13Sep
Jeśli ćwiczysz luźne zarządzanie hasłami i higieną, to tylko kwestia czasu, kiedy jeden z coraz liczniejszych naruszeń bezpieczeństwa na dużą skalę poparzy cię.Przestań być wdzięczny, że uniknąłeś zabezpieczeń i zbroisz się przeciwko przyszłym. Czytaj dalej, bo pokazujemy, jak kontrolować hasła i chronić się.
Jaki jest wielki interes i dlaczego to się liczy?
W październiku tego roku firma Adobe ujawniła, że doszło do poważnego naruszenia bezpieczeństwa, które dotknęło 3 miliony użytkowników oprogramowania Adobe.com i Adobe. Następnie zmienili liczbę na 38 milionów. Potem, jeszcze bardziej szokująco, gdy baza danych z hackingu została ujawniona, analitycy bezpieczeństwa, którzy przeanalizowali bazę danych, wrócili i powiedzieli, że to bardziej jak , które miało 150 milionów , zaatakowało konta użytkowników. Ten stopień narażenia użytkownika powoduje, że naruszenie Adobe w działaniu jest jednym z najgorszych naruszeń bezpieczeństwa w historii.
Adobe nie jest jednak sam na tym froncie;po prostu otworzyliśmy się z ich naruszeniem, ponieważ jest to boleśnie niedawne. W ciągu ostatnich kilku lat doszło do kilkudziesięciu masowych naruszeń bezpieczeństwa, w których ujawniono informacje o użytkownikach, w tym hasła.
LinkedIn został trafiony w 2012 roku( zrekompensowano 6,46 miliona rekordów użytkowników).W tym samym roku trafił eHarmony( 1,5 miliona rekordów użytkownika), podobnie jak Last.fm( 6,5 miliona rekordów użytkownika) i Yahoo!(450 000 wpisów użytkownika).Sony Playstation Network trafiło w 2011 r.( 101 milionów rekordów użytkowników zostało naruszonych).Gawker Media( firma macierzysta takich serwisów, jak Gizmodo i Lifehacker) została trafiona w 2010 roku( zrekompensowano 1,3 miliona rekordów użytkowników).I to tylko przykłady dużych naruszeń, które sprawiły, że wieści!
Privacy Rights Clearinghouse prowadzi bazę danych o naruszeniach bezpieczeństwa od 2005 r. Do chwili obecnej. Ich baza danych obejmuje szeroki zakres typów naruszenia: zagrożone karty kredytowe, skradzione numery ubezpieczenia społecznego, skradzione hasła i dokumentacja medyczna. Baza danych, zgodnie z publikacją tego artykułu, składa się z 4033 przekroczeń zawierających 617,937,023 wpisów użytkownika .Nie każdy z setek milionów naruszeń dotyczył haseł użytkowników, ale robili to miliony.
Dlaczego to ma znaczenie? Pomijając oczywiste i natychmiastowe implikacje naruszenia bezpieczeństwa, naruszenia stanowią dodatkową szkodę.Hakerzy mogą natychmiast rozpocząć testowanie loginów i haseł, które zbierają na innych stronach internetowych.Większość ludzi jest leniwych ze swoimi hasłami i istnieje duża szansa, że jeśli ktoś użyje [email protected] z hasłem bob1979, ta sama para login / hasło zadziała na innych stronach internetowych. Jeśli te inne witryny mają wyższy profil( takie jak strony bankowe lub jeśli hasło użyte w programie Adobe faktycznie odblokowuje jego skrzynkę odbiorczą), wystąpił problem. Gdy ktoś uzyska dostęp do skrzynki odbiorczej poczty e-mail, może rozpocząć resetowanie hasła w innych usługach i uzyskiwać do nich dostęp.
Jedynym sposobem na powstrzymanie tego rodzaju reakcji łańcuchowej przed powodowaniem jeszcze większych problemów związanych z bezpieczeństwem w sieci witryn internetowych i usług, z których korzystasz, jest przestrzeganie dwóch podstawowych zasad dobrej higieny haseł:
- Twoje hasło e-mail powinno być długie, silne i całkowiciewyjątkowy wśród wszystkich twoich loginów.
- Każdy login otrzymuje długie, mocne i unikalne hasło. Brak ponownego użycia hasła. Ever.
Te dwie zasady są odskocznią od każdego przewodnika bezpieczeństwa, który kiedykolwiek Ci udostępniliśmy, w tym naszego przewodnika po nagłych wypadkach, który ma przewodnik "hit-the-fan" Jak odzyskać po tym, jak Twoje hasło do e-maila zostało zaszkodzone.
W tym momencie prawdopodobnie trochę się wijesz, bo szczerze mówiąc, prawie nikt nie ma perfekcyjnie bezpiecznych haseł i zabezpieczeń.Nie jesteś sam, jeśli nie masz higieny hasła. W rzeczywistości czas na spowiedź.
Napisałem dziesiątki artykułów dotyczących zabezpieczeń, postów dotyczących naruszeń bezpieczeństwa i innych postów związanych z hasłami w ciągu lat, w których byłem w How-To Geek. Pomimo tego, że jest to dokładnie taka osoba, która powinna wiedzieć lepiej, mimo że korzystała z menedżera haseł i generowała bezpieczne hasła dla każdej nowej witryny i usługi, kiedy prowadziłam moją skrzynkę e-mail na liście skompromitowanych loginów firmy Adobe i dopasowywałam ją do zaatakowanego hasła.wciąż się dowiedziałem, że zostałem spalony.
Zrobiłem to konto Adobe dawno temu, kiedy byłem znacznie bardziej wyluzowany w kwestii higieny haseł, a używane przeze mnie hasło było powszechne w całej dziesiątkach witryn i usług, z którymi się zarejestrowałem, zanim zrobiłem coś poważnego w robieniudobre hasła.
Tego wszystkiego można by było uniknąć, gdybym w pełni praktykował to, co głosiłem, a nie tylko tworzył unikalne i mocne hasła, ale również skontrolował moje stare hasła, aby upewnić się, że ta sytuacja nigdy się nie zdarzyła. Niezależnie od tego, czy nigdy nie próbowaliście być konsekwentni i bezpieczni przy pomocy praktyk dotyczących haseł, czy po prostu musicie je sprawdzić, aby się uspokoić, dokładny audyt hasła jest drogą do zabezpieczenia haseł i spokoju ducha. Czytaj dalej, ponieważ pokażemy Ci, jak to zrobić.
Przygotowanie do twojego ostatniego wyzwania bezpieczeństwa
Możesz ręcznie kontrolować swoje hasła, ale byłoby to ogromnie nużące i nie zyskałbyś żadnej korzyści z używania dobrego uniwersalnego menedżera haseł.Zamiast ręcznie kontrolować wszystko, przejdziemy na łatwą i w dużej mierze zautomatyzowaną trasę: sprawdzimy nasze hasła, biorąc udział w LastPass Security Challenge.
Ten przewodnik nie obejmuje konfiguracji LastPass, więc jeśli nie masz jeszcze uruchomionego systemu LastPass, zdecydowanie zalecamy jego skonfigurowanie. Aby rozpocząć, zapoznaj się z przewodnikiem HTG Getting Started with LastPass. Chociaż LastPass został zaktualizowany od czasu, gdy napisaliśmy przewodnik( interfejs jest teraz znacznie ładniejszy i lepiej usprawniony), możesz z łatwością wykonywać te kroki. Jeśli konfigurujesz LastPass po raz pierwszy, pamiętaj, aby zaimportować wszystkie swoje zapisane hasła z przeglądarek, ponieważ naszym celem jest kontrola każdego hasła, którego używasz.
Wprowadź każdy login i hasło do LastPass: Niezależnie od tego, czy jesteś nowicjuszem w LastPass, czy nie używasz go w pełni do każdego logowania, teraz jest czas, aby upewnić się, że wprowadziłeś każde logowanie do systemu LastPass. Zamierzamy powtórzyć porady, które otrzymaliśmy w naszym przewodniku odzyskiwania poczty e-mail na temat przeczesywania skrzynki odbiorczej wiadomości e-mail w poszukiwaniu przypomnień:
Wyszukaj w e-mailu przypomnienia o rejestracji. Nie będzie trudno zapamiętać często używane loginy, takie jak Facebook i Twój bank, ale prawdopodobnie istnieją dziesiątki usług nakładkowych, z których możesz nie pamiętać, że logujesz się przy użyciu poczty e-mail. Używaj wyszukiwania słów kluczowych, takich jak "witaj w", "resetuj", "odzyskiwanie", "weryfikuj", "hasło", "nazwa użytkownika", "login", "konto" i ich kombinacji, takich jak "zresetować hasło" lub "zweryfikować konto".Ponownie wiemy, że jest to uciążliwe, ale kiedy już to zrobisz z menedżerem haseł u swojego boku, masz główną listę wszystkich swoich kont i już nigdy nie będziesz musiał robić tego wyszukiwania słów kluczowych.
Włącz uwierzytelnianie dwuskładnikowe na koncie LastPass: Ten krok nie jest absolutnie konieczny do przeprowadzenia audytu bezpieczeństwa, ale gdy mamy twoją uwagę, zrobimy wszystko, co w naszej mocy, aby cię zachęcić, podczas gdy ty będziesz się kręcił wTwoje konto LastPass, aby włączyć uwierzytelnianie dwuskładnikowe w celu dalszego zabezpieczenia skarbca LastPass.(Nie tylko zwiększa to bezpieczeństwo twojego konta, ale także zwiększasz wynik kontroli bezpieczeństwa).
Wykonywanie wyzwania LastPass Security
Po zaimportowaniu wszystkich haseł nadszedł czas, aby przygotować się na wstyd.nie będąc w 1% hardkorowych ninja z hasłem bezpieczeństwa. Odwiedź stronę LastPass Security Challenge i naciśnij "Rozpocznij wyzwanie" u dołu strony. Zostaniesz poproszony o podanie hasła głównego, jak widać na powyższym zrzucie ekranu, a następnie LastPass zaoferuje sprawdzenie, czy któryś z adresów e-mail zawartych w Twoim skarbcu był częścią naruszeń, które wykrył.Nie ma żadnego powodu, aby tego nie wykorzystywać:
Jeśli masz szczęście, zwraca ujemny wynik. Jeśli masz szczęście, pojawi się wyskakujące okienko z pytaniem, czy chcesz uzyskać więcej informacji o naruszeniach, w których uczestniczyła twoja poczta e-mail:
LastPass wyda pojedynczy alert zabezpieczeń dla każdej instancji. Jeśli masz długi adres e-mail, przygotuj się na zszokowanie ilością zajętych haseł. Oto przykład zawiadomienia o naruszeniu haseł:
Po wyskakujących okienek zostaniesz wrzucony do głównego panelu LastPass Security Challenge. Pamiętasz wcześniej w przewodniku, kiedy mówiłem o tym, jak obecnie ćwiczę dobrą higienę haseł, ale nigdy nie doszłam do tego, aby właściwie aktualizować wiele starszych stron i serwisów? To naprawdę pokazuje w otrzymanym wyniku. O:
To jest mój wynik z wymieszanymi losowo liczbami losowymi haseł. Nie bądź zbyt zszokowany, jeśli twój wynik jest jeszcze niższy, jeśli używasz tej samej garści słabych haseł w kółko. Teraz, gdy mamy już swój wynik( choć może to być niesamowite lub wstydliwe), nadszedł czas, aby zagłębić się w dane. Możesz skorzystać z szybkich linków obok swojego wyniku procentowego lub po prostu rozpocząć przewijanie. Pierwszy przystanek, sprawdźmy szczegółowe wyniki. Rozważmy przegląd stanu haseł na 10 000 stóp:
Podczas gdy powinieneś zwrócić uwagę na wszystkie statystyki tutaj, naprawdę ważne są "Średnia siła hasła", jak słabe lub mocne jest twoje średnie hasło, a jeszcze ważniejsze,"Liczba duplikatów haseł" i "Liczba witryn z duplikatami haseł".W wyniku mojej kontroli było 8 duplikatów na 43 stronach. Najwyraźniej byłem dość leniwy, używając tego samego niskiego poziomu hasła na więcej niż kilku stronach.
Następny przystanek, sekcja Analizowane witryny. Tutaj znajdziesz bardzo konkretne rozbicie wszystkich logowań i haseł zorganizowanych przez duplikowanie haseł( jeśli masz duplikaty), unikalne hasła i wreszcie loginy bez hasła zapisanego w LastPass. Podczas przeglądania listy podziwiaj kontrast między mocami haseł.W moim przypadku jedno z moich logowań finansowych uzyskało 45% wyniku hasła, a login mojej córki Minecrafta uzyskał doskonały wynik 100%.Znowu, ouch.
Naprawienie swojego strasznego wyniku testu bezpieczeństwa
W wykazie audytu znajdują się dwa bardzo użyteczne linki. Jeśli klikniesz "POKAŻ", pokaże ci on hasło do tej strony i jeśli klikniesz "Odwiedź stronę", możesz przejść bezpośrednio do strony internetowej, aby zmienić hasło. Nie tylko każde podwójne hasło powinno zostać zmienione, ale każde hasło dołączone do konta, które zostało naruszone( takie jak Adobe.com lub LinkedIn) powinno zostać na stałe wycofane.
W zależności od tego, ile masz kilku haseł( i jak pracowitego przestrzegasz zasad dobrych haseł), ten etap procesu może zająć ci dziesięć minut lub całe popołudnie. Chociaż proces zmiany haseł będzie się różnić w zależności od układu aktualizowanej witryny, poniżej znajdziesz kilka ogólnych wskazówek( na przykład korzystamy z naszej aktualizacji hasła w Zapamiętaj mleko): Odwiedź stronę zmiany hasła. Zazwyczaj musisz podać swoje obecne hasło, a następnie wygenerować nowe hasło.
Zrób to, klikając logo ze strzałką z zamkiem kołowym. LastPass wstawia się do nowego slotu hasła( jak widać na powyższym zrzucie ekranu).Przejrzyj swoje nowe hasło i wprowadź poprawki, jeśli chcesz( np. Wydłuż je lub dodaj znaki specjalne):
Kliknij "Użyj hasła", a następnie potwierdź, że chcesz zaktualizować wpis, który edytujesz:
Upewnij się, że potwierdzasz zmianętakże ze stroną internetową.Powtórz proces dla każdego duplikatu i słabego hasła w skarbcu LastPass.
Ostatnią rzeczą, którą musisz poddać audytowi, jest hasło LastPass Master. Zrób to, klikając link na dole ekranu Wyzwania oznaczony "Sprawdź siłę mojego hasła LastPass Master".Jeśli tego nie widzisz:
Musisz zresetować hasło LastPass Master i zwiększyć siłę, aż otrzymasz pozytywne, pozytywne potwierdzenie 100% siły.
Przeglądanie wyników i dalsze wzmacnianie zabezpieczenia LastPass
Po przerzuceniu listy zduplikowanych haseł, usunięciu starych wpisów oraz w inny sposób uporządkowaniu i zabezpieczeniu listy logowania / hasła, nadszedł czas na ponowne uruchomienie audytu. Teraz, dla podkreślenia, wynik, który widzisz poniżej, został podniesiony wyłącznie poprzez poprawę bezpieczeństwa haseł.(Jeśli włączysz dodatkowe funkcje bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe, otrzymasz zwiększenie o około 10%).
Nieźle! Po usunięciu wszystkich zduplikowanych haseł i podniesieniu wszystkich istniejących haseł do 90% lub więcej, naprawdę poprawiliśmy nasz wynik. Jeśli zastanawiasz się, dlaczego nie przeskoczył do 100%, jest kilka czynników, z których najważniejszym jest to, że niektóre hasła nie mogą zostać zaabsorbowane przez standardy LastPass, ponieważ głupie zasady obowiązująadministratorzy witryny. Na przykład hasło do mojej lokalnej biblioteki to czterocyfrowy kod PIN( który wynosi 4% w skali bezpieczeństwa LastPass).Większość ludzi będzie miała na liście takie wartości odstające, które spowodują spadek wyniku.
W takich przypadkach ważne jest, aby nie zniechęcać się i używać szczegółowego podziału jako metryki:
Podczas procesu aktualizacji hasła usunąłem 17 powielonych / wygasłych witryn, utworzyłem unikatowe hasło dla każdej witryny i usługi, i przyniosłem numerstron z powtarzającymi się hasłami z 43 do 0 w procesie.
Zajęło nam to tylko godzinę poważnie skoncentrowanego czasu( 12,4% z nich spędził przeklinając projektantów stron internetowych, którzy umieszczali linki do aktualizacji haseł w nieznanych miejscach), a wszystko, co potrzebowałem, aby zmotywować mnie do naruszenia haseł o katastrofalnych proporcjach! Robię tu notatkę, ogromny sukces.
Po skontrolowaniu swoich haseł i napompowaniu ich stabilnością unikatowych haseł, wykorzystajmy ten moment. Udoskonal nasz przewodnik, aby uczynić LastPass jeszcze bezpieczniejszym , zwiększając liczbę iteracji hasła, ograniczając logowanie według kraju i nie tylko. Pomiędzy prowadzeniem audytu, który tutaj nakreśliliśmy, postępując zgodnie z naszym przewodnikiem bezpieczeństwa LastPass i włączając algorytmy dwuczynnikowe, otrzymasz kuloodporny system zarządzania hasłami, z którego możesz być dumny.