13Sep
Ak praktikujete laxné spravovanie hesiel a hygienu, je len otázkou času, kým vám niekoho horí jeden z čoraz väčších početných bezpečnostných porúch. Prestaň byť vďačný, že ste sa vyhýbali minulým bezpečnostným streľbám a streľbe proti budúcim.Čítajte ďalej, pretože vám ukážeme, ako overiť vaše heslá a chrániť sa.
Aká je tá veľká dohoda a prečo sa to týka?
V októbri tohto roku spoločnosť Adobe odhalila, že došlo k závažnému narušeniu bezpečnosti, ktoré postihlo 3 milióny používateľov softvéru Adobe.com a Adobe. Potom zrevidovali číslo na 38 miliónov. Potom, ešte viac šokujúco, keď bola z databázy z hackerov uniknutá, výskumníci bezpečnosti, ktorí analyzovali databázu, sa vrátili a povedali, že to je skôr ako 150 miliónov ohrozených užívateľských účtov. Tento stupeň vystavenia používateľov spôsobuje porušenie pravidiel Adobe v prevádzke ako jeden z najhorších narušení bezpečnosti v histórii.
Adobe je však na tomto fronte sotva sám;jednoducho sme otvorili s ich porušením, pretože je to bolestivo nedávno. Len v posledných niekoľkých rokoch sa vyskytli desiatky masívnych narušení bezpečnosti, keď boli ohrozené informácie o používateľoch vrátane hesiel.
LinkedIn bol zasiahnutý v roku 2012( 6,46 milióna užívateľských záznamov bolo ohrozených).V tom istom roku bola eHarmony zasiahnutá( 1,5 milióna užívateľských záznamov), rovnako ako Last.fm( 6,5 milióna užívateľských záznamov) a Yahoo!(450 000 používateľských záznamov).Sieť Sony Playstation bola zasiahnutá v roku 2011( 101 miliónov používateľských záznamov bolo ohrozených).Spoločnosť Gawker Media( materská spoločnosť stránok ako Gizmodo a Lifehacker) bola zasiahnutá v roku 2010( 1,3 milióna užívateľských záznamov bolo ohrozených).A to sú len príklady veľkých porušení, ktoré spravili novinky!
Spoločnosť Privacy Rights Clearinghouse spravuje databázu narušenia bezpečnosti od roku 2005 do súčasnosti. Ich databáza zahŕňa širokú škálu typov porušení: kompromisné kreditné karty, odcudzené čísla sociálneho poistenia, odcudzené heslá a zdravotné záznamy. Databáza od vydania tohto článku pozostáva z 4 033 porušení obsahujúcich 617 937 023 užívateľských záznamov .Nie každá z tých stoviek miliónov porušenia obsahovala používateľské heslá, ale milióny a milióny z nich robili.
Tak prečo na tom záleží?Okrem zjavných a okamžitých bezpečnostných dôsledkov porušenia porušenia spôsobujú škody na druhej strane. Hackeri môžu ihneď začať testovať prihlasovacie údaje a heslá, ktoré zbierajú na iných webových stránkach.Väčšina ľudí je lenivá so svojimi heslami a existuje veľká šanca, že ak by niekto používal [email protected] s heslom bob1979, že rovnaký login / heslo bude fungovať na iných webových stránkach. Ak sú iné webové stránky s vyšším profilom( napríklad bankové stránky alebo ak heslo, ktoré používa spoločnosť Adobe, skutočne odomkne svoju e-mailovú schránku), je tu problém. Keď niekto má prístup k vašej e-mailovej schránke, môže začať obnoviť heslo na iných službách a získať prístup k nim.
Jediný spôsob, ako zastaviť tento druh reťazovej reakcie spôsobiť ešte viac bezpečnostných problémov v rámci siete webových stránok a služieb, ktoré používate, je nasledovať dve základné pravidlá správnej hygieny hesiel:
- Vaše heslo e-mailu by malo byť dlhé, silné a úplneunikátne medzi všetkými vašimi prihlasovaniami.
- Každé prihlásenie do dostane dlhé, silné a jedinečné heslo. Nepoužívajte opakované používanie hesla. Ever.
Tieto dve pravidlá sú únikom z každej bezpečnostnej príručky, ktorú sme s vami predtým zdieľali, vrátane našej núdzovej príručky pre sprievodcu fanúšikom How to Recover After Your Email Password je kompromisné.
Teraz v tomto okamihu ste pravdepodobne trochu vykrvkli, pretože úprimne povedané, takmer nikto nemal perfektne vzduchotesné heslo a bezpečnosť.Nie ste sám, ak chýba Vaša hesla. V skutočnosti je čas na priznanie.
Napísal som desiatky bezpečnostných článkov, príspevkov o porušeniach bezpečnosti a ďalších príspevkov súvisiacich s heslom v priebehu rokov, počas ktorých som bol v How-To Geek. Napriek tomu, že som presne ten druh informovanej osoby, ktorá by mala vedieť lepšie, napriek tomu, že používala správcu hesiel a generovala bezpečné heslá pre každú novú webovú stránku a službu, keď som spustil svoj e-mail prostredníctvom zoznamu ohrozených prihlasovacích údajov služby Adobe a zosúladil ho s kompromitovaným heslom,stále som zistil, že som spálil.
Dostal som ten účet Adobe dávno predtým, keď som bol výrazne viac laxný s heslom hygieny a heslo som používal bežné naprieč desiatky webových stránok a služieb, ktoré som sa zaregistroval predtým, ako som sa veľmi vážne robiťdobré heslá.
Všetko, čo bolo možné zabrániť, keby som plne praktizoval to, čo som kázal, a nielenže som vytvoril jedinečné a silné heslá, ale tiež auditoval moje staré heslá, aby sa zaistila, že sa táto situácia nikdy nestala na prvom mieste. Bez ohľadu na to, či ste sa ani nepokúšali, aby ste boli konzistentní a bezpeční svojimi praxami v oblasti hesiel, alebo stačí ich skontrolovať, aby ste sa utišili, dôkladný audit heslom je cesta k bezpečnosti heslom a pokoja.Čítajte ďalej, ako vám ukážeme, ako.
Príprava na Vašu Lastpass Security Challenge
Môžete manuálne auditovať vaše heslá, ale to by bolo obrovské zdĺhavé a nevyužili by ste žiadne výhody používania dobrého univerzálneho správcu hesiel. Namiesto toho, aby sme manuálne vykonali všetko, urobíme jednoduchú a prevažne automatizovanú trasu: budeme kontrolovať heslá tým, že prijmeme LastPass Security Challenge.
Táto príručka sa netýka nastavenia LastPassu, takže ak ešte nemáte systém LastPass, dôrazne odporúčame nastaviť ho. Ak chcete začať, pozrite sa na Príručku HTG, aby ste mohli začať pracovať s LastPass. Napriek tomu, že spoločnosť LastPass bola aktualizovaná od chvíle, keď sme napísali sprievodcu( rozhranie je oveľa hezšie a lepšie zladené teraz), stále môžete postupovať s krokmi. Ak nastavujete aplikáciu LastPass prvýkrát, nezabudnite importovať všetky uložené heslá z vašich prehliadačov, pretože naším cieľom je vykonať audit každého hesla, ktoré používate.
Zadajte každé prihlasovacie meno a heslo do LastPass: Či už ste úplne nový na LastPass, alebo ste ho úplne nepoužívali pri každom prihlásení, teraz je čas uistiť sa, že ste zadali každé prihlásenie do systému LastPass, Odporúčame vám zopakovať poradie, ktoré sme uviedli v našom sprievodcovi pre obnovu e-mailov, ktorý vám pomohol vyčarovať vašu e-mailovú schránku s pripomienkami:
Vyhľadajte vo svojom e-maile pripomienky pri registrácii. Nebude ťažké si zapamätať svoje často používané prihlasovacie údaje, ako je Facebook a vaša banka, ale je pravdepodobné, že tucty výdavkových služieb, ktoré si možno ani nezabudnete, že používate svoj email na prihlásenie. Použite vyhľadávanie kľúčových slov ako "uvítanie", "reset", "obnovenie", "overiť", "heslo", "používateľské meno", "prihlasovacie meno", "účet",Znova vieme, že ide o problém, ale akonáhle to urobíte s správcom hesiel na vašej strane, máte hlavný zoznam všetkých vašich účtov a nikdy nebudete musieť toto kľúčové slovo znova vykonať.
Povolenie dvojfaktorovej autentifikácie na vašom účte LastPass: Tento krok nie je nevyhnutne potrebný na vykonanie bezpečnostného auditu, ale keď budeme mať vašu pozornosť, budeme robiť všetko, čo je v našich silách, aby sme vás povzbudili,váš LastPass účet, aby ste zapli dvojfaktorovú autentifikáciu, aby ste ďalej ochránili vaňu LastPass.(Zabezpečenie účtu nielen zvyšuje bezpečnosť, ale aj skóre v bezpečnostnom audite sa zvyšuje!)
Vykonanie Challenge LastPass Security
Teraz, keď ste importovali všetky svoje heslá, je na čase, aby ste sa pripravili na hanbuže nie je v 1% tvrdých ninjov na zabezpečenie hesiel. Navštívte stránku LastPass Security Challenge a stlačte "Spustiť výzvu" v spodnej časti stránky. Budete vyzvaní, aby ste zadali svoje hlavné heslo, ako je vidieť na snímke vyššie, a potom spoločnosť LastPass ponúkne, aby skontrolovala, či niektorá z e-mailových adries obsiahnutých vo vašej trezore bola súčasťou porušenia, ktoré sledovala. Neexistuje žiadny dôvod, prečo by ste to nemali využiť:
Ak máte šťastie, vráti sa to negatívne. Ak máte šťastie, dostanete takýto pop-up, ktorý sa pýta, či chcete získať viac informácií o porušeniach, na ktorých sa váš e-mail týka:
LastPass vydá pre každú inštanciu jediné upozornenie. Ak ste dlho mali svoju e-mailovú adresu, buďte pripravení na to, koľko prekrúbení hesiel bolo zapletené. Tu je príklad upozornenia na porušenie hesla:
Po vyskakovacích oknách sa dostanete do hlavného panelu programu LastPass Security Challenge. Pamätajte si skôr v sprievodcovi, keď som hovoril o tom, ako v súčasnosti praktizujem dobrú hygienu hesiel, ale že som sa nikdy nedostal okolo aby som správne aktualizoval veľa starších webových stránok a služieb? To naozaj ukazuje v skóre som dostal. Ouch:
To je moje skóre s rokmi v hodnote náhodné heslá zmiešané palcov Nenechajte sa príliš šokovať, ak vaše skóre je ešte nižšie, ak ste používali rovnaké hŕstka slabých hesiel znova a znova. Teraz, keď máme naše skóre( hoci je to úžasné alebo hanebné, môže to byť), je čas vykopať do údajov. Môžete použiť rýchle prepojenia vedľa vášho percenta skóre alebo len začať rolovanie. Prvá zastávka, poďme sa pozrieť na podrobné výsledky. Zvážte to 10 000 stôp prehľad stavu vašich hesiel:
Aj keď by ste mali venovať pozornosť všetkým štatistikám tu, naozaj dôležité sú "Priemerná hodnota hesla", ako slabé alebo silné vaše priemerné heslo je, a čo je ešte dôležitejšie,"Počet duplicitných hesiel" a "Počet stránok s duplicitnými heslami".Pri príčinách môjho auditu bolo na 43 lokalitách 8 stránok. Samozrejme, že som bol dosť lenivý a používal som to isté nízke heslo na viac ako niekoľkých miestach. Nasledujúca zastávka
v sekcii Analyzované lokality. Tu nájdete veľmi konkrétny rozpis všetkých prihlásení a hesiel usporiadaných duplicitným použitím hesla( ak ste mali duplikáty), unikátnymi heslami a nakoniec prihlásením bez hesla uloženého v LastPasse. Zatiaľ čo sa pozeráte nad zoznamom, obdivujte kontrast medzi silami hesla. V mojom prípade bolo jedno z mojich finančných prihlásení dané 45% skóre hesiel, zatiaľ čo prihlásenie mojej dcéry Minecraft dostalo perfektné 100% skóre. Opäť, ouch.
Stanovenie vášho strašného skóre bezpečnostnej výzvy
Existujú dva veľmi užitočné odkazy postavené priamo do zoznamu auditov. Ak kliknete na položku "SHOW", zobrazí sa vám heslo pre danú lokalitu a kliknutím na tlačidlo "Navštívte stránku" môžete preskočiť priamo na webovú stránku, aby ste mohli zmeniť heslo. Nielenže by sa malo zmeniť každé dvojité heslo, ale každé heslo, ktoré bolo priradené k účtu, ktorý bol porušený( napríklad Adobe.com alebo LinkedIn), by mal byť natrvalo vyradený.
V závislosti od toho, koľko málo alebo málo hesiel máte( a ako dôsledne ste boli o dobrých praxi hesla), tento krok procesu môže trvať desať minút alebo celé popoludnie. Aj keď proces zmeny hesla sa bude líšiť v závislosti od rozloženia stránok, ktoré aktualizujete, je tu niekoľko všeobecných pravidiel, ktoré je potrebné dodržiavať( používame napríklad aktualizáciu hesla v časti Pamätať si mlieko): Navštívte stránku s zmenou hesla, Obvykle budete musieť vložiť svoje aktuálne heslo a potom vygenerovať nové heslo.
Kliknutím na logo s kruhovou šípkou. LastPass sa vloží do nového slotu na heslo( ako je vidieť na snímke obrazovky vyššie).Pozrite sa na nové heslo a vykonajte úpravy, ak si želáte( napríklad predĺženie alebo pridanie špeciálnych znakov):
Kliknite na tlačidlo "Use Password" a potvrďte, že chcete aktualizovať záznam, ktorý upravujete:
Uistite sa, že ste potvrdili zmenus webovou stránkou. Opakujte proces pre každé zdvojené a slabé heslo v vačke LastPass.
Nakoniec posledná vec, ktorú potrebujete na audit, je vaše LastPass Master Password. Urobte tak kliknutím na odkaz v spodnej časti obrazovky Challenge s označením "Otestujte silu môjho LastPass Master Password".Ak to nevidíte:
Musíte obnoviť svoje LastPass Master Password a zvýšiť silu, kým nedostanete príjemné, pozitívne potvrdenie o 100%.
Preskúmanie výsledkov a ďalšie rozšírenie vašej LastPass zabezpečenia
Po prechode cez zoznam duplicitných hesiel, odstránených starých záznamov a inak upratovanie a zabezpečenie vášho zoznamu prihlásení / hesiel, je čas znovu spustiť audit. Teraz, pre dôraz, skóre, ktoré vidíte nižšie, bolo vychované iba zlepšením zabezpečenia hesla.(Ak povolíte ďalšie bezpečnostné funkcie, napríklad multifaktorové overovanie, dostanete zvýšenie o približne 10%).
Nie je to zlé!Po odstránení všetkých duplicitných hesiel a privedení všetkých existujúcich hesiel až o 90% alebo viac, skutočne zlepšilo naše skóre. Ak ste zvedaví, prečo nedošlo k skoku na 100%, existuje niekoľko faktorov, z ktorých najdôležitejšie je, že niektoré heslá nikdy nemôžu byť upútané na šnupanie podľa noriem LastPass kvôli hlúpej politike na miestesprávcovia stránok. Prihlasovacie heslo pre moju miestnu knižnicu je napríklad štvormiestny kolík( ktorý dosahuje 4% v bezpečnostnej stupnici LastPass).Väčšina ľudí bude mať na svojom zozname nejaké oddiely, ktoré budú mať za následok zníženie skóre.
V takýchto prípadoch je dôležité nediskriminovať a používať podrobný rozpis ako metrika:
V procese aktualizácie hesla som prerezal 17 lokalít s duplikátom / vypršal, vytvoril som jedinečné heslo pre každú stránku a službu a priniesol som číslolokalít s duplicitnými heslami zo 43 na 0 v procese.
Trvalo to len asi hodinu vážne zameraného času( 12,4% z nich bolo stráviť prekliatím dizajnérov webových stránok, ktorí dali odkazy na aktualizáciu hesiel v nejasných miestach) a všetko, čo bolo potrebné, aby som sa dostal k motivácii, bolo porušenie hesla katastrofických rozmerov! Urobím tu poznámku, obrovský úspech.
Teraz, keď ste skontrolovali svoje heslá a ste vyčerpaní, že ste mali stabilné unikátne heslá, využite výhodu tohto pokroku. Zatlačte náš sprievodca, aby sa LastPass dokonca bezpečnejšie zvyšovaním počtu hesiel, obmedzením prihlasovania podľa krajiny a ďalšími. Medzi spustením auditu, ktorý sme načrtli tu, po našom bezpečnostnom sprievodcovi LastPass a zapnutím dvojfaktorových algoritmov, budete mať systém na ochranu pred nepriateľmi, na ktorý sa môžete hrdý.