13Sep

Hoe u een beveiligingsaudit uit de laatste doorloop kunt uitvoeren( en waarom deze niet kan wachten)

click fraud protection

Als u laks wachtwoordbeheer en hygiëne aan het oefenen bent, is dit slechts een kwestie van tijd totdat een van de steeds talrijker wordende grootschalige beveiligingsinbreuken u verbrandt. Stop met dankbaar te zijn, ontwierp de kogels uit de verleden veiligheidskap en wapent jezelf tegen de toekomstige. Lees verder terwijl we u laten zien hoe u uw wachtwoorden kunt controleren en uzelf kunt beschermen.

Wat is de Big Deal en waarom is dit belangrijk?

In oktober van dit jaar onthulde Adobe dat er een groot beveiligingslek was opgetreden dat betrekking had op 3 miljoen gebruikers van Adobe.com en Adobe-software. Toen herzagen ze het aantal tot 38 miljoen. Toen, nog schokkender, toen de database van de hack werd gelekt, kwamen beveiligingsonderzoekers die de database analyseerden terug en zeiden dat het meer leek op 150 miljoen gecompromitteerde gebruikersaccounts. Deze graad van gebruikersblootstelling zet de Adobe-inbreuk in de running als een van de ergste inbreuken op de beveiliging in de geschiedenis.

instagram viewer

Adobe staat op dit gebied echter nauwelijks alleen;we openden eenvoudig met hun bres omdat het pijnlijk recent was. Alleen al de laatste paar jaar zijn er tientallen massale beveiligingsinbreuken geweest waarbij gebruikersinformatie, inclusief wachtwoorden, is aangetast.

LinkedIn werd in 2012 getroffen( 6.46 miljoen geregistreerde gebruikersrecords).Datzelfde jaar werd eHarmony getroffen( 1,5 miljoen gebruikersrecords) zoals Last.fm( 6,5 miljoen gebruikersrecords) en Yahoo!(450.000 gebruikersrecords).Het Sony Playstation Network werd in 2011 getroffen( 101 miljoen geregistreerde gebruikersrecords).Gawker Media( het moederbedrijf van sites zoals Gizmodo en Lifehacker) werd in 2010 getroffen( 1,3 miljoen gebruikersrecords aangetast).En dat zijn slechts voorbeelden van grote schendingen die het nieuws hebben gebracht!

De privacyrechten Clearinghouse onderhoudt een database van beveiligingsinbreuken van 2005 tot heden. Hun database bevat een breed scala aan soorten overtredingen: gecompromitteerde creditcards, gestolen sofinummers, gestolen wachtwoorden en medische dossiers. De database, vanaf de publicatie van dit artikel, is samengesteld uit 4.033 breekt met 617,937,023 gebruikersrecords .Niet al die honderden miljoenen inbreuken hadden betrekking op gebruikerswachtwoorden, maar miljoenen van hen deden dat wel.

Dus waarom maakt het uit? Afgezien van de voor de hand liggende en onmiddellijke veiligheidsimplicaties van een inbreuk, veroorzaken de inbreuken bijkomstige schade. De hackers kunnen onmiddellijk beginnen met het testen van de aanmeldingen en wachtwoorden die ze op andere websites verzamelen.

De meeste mensen zijn lui met hun wachtwoorden en er is een goede kans dat als iemand [email protected] gebruikt met het wachtwoord bob1979, hetzelfde aanmeld / wachtwoord-paar op andere websites werkt. Als die andere websites een groter profiel hebben( zoals banksites of als het wachtwoord dat hij bij Adobe gebruikte, zijn e-mailinbox daadwerkelijk ontgrendelt), dan is er een probleem. Zodra iemand toegang heeft tot uw e-mailinbox, kunnen ze het wachtwoord voor andere services opnieuw instellen en ook toegang krijgen tot deze services.

De enige manier om te voorkomen dat dit soort kettingreacties nog meer beveiligingsproblemen veroorzaken binnen het netwerk van websites en services die u gebruikt, is om twee hoofdregels voor goede wachtwoordhygiëne te volgen:

  1. Uw e-mailwachtwoord moet lang, krachtig en volledig zijnuniek onder al uw aanmeldingen.
  2. Elke -login krijgt een lang, sterk en uniek wachtwoord. Geen wachtwoordhergebruik. ooit.

Die twee regels zijn de afhaalmaaltijden van elke beveiligingsgids die we ooit met u hebben gedeeld, inclusief onze handleiding voor noodgevallen-door-de-fan Hoe te herstellen nadat uw e-mailwachtwoord is mislukt.

Nu zul je waarschijnlijk wat kronkelen omdat eerlijk gezegd bijna niemand perfect luchtdichte wachtwoordpraktijken en beveiliging heeft. Je bent niet alleen als je wachtwoordhygiëne ontbreekt. In feite is het tijd voor een bekentenis.

Ik heb tientallen beveiligingsartikelen, berichten over beveiligingsinbreuken en andere aan wachtwoorden gerelateerde berichten geschreven in de loop van de jaren dat ik bij How-To Geek ben geweest. Ondanks dat ik precies het soort geïnformeerde persoon ben die beter zou moeten weten, ondanks het gebruik van een wachtwoordbeheerder en het genereren van veilige wachtwoorden voor elke nieuwe website en service, toen ik mijn e-mail door de lijst van aangetaste Adobe-logins leidde en deze afsloot tegen het aangetaste wachtwoord,kwam er nog steeds achter dat ik was verbrand.

Ik heb dat Adobe-account lang geleden gemaakt toen ik beduidend laks was met mijn wachtwoordhygiëne, en het wachtwoord dat ik gebruikte was gebruikelijk op tientallen websites en services waarmee ik me had aangemeld voordat ik super serieus werd over het maken vangoede wachtwoorden.

Dat alles had voorkomen kunnen worden als ik volledig had gepraktiseerd wat ik had gepredikt en niet alleen unieke en sterke wachtwoorden had gemaakt, maar ook controleerde mijn oude wachtwoorden om ervoor te zorgen dat deze situatie nooit in de eerste plaats plaatsvond. Of u nog nooit hebt geprobeerd om consistent en veilig te zijn met uw wachtwoordpraktijken of u hoeft alleen maar te controleren of u zich op uw gemak voelt, een grondige wachtwoordcontrole is het pad naar wachtwoordbeveiliging en gemoedsrust. Lees verder terwijl we u laten zien hoe.

Voorbereiding op uw Lastpass-beveiligingschallenge

U kunt uw wachtwoorden handmatig controleren, maar dat zou enorm vervelend zijn en u zou niet profiteren van het gebruik van een goede universele wachtwoordbeheerder. In plaats van alles handmatig te controleren, gaan we de eenvoudige en grotendeels geautomatiseerde route nemen: we gaan onze wachtwoorden controleren door de LastPass-beveiligingsuitdaging te nemen.

Deze handleiding gaat niet over het instellen van LastPass, dus als u nog geen LastPass-systeem hebt, raden we u ten zeerste aan om een ​​LastPass-systeem in te stellen. Bekijk de HTG-handleiding om aan de slag te gaan met LastPass om aan de slag te gaan. Hoewel LastPass is bijgewerkt sinds we de handleiding hebben geschreven( de interface is nu veel mooier en beter gestroomlijnd), kunt u de stappen nog steeds gemakkelijk volgen. Als u LastPass voor de eerste keer instelt, moet u alle uw opgeslagen wachtwoorden uit uw browsers importeren, omdat het ons doel is om elk wachtwoord dat u gebruikt te controleren.

Voer elke gebruikersnaam en elk wachtwoord in LastPass in: Of u nu geheel nieuw bent voor LastPass of u hebt het nog niet volledig gebruikt voor elke aanmelding, dit is het moment om te controleren of u hebt ingevoerd elke die zich aanmeldt op het LastPass-systeem. We gaan het advies herhalen dat we in onze gids voor het herstellen van e-mail hebben gegeven voor het combineren van uw e-mailinbox voor herinneringen:

Zoek in uw e-mail naar registratiegebaseerde herinneringen. Het zal niet moeilijk zijn om uw veelgebruikte aanmeldingen zoals Facebook en uw bank te onthouden, maar er zijn waarschijnlijk tientallen uitbestedingsservices waarvan u zich misschien niet eens herinnert dat u uw e-mailadres gebruikt om in te loggen. Gebruik trefwoordzoekopdrachten zoals "welcome to", "reset", "recovery", "verify", "password", "username", "login", "account" en combinaties daarvan zoals "reset wachtwoord" of "account verifiëren".Nogmaals, we weten dat dit een gedoe is, maar als je dit eenmaal hebt gedaan met een wachtwoordbeheerder aan je zijde, heb je een hoofdlijst van al je account en hoef je deze zoektocht naar zoekwoorden nooit meer te doen.

Schakel authenticatie met twee factoren in op uw LastPass-account: Deze stap is niet strikt noodzakelijk om de beveiligingsaudit uit te voeren, maar terwijl we uw aandacht hebben, zullen we er alles aan doen om u aan te moedigen, terwijl u aan het ronddwalen bent inuw LastPass-account om tweegradenauthenticatie in te schakelen om uw LastPass-kluis verder te beveiligen.(Niet alleen verhoogt het uw accountbeveiliging, u krijgt ook een boost in uw beveiligingsaudits!)

De LastPass-beveiligingsuitdaging

Nu u al uw wachtwoorden hebt geïmporteerd, is het tijd om u te schamen voor de schandevan het niet in de 1% zitten van ninja's voor hardcore-wachtwoordbeveiliging. Ga naar de LastPass Security Challenge-pagina en druk op "Start the Challenge" onderaan de pagina. U wordt gevraagd om uw hoofdwachtwoord in te voeren, zoals te zien is in de bovenstaande schermafbeelding, en vervolgens biedt LastPass aan om te controleren of een van de e-mailadressen in uw kluis deel uitmaakte van eventuele schendingen die het heeft gevolgd. Er is geen goede reden om hier geen gebruik van te maken:

Als je geluk hebt, geeft het een negatief resultaat. Als je geluk hebt, krijg je een pop-up zoals deze waarin je wordt gevraagd of je meer informatie wilt over de schendingen waar je e-mail bij betrokken was:

LastPass geeft één beveiligingswaarschuwing voor elke instantie. Als u al een lange tijd uw e-mailadres had, wees dan voorbereid om te schrikken over het aantal inbreuken op uw wachtwoord. Hier is een voorbeeld van een waarschuwing over een wachtwoordschending:

Na de pop-ups wordt u naar het hoofdvenster van de LastPass-beveiligingschallenge gedumpt. Weet je nog eerder in de gids dat ik sprak over hoe ik momenteel goede wachtwoordhygiëne gebruik, maar dat ik er nooit in was geslaagd om veel oudere websites en services op de juiste manier bij te werken? Het komt echt naar voren in de score die ik ontving. Ouch:

Dat is mijn score met jarenlange willekeurige wachtwoorden erin. Wees niet te geschrokken als je score nog lager is als je steeds weer dezelfde handvol zwakke wachtwoorden hebt gebruikt. Nu we onze score hebben( hoe geweldig of schandelijk het ook mag zijn), is het tijd om de gegevens te bestuderen. U kunt de snelkoppelingen gebruiken naast uw score-percentage of gewoon beginnen met scrollen. Eerste stop, laten we de gedetailleerde resultaten bekijken. Beschouw dit als een overzicht van 10.000 voet van de status van je wachtwoorden:

Hoewel je hier moet letten op alle statistieken, zijn de echt belangrijke "Gemiddelde wachtwoordsterkte", hoe zwak of sterk je gemiddelde wachtwoord is en, nog belangrijker,"Aantal dubbele wachtwoorden" en "Aantal sites met dubbele wachtwoorden".In het kader van mijn audit waren er acht dupes verspreid over 43 sites. Het was duidelijk dat ik nogal lui was geweest door hetzelfde laagwaardige wachtwoord opnieuw te gebruiken op meer dan een paar sites.

Volgende stop, het gedeelte Geanalyseerde sites. Hier vindt u een zeer concrete opsplitsing van al uw aanmeldingen en wachtwoorden die zijn georganiseerd door dubbel wachtwoordgebruik( als u duplicaten had), unieke wachtwoorden en ten slotte logins zonder wachtwoord opgeslagen in LastPass. Kijk, terwijl je over de lijst kijkt, eens naar het contrast tussen wachtwoordsterkten. In mijn geval kreeg een van mijn financiële aanmeldingen een 45% wachtwoordscore, terwijl de inloggegevens van mijn dochter Minecraft een perfecte 100% score kregen. Nogmaals, au.

Bevestiging van je verschrikkelijke beveiligingsuitdagingsscore

Er zijn twee zeer nuttige koppelingen ingebouwd in de controlelijsten. Als u op "SHOW" klikt, toont het u het wachtwoord voor die site en als u op "Site bezoeken" klikt, kunt u direct naar de website gaan, zodat u het wachtwoord kunt wijzigen. Niet alleen moet elk dubbel wachtwoord worden gewijzigd, maar elk wachtwoord dat is gekoppeld aan een account dat is geschonden( zoals Adobe.com of LinkedIn) moet permanent worden stopgezet.

Afhankelijk van hoeveel of weinig wachtwoorden u heeft( en hoe ijverig u bent geweest over goede wachtwoordpraktijken), kan deze stap van het proces u tien minuten of de hele middag duren. Hoewel het wijzigen van uw wachtwoorden kan variëren op basis van de lay-out van de site die u bijwerkt, volgen hier enkele algemene richtlijnen( we gebruiken onze wachtwoordupdate bij Remember the Milk als voorbeeld): Ga naar de pagina voor het wijzigen van het wachtwoord. Meestal moet u uw huidige wachtwoord invoeren en vervolgens een nieuw wachtwoord genereren.

Doe dit door op het logo met slot-met-cirkelvormige pijl te klikken. LastPass wordt ingevoegd in de nieuwe wachtwoordsleuf( zoals te zien in de bovenstaande schermafbeelding).Bekijk uw nieuwe wachtwoord en pas het aan als u dat wilt( zoals het verlengen of speciale tekens toevoegen):

Klik op "Use Password" en bevestig vervolgens dat u het item dat u wilt bewerken, wilt bijwerken:

Zorg dat u de wijziging bevestigtmet de website ook. Herhaal het proces voor elk duplicaat en zwak wachtwoord in uw LastPass-kluis.

Tot slot, het laatste dat u moet controleren, is uw LastPass hoofdwachtwoord. Doe dit door op de link onderaan het scherm Challenge te klikken met het label "Test de sterkte van mijn LastPass hoofdwachtwoord".Als u dit niet ziet:

U moet uw LastPass hoofdwachtwoord opnieuw instellen en de sterkte verhogen totdat u een mooie, positieve bevestiging van 100% ontvangt.

De resultaten bekijken en uw LastPass-beveiliging verder verbeteren

Nadat u de lijst met dubbele wachtwoorden hebt doorlopen, oude vermeldingen hebt verwijderd en uw op- / wachtwoordlijst anders hebt opgeruimd en beveiligd, is het tijd om de audit opnieuw uit te voeren. Nu, om de nadruk te leggen, werd de score die je hieronder ziet alleen aan de orde gesteld door het verbeteren van de wachtwoordbeveiliging.(Als u extra beveiligingsfuncties inschakelt, zoals multi-factor-authenticatie, ontvangt u een verhoging van ongeveer 10%).

Niet slecht! Na het elimineren van elk dubbel wachtwoord en het samenbrengen van alle bestaande wachtwoorden tot 90% kracht of beter, heeft het onze score echt verbeterd. Als je nieuwsgierig bent waarom het niet naar 100% is gesprongen, zijn er een paar factoren aan de orde, waarvan de meest prominente is dat sommige wachtwoorden nooit door Snuifje kunnen worden aangemaakt als gevolg van domme beleidsmaatregelen die door desitebeheerders. Het inlogwachtwoord van mijn lokale bibliotheek is bijvoorbeeld een viercijferige pen( die een 4% scoort op de LastPass-beveiligingsschaal).De meeste mensen hebben zo'n soort uitbijters in hun lijst en dat sleept hun score naar beneden.

In dergelijke gevallen is het belangrijk om niet ontmoedigd te raken, en om uw gedetailleerde analyse als metriek te gebruiken:

In het wachtwoordbijwerkproces heb ik 17 dubbele / verlopen sites gesnoeid, een uniek wachtwoord voor elke site en service gemaakt en het nummer meegebrachtvan sites met dubbele wachtwoorden van 43 naar 0 in het proces.

Het duurde slechts ongeveer een uur van serieus gefocuste tijd( 12,4% daarvan werd besteed aan het vloeken van websitebouwers die de koppelingen voor wachtwoordupdates op onbekende plaatsen plaatsten) en het enige dat nodig was om me gemotiveerd te krijgen was een wachtwoordinbreuk van catastrofale proporties! Ik maak hier een notitie, groot succes.

Nu u uw wachtwoorden heeft gecontroleerd en u bent gepaaid over het hebben van een aantal unieke wachtwoorden, laten we profiteren van dat voorwaartse momentum. Roep onze gids op om LastPass nog veiliger te maken door te verbeteren door meer wachtwoordherhalingen te gebruiken, logins per land te beperken en meer. Tussen het uitvoeren van de audit die we hier hebben uiteengezet, het volgen van onze LastPass-beveiligingsgids en het inschakelen van twee-factoralgoritmen, hebt u een kogelvrij wachtwoordbeheersysteem waar u trots op kunt zijn.