13Sep
Se você está praticando gerenciamento de senha e higiene laxos, é apenas uma questão de tempo até que uma das brechas de segurança em grande escala cada vez maiores queimam você.Pare de agradecer, você esquivou as balas de segurança de segurança do passado e se armou contra as futuras. Leia mais como mostramos como auditar suas senhas e se proteger.
Qual é a grande coisa e por que isso importa?
Em outubro deste ano, a Adobe revelou que houve uma grande violação de segurança que afetou 3 milhões de usuários do software Adobe.com e Adobe. Em seguida, eles revisaram o número para 38 milhões. Então, ainda mais chocante, quando o banco de dados do hack foi vazado, pesquisadores de segurança que analisaram o banco de dados voltaram e disseram que era mais como 150 milhões de contas de usuário comprometidas .Este grau de exposição do usuário coloca a violação da Adobe na corrida como uma das piores violações de segurança no histórico.
Adobe ainda não está sozinho nesta frente;simplesmente abrimos com a sua violação porque é dolorosamente recente. Somente nos últimos anos, houve dúzias de brechas de segurança maciças em que as informações do usuário, incluindo as senhas, foram comprometidas.
LinkedIn foi atingido em 2012( 6.46 milhões de registros de usuários comprometidos).No mesmo ano, a eHarmony foi atingida( 1,5 milhão de registros de usuários), como foi Last.fm( 6,5 milhões de registros de usuários) e Yahoo!(450,000 registros de usuário).A Sony Playstation Network foi atingida em 2011( 101 milhões de registros de usuários comprometidos).A Gawker Media( empresa-mãe de sites como Gizmodo e Lifehacker) foi atingida em 2010( 1,3 milhão de registros de usuários comprometidos).E esses são apenas exemplos de grandes violações que fizeram as novidades!
O Privacy Rights Clearinghouse mantém um banco de dados de violações de segurança de 2005 até o presente. O banco de dados inclui uma ampla gama de tipos de infração: cartões de crédito comprometidos, números de segurança social roubados, senhas roubadas e registros médicos. O banco de dados, a partir da publicação deste artigo, é composto por 4.033 violações contendo 617,937,023 registros de usuário .Nem todas essas centenas de milhões de infracções envolvem senhas de usuários, mas milhões e milhões de pessoas fizeram.
Então, por que isso importa? Além das implicações de segurança óbvias e imediatas de uma violação, as violações criam danos colaterais. Os hackers podem começar imediatamente a testar os logins e as senhas que eles colhem em outros sites.A maioria das pessoas é preguiçosa com suas senhas, e há uma boa chance de que, se alguém usou [email protected] com a senha do bob1979, que o mesmo par de login / senha funcionará em outros sites. Se esses outros sites forem de perfil mais alto( como sites bancários ou se a senha que ele usou na Adobe realmente desbloqueia sua caixa de entrada de e-mail), então há um problema. Uma vez que alguém tenha acesso à sua caixa de entrada de e-mail, eles podem começar a redefinir a senha em outros serviços e obter acesso a eles também.
A única maneira de parar esse tipo de reação em cadeia de causar ainda mais problemas de segurança dentro da rede de sites e serviços que você usa é seguir duas regras cardinais de boa senha de higiene:
- Sua senha de e-mail deve ser longa, forte e completamenteÚnico entre todos os seus logins.
- Cada login obtém uma senha longa, forte e exclusiva. Sem reutilização de senha. Ever.
Essas duas regras são o takeaway de todos os guias de segurança que já compartilhamos com você, incluindo o nosso guia de atendimento de emergência, o que é "hit-the-fan", como se recuperar depois que sua senha de e-mail é comprometida.
Agora, neste momento, você provavelmente está se contorcendo um pouco porque, francamente, quase ninguém possui práticas e segurança de senha perfeitamente hermeticas. Você não está sozinho se a sua falta de higiene por senha. Na verdade, é hora de uma confissão.
Eu escrevi dezenas de artigos de segurança, publicações sobre brechas de segurança e outras postagens relacionadas à senha ao longo dos anos que fiquei no How-To Geek. Apesar de ser precisamente o tipo de pessoa informada que deve conhecer melhor, apesar de usar um gerenciador de senhas e gerar senhas seguras para cada novo site e serviço, quando executei meu e-mail através da lista de logins comprometidos da Adobe e combinado com a senha comprometida, euainda descobriu que eu tinha ficado queimado.
Eu fiz essa conta Adobe há muito tempo, quando eu era significativamente mais relaxado com a minha senha de higiene, e a senha que eu usei era comum em dezenas de de sites e serviços com os quais me inscrevi antes de ser super sério em fazerboas senhas.
Tudo isso poderia ter sido evitado se eu tivesse praticado completamente o que eu preguei e não apenas crie senhas únicas e fortes, mas também auditou minhas antigas senhas para garantir que essa situação nunca acontecesse em primeiro lugar. Se você nunca tentou ser consistente e seguro com suas práticas de senha ou apenas precisa verificar se você se sente à vontade, uma auditoria de senha completa é o caminho para segurança de senha e paz de espírito. Leia mais como mostramos como.
Preparando-se para o seu Passo Passo Desafio de Segurança
Você pode auditar manualmente suas senhas, mas isso seria extremamente tedioso e você não ganharia nenhum dos benefícios de usar um bom gerenciador de senhas universal. Em vez de fazer uma auditoria manual de tudo, iremos tomar a rota fácil e em grande parte automatizada: vamos auditar nossas senhas tomando o LastPass Security Challenge.
Este guia não abrange a configuração do LastPass, por isso, se você ainda não possui um sistema LastPass instalado e funcionando, recomendamos encorajá-lo a configurar um. Confira o Guia HTG para começar com o LastPass para começar. Embora o LastPass tenha atualizado desde que escrevemos o guia( a interface é muito mais bonita e melhor simplificada agora), você ainda pode seguir os passos com facilidade. Se você estiver configurando o LastPass pela primeira vez, certifique-se de importar todas suas senhas armazenadas de seus navegadores, pois nosso objetivo é auditar cada senha que você está usando.
Digite todos os login e senhas no LastPass: Se você é novo para o LastPass ou não o está usando completamente para cada login, agora é o momento para se certificar de que você digitou todo login no sistema LastPass. Nós vamos fazer eco do conselho que damos no nosso guia de recuperação de e-mail para combater sua caixa de entrada de e-mail para lembretes:
Pesquise seu e-mail para lembretes de registro. Não será difícil lembrar de seus logins usados com freqüência como o Facebook e o seu banco, mas há dezenas de serviços de superação que nem sequer lembra que você usa seu e-mail para fazer login. Utilize pesquisas com palavras-chave como "bem-vindo", "redefinir", "recuperação", "verificar", "senha", "nome de usuário", "login", "conta" e combinações de como "redefinir senha" ou "verificar conta".Mais uma vez, sabemos que isso é um incômodo, mas uma vez que você fez isso com um gerenciador de senhas ao seu lado, você tem uma lista principal de toda a sua conta e você nunca terá que fazer essa busca de palavras-chave novamente.
Habilite a autenticação de dois fatores em sua conta do LastPass: Esta etapa não é estritamente necessária para realizar a auditoria de segurança, mas enquanto nós temos a sua atenção, faremos tudo o que pudermos para encorajá-lo, enquanto você está atrapalhandosua conta do LastPass, para ativar a autenticação de dois fatores para proteger ainda mais seu cofre do LastPass.(Além disso, aumenta a segurança da sua conta, você também aumentará sua pontuação de auditoria de segurança)!
Como tomar o desafio de segurança do LastPass
Agora que você importou todas as suas senhas, é hora de se preparar para a vergonhade não estar no 1% dos ninjas de segurança de senha hardcore. Visite a página LastPass Security Challenge e pressione "Iniciar o desafio" na parte inferior da página. Você será solicitado a inserir sua senha mestra, conforme visto na captura de tela acima e, em seguida, a LastPass irá oferecer para verificar se algum dos endereços de e-mail contidos em seu cofre fazia parte de quaisquer violações que ele tenha rastreado. Não há boas razões para não tirar vantagem disso:
Se você tiver sorte, ele retorna um negativo. Se você tiver sorte, você obtém um pop-up como este perguntando se você quer mais informações sobre as violações em que seu e-mail estava envolvido:
LastPass emitirá um único alerta de segurança para cada instância. Se você teve o seu endereço de e-mail por um longo período de tempo, esteja preparado para ficar chocado com as brechas de senha em que foi incorporado. Aqui está um exemplo de aviso de violação de senha:
Após os pop-ups, você será despejado no painel principal do LastPass Security Challenge. Lembre-se mais cedo no guia quando eu falei sobre como eu atualmente pratico boa higiene por senha, mas que eu nunca consegui atualizar corretamente muitos sites e serviços mais antigos? Isso realmente mostra na pontuação que recebi. Ouch:
Essa é a minha pontuação com os anos de palavras-chave aleatórias misturadas. Não fique muito chocado se sua pontuação for ainda menor se você estiver usando o mesmo punhado de senhas fracas uma e outra vez. Agora que temos nossa pontuação( por mais impressionante ou vergonhoso que seja), é hora de cavar os dados. Você pode usar os links rápidos ao lado de sua porcentagem de pontuação ou simplesmente começar a rolagem. Primeiro, vejamos os resultados detalhados. Considere isso uma visão geral de 10.000 pontos sobre o estado das suas senhas:
Enquanto você deve prestar atenção a todas as estatísticas aqui, os realmente importantes são "A força da senha média", quão fraca ou forte é sua senha média e, ainda mais importante,"Número de senhas duplicadas" e "Número de sites com senhas duplicadas".Na causa da minha auditoria, houve 8 dupes em 43 sites. Claramente, eu tinha sido muito preguiçoso reutilizando a mesma senha de baixa qualidade em mais de alguns sites.
Próxima parada, seção de Sites analisados. Aqui você encontrará uma quebra muito concreta de todos os seus logins e senhas organizados por uso de senha duplicada( se você tivesse duplicatas), senhas únicas e, finalmente, logins sem uma senha armazenada no LastPass. Enquanto você está olhando sobre a lista, admire o contraste entre os pontos fortes da senha. No meu caso, um dos meus logins financeiros recebeu uma conta de senha de 45%, enquanto o login Minecraft da minha filha recebeu uma pontuação perfeita de 100%.Mais uma vez, ouch.
Fixing Your Terrible Security Challenge Score
Existem dois links muito úteis construídos diretamente nas listas de auditoria. Se você clicar em "MOSTRAR", você mostrará a senha desse site e se você clicar em "Visitar o site", pode pular diretamente para o site para que você possa alterar a senha. Não deve ser mudada nenhuma senha duplicada, mas qualquer senha anexada a uma conta que tenha sido violada( como Adobe.com ou LinkedIn) deve ser retirada permanentemente.
Dependendo de quantas ou poucas senhas você tenha( e quão diligente tenha sido sobre boas práticas de senha), esta etapa do processo pode demorar dez minutos ou toda a tarde. Embora o processo de alteração de suas senhas variará de acordo com o layout do site que você está atualizando, aqui estão algumas diretrizes gerais a serem seguidas( estamos usando nossa atualização de senha em Remember the Milk como exemplo): visite a página de alteração de senha. Normalmente, você precisará inserir sua senha atual e, em seguida, gerar uma nova senha.
Faça isso clicando no logotipo de seta com seta circular. LastPass insere o novo slot de senha( como visto na captura de tela acima).Veja a sua nova senha e faça ajustes se desejar( como alongar ou adicionar caracteres especiais):
Clique em "Usar Senha" e depois confirme que deseja atualizar a entrada que você está editando:
Certifique-se de confirmar a alteraçãocom o site também. Repita o processo para cada senha duplicada e fraca no seu cofre do LastPass.
Finalmente, a última coisa que você precisa para auditar é a senha do LastPass Master. Faça isso clicando no link na parte inferior da tela Desafio rotulado como "Testar a força da Minha Senha Principal do LastPass".Se você não vê isso:
Você precisa redefinir sua Senha do LastPass Master e aumentar a força até receber uma confirmação positiva, positiva, de 100%.
Pesquisando os resultados e aprimorando ainda mais a sua segurança do LastPass
Depois de deslizar a lista de senhas duplicadas, excluir entradas antigas e, de outra forma, arrumar e proteger sua lista de login / senha, é hora de executar a auditoria novamente. Agora, para a ênfase, o resultado que você vê abaixo foi criado apenas pela melhoria da segurança por senha.(Se você habilitar recursos de segurança adicionais, como autenticação multi-fator, você receberá um aumento de cerca de 10%).
Não está mal! Depois de eliminar cada senha duplicada e trazendo todas as senhas existentes até 90% ou melhor, ele realmente melhorou nossa pontuação. Se você está curioso por que não saltou para 100%, há alguns fatores em jogo, o mais proeminente é que algumas senhas nunca podem ser criadas para o tabagismo pelos padrões LastPass por causa de políticas tolas no lugar peloadministradores de sites. Por exemplo, a senha de login da minha biblioteca local é um pino de quatro dígitos( que marca 4% na escala de segurança LastPass).A maioria das pessoas terá algum tipo de outliers como esse em sua lista e isso vai arrastar a pontuação para baixo.
Nesses casos, é importante não se desanimar e usar sua detalhada desagregação como métrica:
No processo de atualização de senha, eliminei 17 sites duplicados / expirados, criei uma senha exclusiva para cada site e serviço e trouxe o númerode sites com senhas duplicadas de 43 para 0 no processo.
Só demorou cerca de uma hora de tempo seriamente focado( 12,4% dos quais foi gasto amaldiçoando designers de sites que colocam links de atualização de senha em lugares obscuros), e tudo o que demorou para me motivar foi uma violação de senha de proporções catastróficas! Estou fazendo uma nota aqui, enorme sucesso.
Agora que você auditou suas senhas e você é bombeado sobre ter um estábulo de senhas únicas, aproveitamos esse impulso imediato. Acrescente nosso guia para tornar o LastPass mesmo mais seguro, aumentando as iterações de senha, restringindo os logins por país e muito mais. Entre executar a auditoria que descrevemos aqui, seguindo nosso guia de segurança do LastPass e ativando os algoritmos de dois fatores, você terá um sistema de gerenciamento de senhas à prova de balas de que você pode se orgulhar.
