce un risultato negativo. Se sei fortunato, ottieni un pop-up come questo che ti chiede se desideri maggiori informazioni sulle violazioni della tua email:
LastPass emetterà un singolo avviso di sicurezza per ogni istanza. Se hai avuto il tuo indirizzo e-mail per un lungo periodo, sii pronto a rimanere scioccato dal numero di violazioni della password in cui è stato ingarbugliato. Ecco un esempio di avviso di violazione della password:
Dopo i pop-up, verrai scaricato nel pannello principale di LastPass Security Challenge. Ricordate in precedenza nella guida quando ho parlato di come attualmente pratico l'igiene delle password ma non sono mai riuscito ad aggiornare correttamente molti siti Web e servizi precedenti? Mostra davvero nel punteggio che ho ricevuto. Ouch:
Questo è il mio punteggio con anni di password casuali mischiati. Non essere troppo scioccato se il tuo punteggio è ancora più basso se hai usato la stessa manciata di password deboli più e più volte. Ora che abbiamo il nostro punteggio( per quanto fantastico o vergognoso possa essere), è tempo di scavare nei dati.È possibile utilizzare i collegamenti rapidi accanto alla percentuale del punteggio o semplicemente iniziare a scorrere. Prima tappa, vediamo i risultati dettagliati. Considera questa una panoramica di 10.000 piedi sullo stato delle tue password:
Mentre dovresti prestare attenzione a tutte le statistiche qui, quelle veramente importanti sono "Forza media delle password", quanto è debole o forte la tua password media e, cosa ancora più importante,"Numero di password duplicate" e "Numero di siti con password duplicate".Per la causa della mia verifica, c'erano 8 duplicati su 43 siti. Chiaramente ero stato piuttosto pigro riutilizzando la stessa password di bassa qualità su più di pochi siti.
Prossima fermata, la sezione Siti analizzati. Qui troverai una suddivisione molto concreta di tutti i tuoi accessi e password organizzati mediante l'uso di password duplicate( se hai duplicati), password univoche e infine accessi senza password memorizzati in LastPass. Mentre guardi oltre la lista, meraviglia il contrasto tra i punti di forza delle password. Nel mio caso, uno dei miei accessi finanziari è stato dato un Punteggio password del 45% mentre il login Minecraft di mia figlia ha ottenuto un punteggio perfetto del 100%.Di nuovo, ahi.
Risolve il tuo terribile problema di sicurezza Punteggio
Ci sono due link molto utili incorporati nelle liste di controllo. Se si fa clic su "SHOW", verrà visualizzata la password per quel sito e se si fa clic su "Visita sito" è possibile passare direttamente al sito Web in modo da poter modificare la password. Non solo ogni password duplicata deve essere cambiata, ma qualsiasi password che è stata collegata a un account che è stato violato( come Adobe.com o LinkedIn) deve essere ritirato in modo permanente.
A seconda di quante o poche password hai( e di quanto sei stato diligente sulle buone pratiche relative alle password), questo passaggio potrebbe richiedere dieci minuti o tutto il pomeriggio. Sebbene il processo di modifica delle password vari in base al layout del sito che stai aggiornando, ecco alcune linee guida generali da seguire( stiamo utilizzando il nostro aggiornamento della password su Remember the Milk come esempio): Visita la pagina di modifica della password. In genere è necessario inserire la password corrente e quindi generare una nuova password.
Fare clic sul logo lock-with-circular-arrow. LastPass si inserisce nel nuovo slot della password( come mostrato nella schermata sopra).Controlla la nuova password e apporta le modifiche se lo desideri( ad esempio allungandolo o aggiungendo caratteri speciali):
Fai clic su "Usa password" e quindi conferma di voler aggiornare la voce che stai modificando:
Assicurati di confermare la modificaanche con il sito web. Ripeti il processo per ogni password duplicata e debole nel tuo deposito LastPass.
Infine, l'ultima cosa che devi controllare è la tua password master LastPass. Fare clic sul collegamento nella parte inferiore della schermata della sfida con l'etichetta "Verifica la forza della mia password master LastPass".Se non vedi questo:
Devi resettare la tua password master LastPass e aumentare la forza fino a quando non ricevi una conferma positiva, positiva, al 100%.
Esame dei risultati e ulteriore miglioramento della sicurezza LastPass
Dopo aver eseguito il trascinamento nell'elenco delle password duplicate, delle voci obsolete cancellate e in altro modo riordinato e protetto dall'elenco di accesso / password, è necessario eseguire nuovamente la verifica. Ora, per dare enfasi, il punteggio che vedi qui sotto è stato portato solo migliorando la sicurezza della password.(Se abiliti funzionalità di sicurezza aggiuntive, come l'autenticazione a più fattori, riceverai un incremento di circa il 10%).
Non male! Dopo aver eliminato ogni password duplicata e portato tutte le password esistenti fino al 90% di forza o meglio, ha davvero migliorato il nostro punteggio. Se sei curioso di sapere perché non è salito al 100%, ci sono alcuni fattori in gioco, il più importante dei quali è che alcune password non possono mai essere eliminate dagli standard LastPass a causa di politiche sciocche in atto da parte degli utenti.amministratori del sito. Ad esempio, la password di login della mia biblioteca locale è un pin di quattro cifre( che segna un 4% sulla scala di sicurezza LastPass).La maggior parte delle persone avrà una sorta di outlier del genere nella loro lista e questo trascinerà il loro punteggio verso il basso.
In questi casi, è importante non scoraggiarsi e utilizzare la suddivisione dettagliata come metrica:
Nel processo di aggiornamento della password ho sfoltito 17 siti duplicati / scaduti, creato una password univoca per ogni sito e servizio e ho portato il numerodi siti con password duplicate da 43 a 0 nel processo.
Ci sono voluti solo un'ora di tempo seriamente concentrato( il 12,4% dei quali è stato speso maledire i progettisti di siti web che hanno inserito link di aggiornamento password in posti oscuri), e tutto ciò che serve per motivarmi è una violazione della password di proporzioni catastrofiche! Sto facendo un appunto qui, un enorme successo.
Ora che hai verificato le tue password e sei entusiasta di avere una stalla di password univoche, approfittiamo di questo momento positivo. Scopri la nostra guida per rendere LastPass anche più sicuro aumentando le iterazioni della password, limitando gli accessi per Paese e altro ancora. Tra l'esecuzione del controllo che abbiamo delineato qui, seguendo la nostra guida alla sicurezza di LastPass e attivando algoritmi a due fattori, avrai un sistema di gestione delle password a prova di proiettile di cui puoi essere orgoglioso.