13Sep
Če se ukvarjate z lažnim upravljanjem gesel in higieno, je samo vprašanje časa, dokler vas ne opeče ena od številnejših varnostnih kršitev. Nehaj hvaležni, da ste izognili preteklosti varnostnih napadov in se oklepali pred prihodnjimi. Preberite si, ko vam pokažemo, kako preveriti gesla in se zaščititi.
Kaj je velik posel in zakaj je to stvar?
Oktobra letos je Adobe razkril, da je prišlo do večje kršitve varnosti, ki je prizadela 3 milijone uporabnikov programske opreme Adobe.com in Adobe. Nato so število spremenili na 38 milijonov. Potem, še bolj šokantno, ko je bila baza podatkov iz krampja puščana, so varnostni raziskovalci, ki so analizirali bazo podatkov, vrnili in rekli, da je bilo več kot 150 milijonov računov z računalniškim računom .Ta stopnja izpostavljenosti uporabnika postavlja kršitev Adobe v zagon kot eno najhujših kršitev varnosti v zgodovini.
Adobe je komaj sama na tem področju, vendar;smo preprosto odprli s svojo kršitvijo, ker je to bolno nedavno. Samo v zadnjih nekaj letih je bilo na desetine ogromnih kršitev varnosti, kjer so bile informacije o uporabnikih, vključno z gesli, ogrožene.
LinkedIn je bil v letu 2012 prizadet( 6,46 milijona uporabniških zapisov je ogroženo).Istega leta je bil eHarmony zadet( 1,5 milijona uporabniških zapisov), kot je bil Last.fm( 6,5 milijona uporabniških zapisov) in Yahoo!(450.000 uporabniških zapisov).Sony Playstation Network je bil v letu 2011 prizadet( 101 milijon uporabniških zapisov je ogroženo).Gawker Media( matična družba spletnih mest, kot so Gizmodo in Lifehacker) je bila prizadeta leta 2010( 1,3 milijona uporabniških zapisov so ogrožene).In to so le primeri velikih kršitev, ki so objavljale novice!
Clearinghouse za varovanje zasebnosti vzdržuje bazo podatkov o kršitvah varnosti od leta 2005 do danes. Njihova zbirka podatkov vsebuje širok nabor vrst kršitev: ogrožene kreditne kartice, ukradene številke socialnega zavarovanja, ukradena gesla in zdravstveni zapisi. Podatkovna baza je od objave tega člena sestavljena iz 4,033 kršitev , ki vsebujejo 617.937.023 uporabniških zapisov .Vsak od teh sto milijonov kršitev ni vključeval uporabniških gesel, ampak milijone milijonov jih je storilo.
Torej, zakaj je to pomembno? Poleg očitnih in takojšnjih varnostnih posledic kršitve, kršitve povzročajo škodo, ki jo povzroči. Hekerji lahko takoj začnejo preizkušati prijave in gesla, ki jih pospravljajo na drugih spletnih mestih.Večina ljudi je lahka z gesli in obstaja velika verjetnost, da če bi kdor [email protected] uporabil z geslom bob1979, bo isti par uporabniških gesel deloval tudi na drugih spletnih mestih.Če so te druge spletne strani višji( npr. Bančne strani ali če geslo, ki ga je uporabil pri Adobeu, dejansko odklene e-poštni nabiralnik), potem obstaja težava. Ko ima nekdo dostop do e-poštnega nabiralnika, lahko začne ponastaviti geslo tudi drugim službam in pridobiti dostop do njih.
Edini način za prenehanje takšne verižne reakcije, da bi povzročili še več varnostnih težav v omrežju spletnih mest in storitev, ki jih uporabljate, je slediti dvema glavnima praviloma dobre higiene gesel:
- Vaše e-poštno geslo mora biti dolgo, močno in v celotiedinstven med vsemi vašimi prijavami.
- Vsaka prijava dobi dolgo, močno in edinstveno geslo. Ponovna uporaba gesla. Ever.
Ta dva pravilnika sta odlomek iz vsakega varnostnega priročnika, ki smo ga kdaj dali v skupno rabo z vami, vključno z našim hitrim vodičem, ki ga ima-hit-the-fan Kako obnoviti, potem ko je e-poštno geslo ogroženo.
Zdaj na tej točki, verjetno se malo potegujete, ker je, odkrito, komaj kdo popolnoma opremil z geslom in varnostjo. Nisi sam, če vaša higiena gesla ni. Pravzaprav je čas za priznanje.
Napisal sem več deset varnostnih člankov, objav o kršitvah varnosti in drugih delovnih mest, povezanih z geslom, v letih, ko sem bila na How-To Geeku. Kljub temu, da je ravno takšna obveščena oseba, ki bi morala vedeti bolje, kljub uporabi upravitelja gesel in ustvarjanju varnih gesel za vsako novo spletno mesto in storitev, ko sem zagnal svojo e-pošto s seznama ogroženih prijav Adobe in se ujemal z ogroženim geslom, semŠe vedno sem ugotovila, da sem zgorela.
Na računu Adobe sem že dolgo naredil, ko sem bil z mojo higieno gesla precej lažji in geslo, ki sem ga uporabilo, je bilo običajno na ducah spletnih mest in storitev, s katerimi sem se prijavil, preden sem se zelo resno lotil izdelavedobra gesla.
Vse to bi lahko preprečili, če bi v celoti vadil, kar sem prejel, in ne samo ustvaril edinstvena in močna gesla, ampak tudi revidiral moja starega gesla, da bi zagotovil, da se taka situacija nikoli ni zgodila. Ne glede na to, ali se nikoli niste poskušali držati dosledno in varno s svojimi postopki gesla, ali pa jih morate samo preveriti, da bi se olajšali, temeljita revizija gesel je pot do varnosti gesla in miru. Beri naprej, ko vam pokažemo, kako.
Priprava na svoj zadanski varnostni izziv
Lahko bi ročno revidirali vaša gesla, vendar bi to bilo izjemno dolgočasno in ne bi imeli nobene koristi od dobrega univerzalnega upravitelja gesel. Namesto ročnega pregleda vseh, bomo naredili preprosto in pretežno avtomatizirano pot: preverili bomo gesla tako, da bomo izvedli LastPass Security Challenge.
Ta vodnik ne bo zajemal nastavitve LastPassa, zato, če še nimate sistema LastPass in ga izvajate, vam zelo priporočamo, da ga nastavite.Če želite začeti, si oglejte vodič HTG za začetek z LastPass.Čeprav je LastPass posodobljen odkar smo napisali vodnik( vmesnik je veliko lepši in bolj racionalen zdaj), lahko še vedno sledite korakom z lahkoto.Če prvič nastavljate LastPass, poskrbite, da bo uvozil vse shranjenih gesel iz brskalnikov, saj je naš cilj revidirati vsako geslo, ki ga uporabljate.
Vnesite vsako prijavo in geslo v LastPass: Ali ste popolnoma novi v LastPassu ali ga niste v celoti uporabili za vsako prijavo, zdaj je čas, da se prepričate, da ste v sistem LastPass vnesli vsako prijavo. Oddali bomo nasvete, ki smo jih navedli v našem priročniku za obnovitev e-pošte, da bi združili svojo e-poštno nabiralnik za opomnike:
Poiščite svoje e-poštno sporočilo za opomnike o registraciji. Ne bo težko zapomniti vaših pogosto uporabljenih prijav, kot sta Facebook in vaša banka, vendar je verjetno na voljo več deset storitvenih storitev, za katere se morda sploh ne spomnite, da uporabljate svojo e-pošto za prijavo. Uporabite iskalne poizvedbe ključnih besed, kot so »dobrodošli«, »ponastavitev«, »obnovitev«, »preveri«, »geslo«, »uporabniško ime«, »prijavni račun«, »račun« in podobne kombinacije, kot so »geslo za ponastavitev« ali »preveri račun«.Spet vemo, da je to težava, vendar ko ste to storili z upraviteljem gesel na vaši strani, imate glavni seznam vseh vaših računov in tega ne boste nikoli več mogli narediti za lov s ključnimi besedami.
V svojem računu LastPass omogočite dvofaktorno preverjanje pristnosti: Ta korak ni nujno potreben za izvedbo revizije varnosti, vendar pa, ko smo pozorni na to, bomo storili vse, kar je v naši moči, da vas spodbujamo, medtem ko se bostesvoj LastPass račun, da vklopite dvostopenjsko preverjanje pristnosti, da dodatno zaščitite svoj LastPass trezor.(Ne samo, da povečuje varnost vašega računa, temveč vam bo tudi povrnil varnostni rezultat!)
Vzpostavljanje LastPass varnostnega izziva
Zdaj, ko ste uvozili vsa gesla, je čas, da se pripravite na sramotoda ne bi bili v 1% hardcore varnostnih gesel ninjas. Obiščite stran LastPass Security Challenge in pritisnite »Začni izziv« na dnu strani. Pozvani boste, da vnesete svoje glavno geslo, kot je prikazano na zgornji sliki, nato LastPass bo ponudil, da preveri, ali so bili kateri koli e-poštni naslovi v vašem trezorju del kršitev, ki jih je sledil. Ni razloga, da ne izkoristite tega:
Če imate srečo, se vrne negativen.Če imate srečo, dobite takšno pojavno okno, če želite več informacij o kršitvah, na katerih je vaše e-poštno sporočilo sodelovalo:
LastPass bo izdal eno varnostno opozorilo za vsak primer.Če ste že dolgo imeli e-poštni naslov, bodite pripravljeni biti pretreseni glede tega, koliko kršitev gesla je bilo zapleteno. Tukaj je primer obvestila o kršitvi gesla:
Po pojavnih oknih vas bodo odložili v glavno ploščo LastPass Security Challenge. Spomnite se prej v priročniku, ko sem govoril o tem, kako trenutno opravljam dobro higieno gesel, ampak da se nisem nikoli obrnil, da bi pravilno posodobil veliko starejših spletnih mest in storitev? Resnično kaže na rezultat, ki sem ga prejela. Ouch:
To je moj rezultat z letnimi vrednostmi naključnih gesel. Ne bodite preveč pretreseni, če je vaš rezultat še nižji, če uporabljate enako peščico šibkih gesel znova in znova. Zdaj, ko imamo naš rezultat( karkoli super ali sramotno je to), je čas, da kopamo v podatke. Hitro povezave lahko uporabite poleg odstotka rezultatov ali pa začnete pomikati. Prva postaja, poglejmo podrobne rezultate. Razmislite o pregledu stanja vaših gesel na 10.000 metrov:
Medtem, ko bi morali biti pozorni na vse statistične podatke tukaj, so res pomembne: "Povprečna moč gesla", kako šibko ali močno je vaše povprečno geslo in še pomembneje,"Število podvojenih gesel" in "Število mest s podvojenimi gesli".Za mojo revizijo je bilo na 43 spletnih mestih 8 glasov. Očitno sem bil precej lenast ponovitev istega gesla na več kot nekaj mestih.
Naslednja zaustavitev, razdelek Analiziranih spletnih mest. Tukaj najdete zelo konkreten razčlenitev vseh vaših prijav in gesel, ki jih organizira podvojena uporaba gesla( če ste imeli dvojnika), edinstvena gesla in na koncu prijave brez gesla, shranjenega v LastPassu. Medtem ko iščete preko seznama, se čudite na kontrast med močjo gesla. V mojem primeru je bil pri enem od mojih finančnih prijav vpisan 45-odstotni geslo, medtem ko je bila prijava moje hčerke Minecraft odlično ocenjena na 100%.Spet, ouch.
Popravljanje vašega grozljivega varnostnega izziva
V seznam revizij sta vgrajeni dve zelo koristni povezavi.Če kliknete »SHOW«, vam bo pokazal geslo za to spletno stran in če kliknete »Obišči spletno mesto«, lahko skočite desno na spletno mesto, tako da lahko spremenite geslo. Ne sme se spremeniti zgolj vsakega podvojenega gesla, vendar je treba geslo, ki je bilo priloženo računu, ki je bilo kršeno( npr. Adobe.com ali LinkedIn), trajno upokojiti.
Glede na to, koliko imate ali imate nekaj gesel( in kako skrbno ste bili o dobrih praksah gesla), lahko ta korak postopka traja deset minut ali celo popoldne.Čeprav se postopek spreminjanja gesel razlikuje glede na postavitev spletnega mesta, ki ga posodabljate, tukaj je nekaj splošnih smernic, ki jih je treba upoštevati( z uporabo naše geselne posodobitve na temo »Remember the Milk«): obiščite stran za spremembo gesla. Običajno boste morali vnesti trenutno geslo in nato ustvariti novo geslo.
To storite tako, da kliknete logotip za zaklepanje s krožno puščico. LastPass se vstavi v novo geslo( kot je prikazano na zgornji sliki).Preglejte novo geslo in prilagodite, če želite( kot je podaljšanje ali dodajanje posebnih znakov):
Kliknite »Uporabi geslo« in nato potrdite, da želite posodobiti vnos, ki ga urejate:
Poskrbite, da boste potrdili spremembotudi s spletno stranjo. Postopek ponovite za vsako podvojeno in šibko geslo v vaši LastPass trezorju.
Nazadnje, zadnja stvar, ki jo potrebujete za revizijo, je vaše LastPass Master Password. Naredite to tako, da kliknete povezavo na dnu zaslona Challenge z oznako »Preizkusite moč mojega LastPass Master Password«.Če tega ne vidite:
Ponastaviti morate LastPass Master Password in povečati moč, dokler ne dobite lepega in pozitivnega potrdila s 100% trdnostjo.
Pregledovanje rezultatov in nadaljnje izboljšanje vaše LastPass varnost
Ko ste preložili na seznam podvojenih gesel, izbrisali stare vnose in drugače izbrisali in zavarovali svoj seznam za prijavo / geslo, je čas za ponovno izvajanje revizije. Zdaj, za poudarek, je bil rezultat, ki ga vidite spodaj, vzgojen izključno z izboljšanjem varnosti gesla.(Če omogočite dodatne varnostne funkcije, na primer večstopenjsko preverjanje pristnosti, boste prejeli povečanje za približno 10%).
Ni slabo! Po odstranitvi vsakega podvojenega gesla in vnosa vseh obstoječih gesel do 90% moči ali boljšega, je res izboljšal naš rezultat.Če ste radovedni, zakaj ni skočil na 100%, je v igri nekaj dejavnikov, od katerih je najpomembnejše, da po lastnih LastPassovih standardih ne morejo nikoli več prenesti nobenih gesel zaradi neumnosti politik, ki jih izvajaskrbniki spletnega mesta. Na primer, geslo za prijavo moje lokalne knjižnice je štirimestni čip( ki na lestvici varnosti LastPass doseže 4%).Večina ljudi bo na njihovem seznamu imela kakšne vrste izlivov, ki bodo povlekli svoj rezultat navzdol.
V takih primerih je pomembno, da se ne motite in uporabite svojo podrobno razčlenitev kot meritev:
V procesu ažuriranja gesla sem obrezal 17 podvojenih / poteklih spletnih mest, ustvaril edinstveno geslo za vsako spletno mesto in storitev ter dodal številkomest s podvojenimi gesli s 43 na 0 v postopku.
Vzel je le približno eno uro resno osredotočenega časa( 12,4% je bilo preganjanih oblikovalci spletnih strani, ki so povezali gesla za posodobitev na nejasnih mestih), in vse, kar sem potreboval, da bi me motivirali, je bila kršitev gesla katastrofalnih razmerij! Tukaj zapišem, velik uspeh.
Zdaj, ko ste revidirali gesla in ste črpali, da imate stabilno geslo, izkoristimo ta napredni zagon. Prikažite naš vodnik, da bi LastPass tudi postal bolj varen, tako da povečate iteracije gesel, omejite prijave po državah in še več.Med izvajanjem revizije, ki smo jo tukaj opisali, sledimo našemu varnostnemu vodiču LastPass in obračamo dvofaktorne algoritme, boste imeli sistem za upravljanje gesel, na katerega se lahko ponašate.