13Sep
Ja jūs izmantojat vienkāršu paroļu pārvaldību un higiēnu, tas ir tikai laika jautājums, kamēr viens no aizvien vairāk liela mēroga drošības pārkāpumiem jūs sadedzina. Pārtraucieties par pateicību, ka jūs aizkavējāt pagātnes drošības ielaušanās lodes un bruņas sevi pret nākamajiem. Lasiet tālāk, jo mēs parādīsim, kā pārbaudīt jūsu paroles un aizsargāt sevi.
Kāds ir lielais darījums un kāpēc šī problēma?
Šā gada oktobrī Adobe atklāja, ka ir bijuši ievērojami drošības pārkāpumi, kas ietekmēja 3 miljonus Adobe.com un Adobe programmatūras lietotāju. Tad viņi pārskatīja šo numuru līdz 38 miljoniem. Tad, vēl šokējošāk, kad no datu nesējā tika izlauzta datubāze, drošības pētnieki, kas analizēja datu bāzi, atgriezās un teica, ka tas vairāk ir līdzīgs 150 miljoniem apdraudēto lietotāju kontu.Šī lietotāju iedarbības pakāpe liek Adobe pārkāpumu darboties kā vienu no vissliktākajiem drošības pārkāpumiem vēsturē.
Adobe tomēr nav vienīgais šajā priekšā;mēs vienkārši atklājām viņu pārrāvumu, jo tas ir sāpīgi nesen. Vienu pēdējo gadu laikā ir bijuši desmitiem lielu drošības pārkāpumu, kurā ir apdraudēta lietotāja informācija, tostarp paroles.
LinkedIn tika uzlauzts 2012. gadā( kompromitēts 6,46 miljoni lietotāju ierakstu).Tajā pašā gadā "eHarmony" tika uzlauzts( 1,5 miljoni lietotāju ierakstu), kā arī Last.fm( 6,5 miljoni lietotāju ierakstu) un Yahoo!(450 000 lietotāju ieraksti).2011. gadā tika uzlauzts Sony Playstation tīkls( 101 miljons lietotāju ierakstu tika apdraudēti).Gawker Media( vietņu mātesuzņēmums, piemēram, Gizmodo un Lifehacker) 2010. gadā tika ietekmēts( kompromitēts 1,3 miljoni lietotāju ierakstu).Un tie ir tikai lielu pārkāpumu piemēri, kas radīja jaunumus!
Privātuma tiesību informācijas centrs uztur datubāzi par drošības pārkāpumiem no 2005. gada līdz šim brīdim. Viņu datu bāzē ir ietverts visdažādākie pārkāpumu veidi: apdraudētas kredītkartes, nozagtie sociālās apdrošināšanas numuri, nozagtas paroles un medicīniskie dati. Datubāze, sākot no šī raksta publicēšanas, sastāv no 4,033 pārkāpumiem , kas satur 617,937,023 lietotāja ierakstus .Ne katrs no simtiem miljonu pārkāpumu ietvēra lietotāju paroles, bet miljoniem no viņiem miljoniem.
Tātad, kāpēc tas ir svarīgi? Neatkarīgi no pārkāpuma acīmredzamas un tūlītējas drošības sekas, pārkāpumi rada papildu kaitējumu. Hackers var nekavējoties sākt testēt logins un paroles, ko viņi ražas citās tīmekļa vietnēs.Lielākā daļa cilvēku ir slinki ar savām parolēm, un ir lielas cerības, ka, ja kāds izmantotu [email protected] ar paroli bob1979, tas pats pieteikšanās / parole pāris strādās citās tīmekļa vietnēs. Ja šīm citām vietnēm ir augstāks profils( piemēram, banku vietnes vai ja parole, kuru tā izmantoja Adobe, faktiski atslēdz savu e-pasta iesūtni), tad ir problēma. Kad kāds var piekļūt savai e-pasta iesūtnei, viņi var sākt atiestatīt paroli citiem pakalpojumiem un piekļūt tiem arī.
Vienīgais veids, kā apturēt šāda veida ķēdes reakciju, izraisa vēl vairāk drošības problēmu jūsu izmantoto tīmekļa vietņu un pakalpojumu tīklā, ir sekot diviem galvenajiem parastu higiēnas noteikumiem:
- Jūsu e-pasta parolei jābūt garai, spēcīgai un pilnībāunikāls starp visiem jūsu logins.
- Katrs pieteikšanās lietotājs saņem garu, spēcīgu un unikālu paroli. Nav atkārtoti izmantota parole. Ever.
Šie divi noteikumi ir izvilkums no katra drošības rokasgrāmatas, kuru mēs kādreiz esat kopīgojuši ar jums, tostarp mūsu ārkārtas situācijā, kad jums ir bijis hit-the-fan guide Kā atgūt savu e-pasta paroli.
Tagad šajā brīdī jūs, iespējams, sarežģīties nedaudz, jo, godīgi sakot, gandrīz nevienam nav perfekti hermētiskā paroles prakses un drošības. Jūs neesat viens, ja trūkst paroles higiēnas. Patiesībā ir pienācis laiks atzīt.
Esmu rakstījis daudzus drošības rakstus, ziņojumus par drošības pārkāpumiem un citām ar paroli saistītām ziņām gadu gaitā, kad esmu bijis How-To Geek. Neskatoties uz to, ka tieši tā ir informēta persona, kurai būtu jāzina labāk, neraugoties uz paroļu pārvaldnieka lietošanu un drošu paroļu radīšanu katrai jaunai vietnei un pakalpojumam, kad es paņēmu savu e-pastu caur kompromitēto Adobe pieteikumvārdu sarakstu un salīdzināju to ar pretlikumīgu paroli, esjoprojām uzzināju, ka esmu dabūjuši apdegumus.
Es šo Adobe kontu izveidoju ilgu laiku, kad esmu ievērojami vairāk slims ar savu parožu higiēnu, un parole, kuru es izmantoju, bija izplatīta visā desmitiem no tīmekļa vietnēm un pakalpojumiem, ar kuriem esmu piereģistrējies, pirms es saņēmu super nopietni par pieņemšanulabas paroles.
Visu to varēja novērst, ja es pilnīgi praktizētu to, ko sludināju, un ne tikai radīju unikālas un spēcīgas paroles, bet arī pārbaudīja vecās paroles, lai nodrošinātu, ka šī situācija nekad nav noticis vispirms. Neatkarīgi no tā, vai jūs nekad neesat pat mēģinājis konsekventi un droši izmantot savas paroles, vai arī jums vienkārši ir jāpārbauda, vai nevajag atļauties, padziļināta paroles pārbaude ir ceļš uz paroles drošību un mieru. Lasiet tālāk, jo mēs parādīsim, kā to izdarīt.
Sagatavošanās Jūsu Lastpass drošības izaicinājumam
Jūs varētu manuāli pārbaudīt savas paroles, taču tas būtu ārkārtīgi garlaicīgs, un jūs nevarētu gūt labumu no labas universālā paroļu pārvaldnieka lietošanas. Tā vietā, lai manuāli pārbaudītu visu, mēs veiksim vienkāršu un lielā mērā automatizētu maršrutu: mēs veiksim savu paroļu pārbaudi, izmantojot LastPass drošības izaicinājumu.
Šajā rokasgrāmatā netiks iekļauta LastPass iestatīšana, tādēļ, ja jums vēl nav sistēmas LastPass, mēs iesakām to iestatīt uz augšu. Lai sāktu, skatiet HTG rokasgrāmatu, lai sāktu darbu ar LastPass. Lai gan LastPass ir atjauninājies, kopš mēs uzrakstījām ceļvedi( saskarne ir daudz labāka un tagad ir labāka), jūs varat to viegli sekot līdzi. Ja iestatāt LastPass pirmo reizi, noteikti importējiet visas savas saglabātās paroles no pārlūkprogrammām, jo mūsu mērķis ir pārbaudīt katru paroli, kuru izmantojat.
Ievadiet katru pieteikšanos un paroli LastPass sistēmā: Neatkarīgi no tā, vai esat jauns lietotājs LastPass vai esat to pilnībā neizmantojis katram pieteikumam, tagad ir laiks, lai pārliecinātos, vai esat ievadījis katru pieteikšanos LastPass sistēmā.Mēs atkārtosim padomu, ko mēs sniedzām mūsu e-pasta atjaunošanas rokasgrāmatā, lai salīmētu e-pasta iesūtni atgādinājumiem:
Meklējiet e-pastu, lai reģistrētos atgādinājumus. Nav grūti atcerēties savus bieži izmantotos pieteikumvārdus, piemēram, Facebook un jūsu banku, taču, iespējams, ir desmiti no izmaksu pakalpojumiem, par kuriem jūs, iespējams, pat neatcerosies, ka izmantojat savu e-pastu, lai pieteiktos. Izmantojiet atslēgvārdu meklējumus, piemēram, "atlaide", "atiestatīt", "atkopšana", "pārbaudīt", "parole", "lietotājvārds", "pieteikšanās", "konts" un tādas kombinācijas, piemēram, "atiestatīt paroli" vai "pārbaudīt kontu".Atkal, mēs zinām, ka tas ir apgrūtinājums, bet, kad tas ir izdarīts ar paroli, kas atrodas tavā pusē, jums ir galvenais visu jūsu konta saraksts, un jums vairs nekad nebūs jādara vēlreiz šī vaicājuma meklēšana.
Iespējojiet divfaktoru autentifikāciju savā LastPass kontā: Šis solis nav obligāti nepieciešams, lai veiktu drošības auditu, bet, kamēr mēs pievēršam uzmanību, mēs darīsim visu, ko varam, lai jūs iedrošinātu, kamēr jūs pietrūkstsavu LastPass kontu, lai ieslēgtu divu faktoru autentifikāciju, lai vēl vairāk nodrošinātu jūsu LastPass vault.(Tas ne tikai palielina jūsu konta drošību, bet arī paaugstina drošības audita rezultātu!)
LastPass drošības izaicinājuma
pieņemšana Tagad, kad esat importējis visas savas paroles, ir pienācis laiks apkaunot sevi par kaunupar neesamību 1% no hardcore paroles drošības ninjas. Apmeklējiet LastPass drošības izaicinājuma lapu un nospiediet pogu "Sākt izaicinājumu" lapas apakšdaļā.Jums tiks piedāvāts ievadīt galveno paroli, kā redzams iepriekš redzamajā ekrānuzņēmumā, un pēc tam LastPass piedāvās pārbaudīt, vai kāda no jūsu vaultā iekļautajām e-pasta adresēm bija daļa no visiem izsekojamiem pārkāpumiem. Nav pamatota iemesla neizmantot šo priekšrocību:
Ja jums ir paveicies, tas atgriež negatīvu. Ja jums ir paveicies, jums tiek parādīts uznirstošais lodziņš, kurā tiek vaicāts, vai vēlaties saņemt vairāk informācijas par pārkāpumiem, ar kuriem jūsu e-pasts tika iesaistīts:
LastPass izsniegs vienotu drošības paziņojumu katram gadījumam. Ja jūsu e-pasta adrese ir bijusi ilga, esiet gatavi šokēt par to, cik paroles pārkāpumi ir sastiepušies. Piemērs parāda paroles pārkāpuma paziņojumam:
Pēc uznirstošajiem logiem, jūs tiksiet izmests LastPass drošības izaicinājuma galvenajā panelī.Iegaumē agrāk rokasgrāmatā, kad es runāju par to, kā es šobrīd praktizē labu parožu higiēnu, bet es nekad neesmu iepazinies, lai pienācīgi atjauninātu daudz vecāku tīmekļa vietņu un pakalpojumu? Tas patiešām rāda rezultātu, kuru es saņēmu. Ouch:
Tas ir mans rādītājs, kas gadu gaitā ir izšķiests ar izlases parolēm. Nebūs pārāk šokēti, ja jūsu vērtējums ir vēl mazāks, ja atkal un atkal esat izmantojis tikpat maz vāju paroļu. Tagad, kad mums ir savs rezultāts( lai gan tas ir lieliski vai kauns, tas ir laiks rakt datus).Jūs varat izmantot ātrās saites blakus jūsu punktu skaitam vai vienkārši sākt ritināšanu. Vispirms apskatīsim detalizētus rezultātus. Apsveriet šo 10.000 pēdu pārskatu par savu paroļu stāvokli:
Lai gan jums vajadzētu pievērst uzmanību visiem šajā statistikā, patiešām svarīgi ir "vidējais paroles spēks", cik vāja vai spēcīga ir jūsu vidējā parole un, vēl svarīgāk,"Paroļu dublēto vienību skaits" un "Vietņu skaits, kurām ir dublētas paroles".Mana revīzijas dēļ 43 vietās bija vairāk nekā divi. Skaidrs, ka man bija diezgan slinks atkārtoti izmantot to pašu zemas kvalitātes paroli vairāk nekā dažās vietnēs.
Nākamā pietura, sadaļa Analizētās vietnes.Šeit jūs atradīsit ļoti precīzu visu jūsu pieteikumvārdu un paroļu saraušanos, ko organizē dubultas paroles izmantošana( ja jums bija dublikāti), unikālas paroles un, visbeidzot, logins bez paroles, kas saglabāts LastPass. Lai gan jūs meklējat sarakstu, uzmācieties kontrastu starp paroles stiprās puses. Manā gadījumā viens no maniem finanšu logins tika piešķirts 45% paroli rezultāts, bet manas meitas Minecraft pieteikšanās tika dota perfekta 100% rezultātu. Atkal, ouch.
Nosaka savu briesmīgo drošības izaicinājumu punktu
Ir divas ļoti noderīgas saites, kas izveidotas tieši revīzijas sarakstos. Ja jūs noklikšķiniet uz "RĀDĪT", tā parādīs jums šīs vietnes paroli, un, noklikšķinot uz "Apmeklēt vietni", varat pāriet tieši uz šo vietni, lai jūs varētu mainīt paroli. Ne tikai jāmaina katra dublēšanas parole, bet jebkura parole, kas pievienota kontam, kas tika pārkāpts( piemēram, Adobe.com vai LinkedIn), būtu jāatstāj pastāvīgi.
Atkarībā no tā, cik daudzas vai mazas esat paroles( un cik jūs esat cienīgs par parastu praksi), šis procesa solis var aizņemt 10 minūtes vai visu pēcpusdienu. Lai gan paroļu mainīšanas process mainīsies atkarībā no jūsu atjauninātās vietnes izkārtojuma, šeit ir daži vispārīgi norādījumi, kas jāievēro( piemērs ir piemērs "Atcerēties pienu"): Apmeklējiet paroles maiņas lapu. Parasti jums ir jāievada pašreizējā parole un pēc tam jāizveido jauna parole.
To izdariet, noklikšķinot uz bloķēšanas ar apļveida bultiņas logotipu. LastPass ievieto jaunajā paroles slotā( kā redzams attēlā iepriekš).Pārlūkojiet savu jauno paroli un veiciet nepieciešamās izmaiņas( piemēram, pagarinot vai pievienojot īpašas rakstzīmes):
Noklikšķiniet uz "Izmantot paroli" un pēc tam apstipriniet, ka vēlaties atjaunināt ierakstu, kuru rediģējat:
Pārliecinieties, vai apstiprināt izmaiņasar vietni. Atkārtojiet procesu par katru dublējošo un vājo paroli savā LastPass vaultā.
Visbeidzot, pēdējā lieta, kas jums jāpārbauda, ir jūsu LastPass galvenā parole. Dariet to, noklikšķinot uz saites ekrāna Challenge apakšdaļā ar nosaukumu "Pārbaudīt My LastPass galvenās paroles stiprumu".Ja jūs to neredzat:
Jums ir jāatjauno LastPass galvenā parole un jāpalielina spēks, līdz saņemat jauku, pozitīvu, 100% stiprības apstiprinājumu.
Rezultātu uzskaite un jūsu LastPass Security drošības uzlabošana
Pēc tam, kad esat pārsūtījis paroļu, veco ierakstu izdzēsto sarakstu un citādi sakārtojis un aizsargājis savu pieteikšanās / paroļu sarakstu, ir pienācis laiks atkal veikt revīziju. Tagad, lai uzsvērtu, rezultāts, kuru jūs redzat zemāk, tika izveidots, tikai uzlabojot paroles drošību.(Ja jūs iespējosiet papildu drošības funkcijas, piemēram, daudzfaktoru autentificēšanu, jūs saņemsit palielinājumu par apmēram 10%).
Nav slikti! Pēc katra dublētā paroles likvidēšanas un visu esošo paroļu līdz pat 90% izturības vai labākas uzlaušanas patiešām uzlaboja mūsu rezultātu. Ja jums ir interesanti, kāpēc tas nepārkāpa 100%, ir vairāki faktori, no kuriem lielākā daļa ir tāda, ka dažas paroles nekad nevar tikt izvilinātas, izmantojot LastPass standartus, jovietņu administratori. Piemēram, manas vietējās bibliotēkas pieteikšanās parole ir četrciparu PIN( kas parāda LastPass drošības mērogā 4%).Lielākajai daļai cilvēku šajā sarakstā ir tāds pārsvars, kas pārsteidza viņu rezultātus.
Šādos gadījumos ir svarīgi nepazīt un izmantot detalizētu dalījumu kā metriku:
Paroles atjaunināšanas procesā es sapratu 17 vietņu dublētus / izbeigušus objektus, izveidoju unikālu paroli katrai vietnei un pakalpojumam un atnesa skaituno vietnēm ar dublētām parolēm procesā no 43 līdz 0.
Tikai apmēram stundu nopietni fokusēja laiks( 12,4% no tiem tika iztērēti lāstu tīmekļa vietņu dizaineri, kuri ielika paroles atjaunināšanas saites neskaidrajās vietās), un viss, kas man bija nepieciešams motivēt, bija katastrofālas proporcijas paroli! Es šeit atzīmēšu milzīgus panākumus.
Tagad, kad jūs esat pārbaudījis savas paroles, un jūs sūknējat par stabilu unikālu paroļu izmantošanu, izmantojiet šo priekšu. Noklikšķiniet uz mūsu rokasgrāmata, lai padarītu LastPass pat drošāku, palielinot paroles iterācijas, ierobežojot logins pa valstīm un vairāk. Starp revīzijas gaitu, kuru mēs aprakstījām šeit, sekojot mūsu LastPass drošības rokasgrāmatai un ieslēdzot divu faktoru algoritmus, jums būs izliekta paroles vadības sistēma, par kuru var lepoties.