13Sep
Dacă practicați gestionarea greșită a parolelor și igiena, este doar o chestiune de timp până când vă va arde una dintre cele mai multe încălcări de securitate pe scară largă.Opriți-vă să vă mulțumiți că ați evitat gloanțele anterioare de încălcare a securității și armura împotriva celor viitoare. Citiți mai departe pe măsură ce vă vom arăta cum să vă controlați parolele și să vă protejați.
Care este Dealul Mare și de ce are această problemă?
În luna octombrie a acestui an, Adobe a arătat că a avut loc o încălcare majoră a securității care a afectat 3 milioane de utilizatori ai software-ului Adobe.com și Adobe. Apoi au revizuit numărul la 38 milioane. Apoi, chiar mai șocant, atunci când baza de date din hack a fost scurgeri, cercetătorii de securitate care au analizat baza de date s-au întors și au spus că este mai mult ca 150 milioane conturi de utilizator compromis. Acest grad de expunere a utilizatorilor încalcă Adobe în exploatare ca una dintre cele mai grave încălcări ale securității din istorie.
Cu toate acestea, Adobe nu este singur în această privință;am deschis pur și simplu cu încălcarea lor pentru că este dureros de recent. Numai în ultimii ani au existat zeci de încălcări masive ale securității, în care informațiile despre utilizatori, inclusiv parolele, au fost compromise.
LinkedIn a fost lovit în 2012( 6,46 milioane de înregistrări de utilizatori compromise).In acelasi an, eHarmony a fost lovita( 1,5 milioane de inregistrari), asa cum a fost Last.fm( 6,5 milioane de inregistrari de utilizatori) si Yahoo!(450.000 de înregistrări ale utilizatorilor).Rețeaua Sony Playstation a fost lovită în 2011( 101 milioane de înregistrări de utilizatori compromise).Gawker Media( compania mamă a unor site-uri precum Gizmodo și Lifehacker) a fost lovită în 2010( 1,3 milioane de înregistrări de utilizatori compromise).Și acestea sunt doar exemple de încălcări mari care au făcut știrile!
Compania de protecție a drepturilor de confidențialitate menține o bază de date privind încălcările securității din 2005 până în prezent. Baza de date include o gamă largă de tipuri de încălcări: carduri de credit compromise, numere de securitate socială furate, parole furate și înregistrări medicale. Baza de date, de la publicarea acestui articol, este compusă din 4,033 încălcări care conțin 617,937,023 înregistrări utilizator .Nu fiecare dintre aceste sute de milioane de încălcări a implicat parole de utilizator, dar milioane și milioane au făcut-o.
De ce contează?În afară de implicațiile evidente și imediate legate de securitate ale unei încălcări, încălcările creează daune colaterale. Hackerii pot începe imediat testarea autentificărilor și a parolelor pe care le recoltează la alte site-uri Web.Majoritatea oamenilor sunt leneși cu parolele lor și există șanse mari ca dacă cineva a folosit [email protected] cu parola bob1979, aceeași pereche de login / parolă va funcționa și pe alte site-uri Web. Dacă celelalte site-uri web au un profil mai mare( cum ar fi site-urile bancare sau dacă parola pe care a folosit-o la Adobe deblochează efectiv mesajele primite), atunci există o problemă.Odată ce cineva are acces la mesajele de poștă electronică ale poștei dvs. de poștă electronică, ei pot începe să reseta parola pe alte servicii și să aibă acces la ele.
Singura modalitate de a opri acest tip de reacție în lanț de la provocarea unor probleme de securitate chiar mai mult în rețeaua de site-uri Web și servicii pe care le folosiți este să urmați două reguli cardinale de igienă a parolei bune:
- Parola dvs. de e-mail trebuie să fie lungă, puternică și completunic printre toate datele de conectare.
- Fiecare intrare obține o parolă lungă, puternică și unică.Nu reutilizați parola. Ever.
Aceste două reguli sunt oportună de la orice ghid de securitate pe care l-am împărtășit vreodată cu dvs., inclusiv ghidul nostru de urgență-a-a-lovit-fan-ul Cum se recuperează după parola dvs. de e-mail este compromisă.
Acum, în acest moment, esti, probabil, scrânge un pic, deoarece, sincer, cu greu, nimeni nu are practicile perfect paranteze și securitatea parolei. Nu sunteți singuri dacă lipsa parolei de igienă.De fapt, este timpul pentru o mărturisire.
Am scris zeci de articole de securitate, postări despre încălcări ale securității și alte mesaje legate de parole pe parcursul anilor în care am fost la How-To Geek.În ciuda faptului că este tocmai tipul de persoană informată care ar trebui să știe mai bine, în ciuda faptului că a folosit un manager de parole și a generat parole securizate pentru fiecare site și serviciu nou, atunci când am rulat e-mailurile prin lista de conectări Adobe compromise și l-am comparat cu parola compromisătotuși am aflat că am fost ars.
Am făcut acel cont Adobe cu mult timp în urmă când eram mult mai relaxat cu igiena parolei, iar parola pe care am folosit-o era comună între zeci de site-uri și servicii pe care le-am semnat înainte de a-mi face super-serios despreparole bune.
Toate acestea ar fi putut fi împiedicate dacă aș fi practicat pe deplin ceea ce am predicat și nu am creat doar parole unice și puternice, dar , de asemenea, mi-a auditat vechile parole pentru a se asigura că această situație nu sa întâmplat niciodată în primul rând. Indiferent dacă nu ați încercat niciodată să fiți consecvenți și siguri cu practicile dvs. de parolă sau trebuie doar să le verificați pentru a vă ușura, un audit detaliat al parolei este calea către securitatea parolei și liniștea minții. Citiți mai departe pe măsură ce vă vom arăta cum.
Pregătirea pentru provocarea dvs. de securitate ulterioară
Aveți posibilitatea să vă controlați manual parolele, dar acest lucru ar fi extrem de obositor și nu veți obține niciunul dintre beneficiile utilizării unui bun manager de parole universal.În loc de a controla manual totul, vom trece pe ruta ușoară și în mare măsură automată: vom verifica parolele noastre luând LastPass Security Challenge.
Acest ghid nu va acoperi instalarea aplicației LastPass, deci dacă nu aveți deja un sistem LastPass activat, vă încurajăm cu tărie să setați unul. Consultați Ghidul HTG pentru a începe cu LastPass pentru a începe. Deși LastPass sa actualizat de când am scris ghidul( interfața este mult mai frumoasă și mai bine raționalizată acum), puteți continua cu ușurință pașii. Dacă configurați LastPass pentru prima dată, asigurați-vă că ați importat toate parolele stocate din browserele dvs., deoarece scopul nostru este de a verifica fiecare parolă pe care o utilizați.
Introduceți toate datele de conectare și parola în LastPass: Fie că sunteți recent la LastPass, fie că nu l-ați utilizat pe deplin pentru fiecare autentificare, acum este momentul să vă asigurați că ați introdus fiecare login în sistemul LastPass. Vom răspunde la sfaturile pe care le-am oferit în ghidul nostru de recuperare a e-mailurilor pentru a vă alinia mesajele primite pentru mementouri:
Căutați e-mailurile pentru memento-urile de înregistrare. Nu va fi greu să vă amintiți datele dvs. de conectare utilizate frecvent, cum ar fi Facebook și banca dvs., dar este posibil ca zeci de servicii de expediere să nu vă amintiți nici măcar că utilizați adresa dvs. de e-mail pentru a vă conecta. Utilizați căutările de cuvinte cheie, cum ar fi "bun venit la", "resetare", "recuperare", "verificare", "parolă", "nume de utilizator", "conectare".Din nou, știm că este o greșeală, dar odată ce ați făcut acest lucru cu un manager de parole alături de dvs., aveți o listă principală a întregului dvs. cont și nu veți mai trebui niciodată să faceți acest vânătoi de cuvinte cheie din nou.
Activați autentificarea cu două factori pe contul dvs. LastPass: Acest pas nu este strict necesar pentru efectuarea auditului de securitate, dar în timp ce avem atenția dvs. vom face tot ce putem pentru a vă încuraja, Contul dvs. LastPass, pentru a activa autentificarea cu două factori pentru a vă asigura ulterior seiful LastPass.(Nu numai că mărește securitatea contului dvs., veți obține un impuls și în scorul dvs. de securitate!)
Luând Provocarea de securitate LastPass
Acum că ați importat toate parolele dvs., este timpul să vă faceți griji pentru rușinede a nu fi în 1% din hardcore parola de securitate ninja. Vizitați pagina LastPass Security Challenge și apăsați "Start the Challenge" din partea de jos a paginii. Veți fi invitat să introduceți parola principală, așa cum se vede în captura de ecran de mai sus, iar apoi LastPass va oferi pentru a verifica dacă oricare dintre adresele de e-mail conținute în seiful dvs. au făcut parte din orice încălcare pe care a urmărit-o. Nu există motive întemeiate să nu profitați de acest lucru:
Dacă aveți noroc, acesta revine negativ. Dacă aveți noroc, veți obține un pop-up ca acesta, dacă vă doriți mai multe informații despre încălcările la care v-a fost implicat e-mailul:
LastPass va emite o singură alertă de securitate pentru fiecare instanță.Dacă ați avut adresa dvs. de e-mail pentru o lungă perioadă de timp, fiți pregătiți să fiți șocați de numărul de încălcări ale parolei în care a fost încurcat. Iată un exemplu de avertizare privind încălcarea parolei:
După ferestrele pop-up, vei fi aruncat în panoul principal al LastPass Security Challenge. Amintiți-vă mai devreme în ghid atunci când am vorbit despre modul în care am practică în prezent o igienă bună a parolei, dar că nu am reușit niciodată să actualizez în mod corespunzător o mulțime de site-uri Web vechi și servicii? Este într-adevăr arată în scorul am primit. Ouch:
Acesta este scorul meu cu anii în valoare de parole aleatoare amestecate inch Nu fi prea șocat dacă scorul dvs. este chiar mai mic dacă ați fost folosind aceeași mână de parole slabe de peste si peste din nou. Acum, că avem scorul nostru( oricât de minunat sau de rușinos ar putea fi), este timpul să sapă în date. Aveți posibilitatea să utilizați link-urile rapide lângă procentajul dvs. de scor sau doar să începeți derularea. Prima oprire, să vedem rezultatele detaliate. Luați în considerare o prezentare generală a stării parolelor dvs. de 10.000 de picioare:
În timp ce ar trebui să acordați atenție tuturor statisticilor de aici, cele foarte importante sunt "puterea medie a parolei", cât de slabă sau puternică este parola medie și,"Numărul de parole duplicate" și "Numărul de site-uri care au parole duplicate".În cauza auditului meu, au existat 8 dupes în 43 site-uri.În mod evident, am fost destul de leneș reutilizând aceeași parolă de nivel scăzut pe mai multe site-uri.
Următoarea oprire, secțiunea Site-uri analizate. Aici găsiți o descompunere foarte concretă a tuturor logărilor și parolelor organizate de utilizarea parolei duplicate( dacă ați avut copii), parole unice și, în sfârșit, logare fără o parolă stocată în LastPass.În timp ce te uiți peste listă, minunează contrastul dintre puterile parolei.În cazul meu, una dintre conturile mele financiare a primit un Scor de parolă de 45%, în timp ce datele logice ale fiicei mele Minecraft au dat un scor perfect de 100%.Din nou, ouch.
Rezolvarea Scorului teribil de provocare a securității
Există două linkuri foarte utile construite chiar în listele de audit. Dacă faceți clic pe "SHOW", vă va afișa parola pentru site-ul respectiv și dacă dați clic pe "Vizitați site-ul", puteți să sarăți direct pe site-ul web pentru a putea schimba parola. Nu numai că fiecare parolă duplicată ar trebui modificată, dar orice parolă care a fost atașată unui cont care a fost încălcată( cum ar fi Adobe.com sau LinkedIn) ar trebui să fie retrasă definitiv.
În funcție de numărul parolelor pe care le aveți( și de cât de sârguincioși ați fost în legătură cu practicile de parole bune), acest pas al procesului ar putea să vă ducă zece minute sau întreaga după-amiază.Deși procesul de schimbare a parolelor dvs. va varia în funcție de aspectul site-ului pe care îl actualizați, iată câteva reguli generale pe care trebuie să le urmați( folosim actualizarea parolei din Rețineți laptele ca exemplu): accesați pagina de schimbare a parolei.În mod normal, va trebui să introduceți parola actuală și apoi să generați o nouă parolă.
Faceți acest lucru făcând clic pe sigla de blocare cu săgeată circulară.LastPass se inserează în slotul pentru noua parolă( așa cum se vede în captura de ecran de mai sus).Priviți noua parolă și efectuați ajustări dacă doriți( cum ar fi prelungirea ei sau adăugarea de caractere speciale):
Faceți clic pe "Use Password" și apoi confirmați că doriți să actualizați înregistrarea pe care o editați:
Asigurați-vă că ați confirmat modificareacu site-ul de asemenea. Repetați procesul pentru fiecare parolă dublă și slabă din seiful dvs. LastPass.
În cele din urmă, ultimul lucru pe care trebuie să îl faceți este parola dvs. Master LastPass. Faceți acest lucru făcând clic pe link-ul din partea de jos a ecranului Challenge, numit "Testați puterea parolei Master LastPass".Dacă nu vedeți acest lucru:
Trebuie să resetați parola Master LastPass Master și să măriți puterea până când primiți o confirmare plăcută, de 100%.
Urmărirea rezultatelor și îmbunătățirea ulterioară a securității dvs. LastPass
După ce ați accesat lista de parole duplicate, s-au șters intrările vechi și, în alt mod, ați editat și ați securizat lista de login / parolă, este timpul să efectuați din nou auditul. Acum, pentru accent, scorul pe care îl vedeți mai jos a fost crescut doar prin îmbunătățirea securității parolei.(Dacă activați funcții de securitate suplimentare, cum ar fi autentificarea cu mai mulți factori, veți primi un impuls de aproximativ 10%).
Nu-i rău! După eliminarea tuturor parolelor duplicate și aducerea tuturor parolelor existente cu până la 90% sau mai mult, sa îmbunătățit într-adevăr scorul nostru. Dacă sunteți curios de ce nu a ajuns la 100%, există câțiva factori, dintre care cele mai proeminente sunt faptul că unele parole nu pot fi niciodată aduse la îndoială de standardele LastPass din cauza politicilor prostești în vigoare de cătreadministratorii site-ului. De exemplu, parola de conectare a bibliotecii mele locale este un cod PIN de patru cifre( care înregistrează un scor de 4% pe scara de securitate LastPass).Cei mai multi oameni vor avea un fel de outliers ca in lista lor si care va trage scorul lor in jos.
În astfel de cazuri, este important să nu vă descurajați și să utilizați defalcarea detaliată ca metrică:
În procesul de actualizare a parolei am desființat 17 site-uri duplicat / expirat, am creat o parolă unică pentru fiecare site și serviciu și am adus numărulde site-uri cu parole duplicate de la 43 la 0 în proces.
A fost nevoie de aproximativ o oră de timp serios focalizat( 12,4% din care au fost cheltuite designerii site-urilor care au pus legăturile de actualizare a parolei în locuri obscure) și tot ce mi-a fost motivat a fost o încălcare a parolei de proporții catastrofale! Fac o notă aici, un succes imens.
Acum că v-ați auditat parolele și ați fost pompați că aveți un set de parole unice, să profităm de acest impuls înainte. Implicați-ne pe ghidul nostru de a face mai sigur LastPass chiar și prin creșterea iterațiilor parolei, restricționarea datelor de conectare pe țări și multe altele.Între desfășurarea auditului pe care l-am subliniat aici, urmând ghidul nostru de securitate LastPass și pornirea algoritmilor cu două factori, veți avea un sistem de gestionare a parolelor care vă poate fi mândru.