13Sep
Jei naudojate slaptą slaptažodžių valdymą ir higieną, tai tik laiko klausimas, kol vienas iš vis daugybės didelio masto saugumo pažeidimų jus degs. Sustokite būti dėkingi, kad jūs išvengėte praeities apsaugos smūgių kulkų ir ginklų prieš ateities. Skaitykite taip, kaip parodysime, kaip patikrinti savo slaptažodžius ir apsaugoti save.
Kas yra didysis sandoris ir kodėl ši tema?
Šių metų spalį "Adobe" atskleidė, kad buvo padarytas didelis saugumo pažeidimas, kuris paveikė 3 mln. "Adobe.com" ir "Adobe" programinės įrangos naudotojų.Tada peržiūrėjo 38 milijonus. Tada, dar labiau šokiruojantis, kai iš duomenų nutekėjimo atsirado duomenų bazė, saugumo tyrėjai, analizavę duomenų bazę, grįžo ir teigė, kad tai labiau panašus į 150 milijonų pažeidžiamų vartotojų sąskaitų.Toks vartotojo ekspozicijos laipsnis, "Adobe", yra laikomas vienu blogiausių saugumo pažeidimų istorijoje.
"Adobe" vargu ar yra vienintelis šiame fone;mes tiesiog atidarėme jų pažeidimą, nes tai skausmingai neseniai. Per pastaruosius keletą metų įvyko dešimtys didžiulių saugumo pažeidimų, dėl kurių buvo pažeista vartotojo informacija, įskaitant slaptažodžius."
LinkedIn" buvo nukreiptas 2012 m.( Kompromituotas 6,46 milijono vartotojų įrašų).Tais pačiais metais "eHarmony" buvo nukreipta( 1,5 milijono vartotojų įrašų), kaip ir "Last.fm"( 6,5 milijono vartotojų įrašų) ir "Yahoo!"(450 000 įrašų naudotojui)."Sony Playstation" tinklas buvo paveiktas 2011 m.( 101 milijonas vartotojų įrašų buvo pažeistas)."Gawker Media"( pagrindinė svetainių, kaip "Gizmodo" ir "Lifehacker", kompanija) buvo užfiksuota 2010 m.( 1,3 milijono vartotojų įrašai buvo pažeisti).Tai yra tik didelių pažeidimų, kurie padarė naujienas, pavyzdžiai!
Privatumo teisių informacijos centras saugo saugumo pažeidimų duomenų bazę nuo 2005 m. Iki dabar. Jų duomenų bazėje yra daugybė pažeidimų tipų: pažeistos kredito kortelės, pavogti socialinio draudimo numeriai, pavogti slaptažodžiai ir medicininiai įrašai. Duomenų bazę nuo šio straipsnio paskelbimo sudaro 4,033 pažeidimai , kuriuose yra 617 937 023 vartotojo įrašai .Ne kiekvienas iš tų šimtų milijonų pažeidimų įtraukė naudotojo slaptažodžius, bet milijonai jų padarė milijonus.
Taigi, kodėl tai svarbu? Nepaisant akivaizdžių ir neatidėliotinų pažeidimų saugumo padarinių, pažeidimai sukuria papildomą žalą.Įsilaužėliai gali nedelsdami pradėti išbandyti prisijungimus ir slaptažodžius, kuriuos jie gauna kitose interneto svetainėse.Daugelis žmonių yra tingūs savo slaptažodžiais, ir yra didelė tikimybė, kad jei kas nors naudos [email protected] slaptažodį bob1979, ta pati prisijungimo / slaptažodžio pora veiks kitose interneto svetainėse. Jei šios kitos svetainės yra aukštesnio profilio( pvz., Banko svetainėse arba jei jo naudojamas slaptažodis iš tikrųjų atrakina jo el. Pašto dėžutę), tai yra problema. Kai kas nors turi prieigą prie savo el. Pašto dėžutės, jis gali pradėti iš naujo nustatyti slaptažodį kitoms paslaugoms ir gauti jiems prieigą.
Vienintelis būdas sustabdyti tokio tipo grandininę reakciją sukelia dar daugiau saugumo problemų naudojamų interneto svetainių ir paslaugų tinkle - laikytis dviejų pagrindinių taisyklių, susijusių su tinkama slaptažodžio higiena:
- Jūsų el. Pašto slaptažodis turi būti ilgas, stiprus ir visiškaiunikalus tarp visų prisijungimų.
- Kiekvienas prisijungimas gauna ilgą, tvirtą ir unikalų slaptažodį.Negalima pakartotinai naudoti slaptažodžio. kada nors.
Šios dvi taisyklės yra iš visų saugumo vadovų, kuriuos kada nors pasidalinome su jumis, įskaitant avarinį "it-has-hit-the-fan" vadovą, kaip atkurti po to, kai jūsų el. Pašto slaptažodis yra pažeistas.
Šiuo metu jūs tikriausiai šiek tiek šmeižiuojate šiek tiek, nes atvirai kalbant, beveik niekas neturi visiškai hermetiškų slaptažodžių praktikos ir saugumo. Jūs nesate vieni, jei trūksta slaptažodžio higienos. Tiesą sakant, atėjo laikas prisipažinti.
Aš sukūriau keliasdešimt saugumo straipsnių, įrašų apie saugumo pažeidimus ir kitus su slaptažodžiais susijusius įrašus per metus, kai buvau "How-To Geek".Nepaisant to, kad yra būtent tokio pobūdžio informuotas asmuo, kuris turėtų geriau žinoti, nepaisant slaptažodžių tvarkyklės naudojimo ir saugių slaptažodžių kūrimo kiekvienai naujajai svetainei ir paslaugai, kai aš skleidžiau savo el. Laišką per pažeistų "Adobe" prisijungimų sąrašą ir suderino jį su pažeistu slaptažodžiu, ašvis dar sužinojo, kad aš turiu sudeginti.
Aš padariau šį "Adobe" paskyrą seniai, kai buvau daug slapta mano slaptažodžio higiena, ir mano naudojamas slaptažodis buvo įprastas dešimtimis svetainių ir paslaugų, su kuriomis aš užsiregistravau, prieš tai, kai aš labai rimtai nusprendžiaugeri slaptažodžiai
Visa tai galėjo užkirsti kelią, jeigu aš visiškai praktikuoju tai, ką skelbiau, o ne tik sukūriau unikalius ir patikimus slaptažodžius, bet taip pat patikrino mano senus slaptažodžius, kad niekada nebūtų buvę.Nesvarbu, ar jūs niekada net nenorėjote nuosekliai ir saugiai naudoti savo slaptažodžių, ar tiesiog reikia patikrinti juos, kad galėtumėte patogiai atlikti, kruopštus slaptažodžio tikrinimas - kelias į slaptažodžio saugumą ir ramybę.Perskaitykite, kaip parodysime kaip.
Pasiruošimas jūsų "Lastpass Security Challenge"
Jūs galite rankiniu būdu patikrinti savo slaptažodžius, tačiau tai būtų labai varginanti, ir jūs negalėtumėte pasinaudoti gero universaliojo slaptažodžio tvarkytuvo nauda. Užuot rankiniu būdu patikrinę viską, mes einame lengvą ir dažniausiai automatizuotą maršrutą: mes atliksime "LastPass Security Challenge" patikrinimą savo slaptažodžius.
Šis vadovas neapims "LastPass" nustatymo, taigi, jei dar neturite "LastPass" sistemos ir veikia, mes primygtinai rekomenduojame jį nustatyti. Norėdami pradėti, skaitykite HTG vadovą, kaip pradėti naudoti "LastPass".Nors LastPass atnaujino nuo tada, kai parašė vadovą( sąsaja yra daug gražesnė ir dabar patobulinta), jūs vis dar galite lengvai atlikti veiksmus. Jei nustatote "LastPass" pirmą kartą, būtinai importuokite visus savo saugomus slaptažodžius iš savo naršyklių, nes mes siekiame patikrinti kiekvieną naudojamą slaptažodį.
Įveskite kiekvieną prisijungimo vardą ir slaptažodį į LastPass: Nesvarbu, ar esate visiškai nauja "LastPass" vartotojui, ar jūs vis dar nenaudojote jo kiekvienam prisijungimui, dabar laikas įsitikinti, kad į įvedėte kiekvieną prisijungimą prie "LastPass" sistemos. Mes ketiname atkartoti patarimus, kuriuos mes nurodėme mūsų el. Pašto atkūrimo vadove, norėdami priminti pašto dėžutę priminimams:
Ieškokite savo el. Laiške, kad galėtumėte registruoti priminimus. Nebus sunku prisiminti savo dažnai naudojamus prisijungimus, pvz., "Facebook" ir jūsų banką, tačiau greičiausiai yra dešimčių išlaidų paslaugų, dėl kurių net negalėsite prisiminti, kad naudojate savo el. Laišką, kad prisijungtumėte. Naudokite raktinių žodžių paiešką, pvz., "Sveiki atvykę į", "iš naujo", "atkurti", "patvirtinti", "slaptažodį", "naudotojo vardą", "prisijungti", "paskyrą" ir ten panašių "reset password" arba "verify account".Vėlgi, mes žinome, kad tai vargo, bet kai jūs tai padarėte naudodamas slaptažodžio tvarkyklę, turite pagrindinį visų savo paskyrų sąrašą ir jums niekada nereikės dar kartą ieškoti raktinių žodžių.
Įjunkite dviejų faktorių autentifikavimą savo LastPass sąskaitoje: Šis žingsnis nėra būtinai reikalingas saugumo audito atlikimui, tačiau, kai mes turime jūsų dėmesį, mes ketiname daryti viską, ką galime, kad paskatintume jus, o jūs išminkitesavo LastPass sąskaitą, kad įjungtumėte dviejų veiksnių autentifikavimą, kad toliau apsaugotumėte "LastPass" saugyklą.(Tai ne tik padidins jūsų paskyros saugumą, bet ir padidins saugos audito rezultatus!)
"LastPass" saugumo iššūkio
priėmimas Dabar, kai visus savo slaptažodžius įvedėte, laikas susilaikyti nuo gėdosnėra 1% "hardcore" slaptažodžio saugumo ninjas. Apsilankykite LastPass saugumo iššūkio puslapyje ir paspauskite "Pradėti iššūkį" puslapio apačioje. Būsite paraginti įvesti savo pagrindinį slaptažodį, kaip matyti iš anksčiau pateiktame ekrano kopijos, o tada "LastPass" pasiūlys patikrinti, ar bet kuris jūsų saugykloje esantis el. Pašto adresas yra bet kokių stebimų pažeidimų dalis. Nėra jokios tinkamos priežasties nesinaudoti šia galimybe:
Jei jums sekasi, tai grąžina neigiamą.Jei jums pasisekė, pasirodys toks pop-up langas, kuriame bus klausiama, ar norite gauti daugiau informacijos apie pažeidimus, su kuriais el. Paštas buvo įtrauktas:
LastPass kiekvienam egzemplioriui išduos vieną saugumo įspėjimą.Jei ilgą laiką turėjote el. Pašto adresą, būkite pasiruošę būti šokiruoti, kiek slaptažodžio pažeidžia, kad jis buvo sugadintas. Pateikiamas slaptažodžio pažeidimo įspėjimo pavyzdys:
Po iššokančių langų būsite nukreipti į "LastPass Security Challenge" pagrindinį skydą.Kalbant apie tai, kaip aš šiuo metu praktikuoju gerą higieną slaptažodžiu, pamiršau anksčiau, bet niekada nepasigailėjau, kad galėtumėte tinkamai atnaujinti daugybę senų tinklalapių ir paslaugų?Tai tikrai rodo rezultatu, kurį gavau. Ouch:
Tai mano rezultatas per metus verta atsitiktinių slaptažodžių sumaišyti. Negalima būti pernelyg šokiruoti, jei jūsų rezultatas bus dar mažesnis, jei vėl ir vėl naudosite tą patį silpną slaptažodį.Dabar, kai mes turime savo rezultatą( tačiau tai gali būti ir nuostabus ar gėdingas), atėjo laikas kasti duomenis. Galite naudoti greituosius saitus šalia jūsų rezultatų procento arba tiesiog pradėti slinkti. Pirmoji stotelė, pažvelkime į išsamius rezultatus. Apsvarstykite šią 10.000 pėdų apžvalga apie savo slaptažodžius:
Nors jūs turėtumėte atkreipti dėmesį į visą statistiką čia, tikrai svarbus yra "Vidutinė slaptažodžio stiprumas", kaip silpnas ar stiprus jūsų vidutinis slaptažodis ir dar svarbiau"Pasikartojančių slaptažodžių skaičius" ir "Vietų, turinčių pasikartojančius slaptažodžius, skaičius".Dėl mano audito aštuonias 43 vietas sudarė 8 užuominos. Akivaizdu, kad buvau gana tingus, naudodamas tą patį žemos kokybės slaptažodį daugeliui svetainių.
Sekantis stotelė, skyrius "Analizuotos svetainės".Čia rasite labai konkretų visų prisijungimų ir slaptažodžių, surengtų pasikartojančiu slaptažodžiu naudojimu( jei buvo pasikartojančių failų), unikalių slaptažodžių ir galų gale prisijungs be slaptažodžio, saugomo LastPass. Nors jūs ieškote sąrašo, stebėkite kontrastą tarp slaptažodžių stiprumų.Mano atveju vienas iš mano finansinių prisijungimų buvo suteiktas 45% slaptažodžio balas, o mano dukters Minecraft prisijungimas buvo suteiktas puikus 100% rezultatas. Vėlgi, ouch.
"Jūsų siaubingos saugumo iššūkių balo nustatymas"
. Yra du labai naudingi saitai, sukurti tiesiai į audito įrašus. Jei spustelėsite "RODYTI", jis parodys jums šios svetainės slaptažodį ir, jei spustelėsite "Apsilankyti svetainėje", galite pereiti tiesiai į svetainę, kad galėtumėte pakeisti slaptažodį.Negalima keisti bet kurio pasikartojančio slaptažodžio, bet bet koks slaptažodis, pridedamas prie pažeistos paskyros( pvz., "Adobe.com" ar "LinkedIn"), turėtų būti visam laikui išėjęs į pensiją.
Priklausomai nuo to, kiek jūsų ar kelių slaptažodžių turite( ir kaip kruopščiai dirbote su gerais slaptažodžių metodais), šis proceso žingsnis gali užtrukti iki dešimties minučių ar visą popietę.Nors slaptažodžių keitimo procesas skirsis priklausomai nuo jūsų atnaujinamos svetainės išdėstymo, čia pateikiamos kelios pagrindinės gairės, kurių reikia laikytis( naudojame mūsų slaptažodžio atnaujinimą "Pameskite kaip pavyzdį"): apsilankykite slaptažodžio keitimo puslapyje. Paprastai jums reikės įvesti dabartinį slaptažodį ir tada sugeneruoti naują slaptažodį.
Padarykite tai spustelėję užrakto su apskrito rodyklės logotipu. LastPass įterpiamas į naują slaptažodžių lizdą( kaip parodyta paveikslėlyje aukščiau).Peržiūrėkite savo naują slaptažodį ir atlikite koregavimus, jei norite( pvz., Pratęsti arba pridėti specialiuosius simbolius):
Spustelėkite "Naudoti slaptažodį" ir patvirtinti, kad norite atnaujinti įrašą, kurį redaguojate:
Būtinai patvirtinkite pakeitimąkartu su svetaine. Pakartokite procesą kiekvienam dublikatui ir silpnam "LastPass" saugyklos slaptažodžiui.
Galiausiai paskutinis dalykas, kurį reikia atlikti, yra jūsų LastPass pagrindinis slaptažodis. Tai atlikite spustelėję ekrano "Iššūkiai" apačioje esančią nuorodą "Išbandyti mano" LastPass "pagrindinio slaptažodžio stiprumą.Jei nematote:
Turite iš naujo nustatyti savo "LastPass" pagrindinį slaptažodį ir padidinti jo stiprumą, kol gausite malonų, teigiamą, 100% stiprumo patvirtinimą.
Rezultatų tyrimas ir tolesnio "LastPass Security" tobulinimo
. Kai užpildėte slaptažodžių pasikartojimų sąrašą, ištrinę senus įrašus ir kitaip nustatėte ir apsaugote savo prisijungimo / slaptažodžių sąrašą, laikas vėl atlikti auditą.Dabar pabrėžtina, kad rezultatas, kurį matote žemiau, buvo iškeltas tik pagerinus slaptažodžių saugumą.(Jei įjungsite papildomas saugumo funkcijas, pvz., Daugialypį autentifikavimą, gausite maždaug 10% padidėjimą).
Neblogai! Pašalinus kiekvieną pasikartojančio slaptažodžio ir visus galiojančius slaptažodžius iki 90% ar daugiau, jie tikrai pagerino mūsų rezultatą.Jei jus domina, kodėl ji nepasiekė 100 proc., Yra keletas veiksnių, iš kurių svarbiausias dalykas yra tai, kad kai kuriuos slaptažodžius niekada negalima pakelti pagal LastPass standartus, nessvetainių administratoriai. Pavyzdžiui, mano vietinės bibliotekos prisijungimo slaptažodis yra keturių skaitmenų PIN kodas( kuris užima 4% "LastPass" saugos skalėje).Dauguma žmonių turės tam tikrų išstūmimų, panašių į sąrašą savo sąraše, ir tai sulauks jų rezultatų.
Tokiais atvejais svarbu nesijaudinti ir naudoti savo išsamų suskirstymą kaip metriką:
. Atsižvelgiant į proceso atnaujinimo slaptažodį, aš suskaldome 17 pasikartojančių / pasibaigusių svetainių, sukūrėu unikalų slaptažodį kiekvienai svetainei ir paslaugai ir pateikė numerįsvetainių su dviem egzemplioriais slaptažodžių nuo 43 iki 0 procese.
Tai užtruko tik apie valandą, kai buvo rimtai sutelktas laikas( 12,4% iš jų buvo praleistos prakeikdamos interneto svetainių kūrėjus, kurie įdiegė slaptažodžių atnaujinimo nuorodas neaiškiose vietose), ir viskas, ko reikia man motyvuoti, buvo katastrofiškų proporcijų slaptažodžio pažeidimas!Čia rašau pastabą, didžiulę sėkmę.
Dabar, kai atlikote savo slaptažodžių patikrinimą ir esate įsipainioję apie unikalių slaptažodžių stabilumą, pasinaudokime tokiu priekiniu momentu. Pasiekite mūsų vadovą, kaip padaryti LastPass net saugesnį, didindami slaptažodžių pasikartojimą, apribodami prisijungimus pagal šalis ir dar daugiau. Tarp atlikto audito, kurį čia apibūdinome, vadovaudamiesi "LastPass" saugumo vadovu ir įjungę dviejų faktorių algoritmus, turėsite "bulletproof" slaptažodžių valdymo sistemą, į kurią galite didžiuotis.