Kako pokrenuti sigurnosnu provjeru zadnjeg prolaza (i zašto ne može čekati)
Ako prakticirate opušteno upravljanje lozinkama i higijenu, samo je pitanje vremena kada će vas jedna od sve brojnijih kršenja sigurnosti u velikoj mjeri zapaliti. Prestanite biti zahvalni što ste izbjegavali metke prošlih sigurnosnih krajeva i oklopili se protiv budućih. Pročitajte kako ćemo vam pokazati kako provjeriti vaše lozinke i zaštititi se.
Što je velika stvar i zašto je to važno??
U listopadu ove godine, Adobe je otkrio da je došlo do velikog kršenja sigurnosti na 3 milijuna korisnika Adobe.com i Adobe softvera. Tada su revidirali broj na 38 milijuna. Onda, još više šokantno, kada je procurila baza podataka iz haka, sigurnosni istraživači koji su analizirali bazu podataka vratili su se i rekli da je to više slično 150 milijuna ugroženi korisnički računi. Ovaj stupanj izlaganja korisnika postavlja Adobeov proboj kao jedan od najgorih sigurnosnih povreda u povijesti.
Međutim, Adobe nije jedina sama na ovom polju; jednostavno smo se otvorili s njihovim kršenjem jer je to bolno nedavno. Samo u posljednjih nekoliko godina došlo je do desetaka masovnih povreda sigurnosti gdje su ugrožene informacije o korisnicima, uključujući i lozinke.
LinkedIn je pogođen 2012. godine (kompromitirano je 6,46 milijuna korisničkih zapisa). Iste godine, eHarmony je pogođen (1,5 milijuna korisničkih zapisa) kao što je bio Last.fm (6,5 milijuna korisničkih zapisa) i Yahoo! (450.000 korisničkih zapisa). Sony Playstation Network je pogođen u 2011. (101 milijun korisničkih zapisa je ugrožen). Gawker Media (matično poduzeće kao što su Gizmodo i Lifehacker) pogodio je 2010. (1,3 milijuna korisnika kompromitirano). A to su samo primjeri velikih kršenja koja su donijela tu vijest!
Clearinghouse o pravima na privatnost održava bazu podataka o kršenjima sigurnosti od 2005. do danas. Njihova baza podataka uključuje širok raspon vrsta kršenja: kompromitirane kreditne kartice, ukradeni brojevi socijalnog osiguranja, ukradene lozinke i medicinski zapisi. Baza podataka, od objavljivanja ovog članka, sastoji se od 4,033 kršenja koji sadrži 617.937.023 korisničkih zapisa. Nije svaki od tih stotina milijuna kršenja uključivao korisničke lozinke, ali milijuni na milijune ih je učinilo.
Zašto je onda važno? Osim očitih i neposrednih sigurnosnih implikacija kršenja, kršenja stvaraju kolateralne štete. Hakeri mogu odmah početi testirati prijave i lozinke koje prikupljaju na drugim web stranicama.
Većina ljudi je lijen sa svojim lozinkama, i postoji velika vjerojatnost da će netko koristiti [email protected] s lozinkom bob1979 da će isti par za prijavu / lozinku raditi na drugim web stranicama. Ako su te druge web stranice višeg profila (kao što su bankarske stranice ili ako je lozinka koju je koristio u Adobeu zapravo otključao svoju pristiglu poštu), onda postoji problem. Kada netko ima pristup vašoj pristigloj pošti, može početi resetirati zaporku na drugim uslugama i dobiti pristup njima.
Jedini način da se zaustavi ova vrsta lančane reakcije od uzrokovanja još više sigurnosnih problema u mreži web-lokacija i usluga koje koristite jest slijediti dva temeljna pravila dobre higijene zaporki:
- Vaša lozinka za e-poštu mora biti duga, snažna i potpuno jedinstvena među svim vašim prijavama.
- Svaki prijava dobiva dugu, jaku i jedinstvenu lozinku. Nema ponovne uporabe zaporke. Ikad.
Ta dva pravila su poticaji iz svakog vodiča za sigurnost koje smo ikada dijelili s vama, uključujući i naš vodič za hitne slučajeve..
Sada, u ovom trenutku, vi se vjerojatno malo zgrcite jer, iskreno, gotovo nitko nema savršeno nepropusne prakse i sigurnost zaporki. Niste sami ako vam nedostaje higijena zaporke. Zapravo, vrijeme je za ispovijed.
Napisao sam desetke sigurnosnih članaka, postove o kršenjima sigurnosti i druge članke povezane s lozinkom tijekom godina koje sam proveo u How-To Geek-u. Unatoč tome što je upravo onakva informirana osoba koja bi trebala znati bolje, unatoč korištenju upravitelja zaporki i generiranju sigurnih zaporki za svaku novu web-lokaciju i uslugu, kad sam pokrenuo svoju e-poštu putem popisa kompromitiranih Adobeovih prijava i uskladio je s ugroženom zaporkom, još uvijek saznao da sam izgorio.
Napravio sam taj račun tvrtke Adobe davno kada sam bio znatno slabiji s higijenom zaporke, a zaporka koju sam upotrijebila bila je uobičajena pojava desetine web-mjesta i usluga s kojima sam se prijavila prije nego što sam postala ozbiljna oko dobrih lozinki.
Sve to se moglo spriječiti da sam u potpunosti prakticirao ono što sam propovijedao, a ne samo stvorio jedinstvene i jake lozinke, ali također revidirao moje stare lozinke kako bi se osiguralo da se ova situacija uopće nije dogodila. Bez obzira jeste li ikada pokušali biti dosljedni i sigurni s praksom lozinki ili ih jednostavno trebate provjeriti kako biste se opustili, temeljita revizija lozinke put je sigurnosti i lozinke. Čitajte dalje dok vam pokazujemo kako.
Priprema za vaš Lastpass sigurnosni izazov
Možete ručno pregledati svoje lozinke, ali to bi bilo iznimno zamorno i ne biste stekli nikakve prednosti korištenja dobrog univerzalnog upravitelja zaporki. Umjesto da sve ručno provjeravamo, krenut ćemo jednostavnom i u velikoj mjeri automatiziranom rutom: pregledat ćemo naše zaporke preuzimanjem LastPass sigurnosnog izazova.
Ovaj vodič ne pokriva postavljanje LastPass-a, tako da ako već nemate pokrenut sustav LastPass, preporučujemo vam da ga postavite. Provjerite HTG Vodič za početak rada s LastPassom da biste započeli. Iako je LastPass ažuriran od kada smo napisali vodič (sučelje je sada mnogo ljepše i bolje uređeno), još uvijek možete lako slijediti korake. Ako LastPass postavljate prvi put, obavezno ga uvezite svi pohranjenih zaporki iz preglednika jer je naš cilj revizija svake lozinke koju koristite.
Unesite svaku prijavu i zaporku u LastPass: Bez obzira jeste li potpuno novi u programu LastPass ili ga niste u potpunosti koristili za svaku prijavu, sada je vrijeme da provjerite jeste li unijeli svaki prijavite se u sustav LastPass. Ponovit ćemo savjete koje smo dali u našem vodiču za oporavak e-pošte za češljanje pristigle pošte za podsjetnike:
Pretražite e-poštu za podsjetnike za registraciju. Neće vam biti teško zapamtiti često korištene prijave kao što su Facebook i vaša banka, ali vjerojatno postoji nekoliko desetaka usluga koje možda nećete ni zapamtiti da koristite svoju e-poštu za prijavu. Upotrijebite pretraživanja ključnih riječi kao što su "dobrodošli", "ponovno", "oporavak", "potvrdi", "zaporka", "korisničko ime", "prijava", "račun" i njihove kombinacije poput "poništite zaporku" ili "potvrdi račun" , Opet, znamo da je to gnjavaža, ali kada to učinite s upraviteljem zaporki, imate glavni popis svog računa i više nikada nećete morati ponovno raditi ovu ključnu riječ..
Omogućite autentifikaciju u dva faktora na svom LastPass računu: Ovaj korak nije strogo potreban za obavljanje sigurnosne revizije, ali dok imamo vašu pažnju, učinit ćemo sve što možemo kako bismo vas potaknuli da, dok se mučite na svom LastPass računu, uključite autentifikaciju u dva faktora na dodatno osigurajte svoj trezor LastPass. (Ne samo da povećava sigurnost vašeg računa, već ćete dobiti i dodatnu ocjenu za reviziju sigurnosti!)
Uzimajući LastPass sigurnosni izazov
Sada kada ste uvezli sve svoje zaporke, vrijeme je da se pripremite za sramotu zbog toga što niste u 1% hardcore sigurnosnih nindža za lozinke. Posjetite stranicu LastPass Security Challenge i pritisnite “Start the Challenge” na dnu stranice. Od vas će se tražiti da unesete svoju glavnu lozinku, kao što se vidi na slici iznad, a onda će LastPass ponuditi da provjeri jesu li bilo koja od adresa e-pošte sadržane u vašem trezoru dio bilo kakvih kršenja koja je pratila. Nema dobrog razloga da ne iskoristite ovo:
Ako imate sreće, vraća negativ. Ako imate sreće, pojavljuje se skočni prozor s upitom želite li više informacija o kršenjima vaše e-pošte:
LastPass će izdati jedno sigurnosno upozorenje za svaku instancu. Ako ste već dugo vremena imali svoju adresu e-pošte, budite spremni biti šokirani koliko je zapetljanih lozinki zapetljano. Evo primjera obavijesti o kršenju zaporke:
Nakon pop-up prozora, bit ćete bačeni u glavni panel LastPass sigurnosnog izazova. Sjetite se ranije u priručniku kad sam govorio o tome kako trenutno prakticiram dobru higijenu zaporki, ali da nikad nisam zaokružio ispravno ažuriranje mnogo starijih web-mjesta i usluga? To se stvarno pokazuje u ocjeni koju sam dobio. Joj:
To je moj rezultat s godinama u kojima se miješaju slučajne lozinke. Nemojte se previše šokirati ako je vaš rezultat još niži ako koristite istu nekolicinu slabih lozinki iznova i iznova. Sada kada imamo rezultat (koliko god da je to sjajan ili sramotan), vrijeme je da se upišemo u podatke. Možete koristiti brze veze uz postotak rezultata ili jednostavno početi pomicati. Prvo se zaustavi, pogledajmo detaljne rezultate. Razmislite o ovom pregledu stanja vaših zaporki od 10.000 stopa:
Iako biste trebali obratiti pažnju na sve statistike ovdje, zaista su važne "Prosječna snaga lozinke", koliko je slaba ili snažna vaša prosječna lozinka i, što je još važnije, "Broj dvostrukih lozinki" i "Broj web-lokacija koje imaju duple lozinke" ”. U vezi s mojom revizijom, bilo je 8 slučajeva u 43 lokacije. Očito sam bio prilično lijeno ponovno koristiti istu lošu lozinku na više mjesta.
Sljedeća postaja, odjeljak Analizirana mjesta. Ovdje ćete naći vrlo konkretnu analizu svih vaših prijava i lozinki organiziranih pomoću dvostruke lozinke (ako ste imali duplikate), jedinstvene lozinke i, na kraju, prijave bez lozinke pohranjene u LastPassu. Dok pregledavate popis, divite se kontrastu između jakih lozinki. U mom slučaju, jedan od mojih financijskih prijava dobio je 45% zaporke za zaporku, dok je Minecraftovoj prijavi moje kćeri dodijeljen savršen rezultat od 100%. Opet, jao.
Učvršćivanje vaše strašne ocjene sigurnosti
Postoje dvije vrlo korisne veze koje su ugrađene u popise revizija. Ako kliknete "PRIKAŽI", pokazat će vam se lozinka za tu stranicu i ako kliknete "Posjeti web-lokaciju" možete skočiti desno na web-stranicu kako biste mogli promijeniti zaporku. Ne samo da treba mijenjati svaku dvostruku zaporku, nego i svaku zaporku koja je pridružena računu koji je prekršen (kao što je Adobe.com ili LinkedIn) trajno povući.
Ovisno o tome koliko ili koliko lozinki imate (i koliko ste marljivo radili o dobroj praksi lozinki), ovaj korak u procesu može vam potrajati deset minuta ili cijelo poslijepodne. Iako će se postupak izmjene zaporki razlikovati ovisno o izgledu web-lokacije koju ažurirate, evo nekih općih smjernica koje slijedite (primjerice, koristimo ažuriranje zaporke na adresi Remember the Milk): posjetite stranicu za promjenu zaporke , Obično ćete morati unijeti svoju trenutnu zaporku, a zatim generirati novu zaporku.
Učinite to klikom na logotip strelice s kružnim strelicama. LastPass ubacuje u novi slot za lozinku (kao što se vidi na slici iznad). Pregledajte svoju novu zaporku i prilagodite je ako želite (kao što je produljenje ili dodavanje posebnih znakova):
Kliknite "Koristi lozinku", a zatim potvrdite da želite ažurirati unos koji uređujete:
Svakako potvrdite promjenu i na web-lokaciji. Ponovite postupak za svaku duplikat i slabu lozinku u trezoru LastPass.
Konačno, zadnja stvar koju trebate provjeriti je vaša LastPass Master lozinka. Učinite to klikom na vezu na dnu zaslona Izazov s oznakom "Testirajte snagu moje LastPass glavne lozinke". Ako to ne vidite:
Morate resetirati svoju LastPass glavnu lozinku i povećati snagu dok ne dobijete lijepu, pozitivnu, 100% potvrdu snage.
Pregled rezultata i daljnje poboljšanje vaše sigurnosti LastPass
Nakon što ste prošli kroz popis dupliranih lozinki, izbrisanih starih unosa i na drugi način uredili i osigurali svoj popis za prijavu / lozinku, vrijeme je da ponovno pokrenete reviziju. Sada, za naglasak, rezultat koji vidite u nastavku prikazan je isključivo poboljšanjem sigurnosti zaporke. (Ako omogućite dodatne sigurnosne značajke, kao što je provjera autentičnosti u više čimbenika, dobit ćete povećanje od oko 10%).
Nije loše! Nakon uklanjanja svake dvostruke zaporke i dovođenja svih postojećih lozinki do 90% snage ili bolje, to je stvarno poboljšalo naš rezultat. Ako ste znatiželjni zašto nije skočio na 100%, postoji nekoliko čimbenika u igri, od kojih je najistaknutiji to što se neke lozinke nikada ne mogu odgurnuti od strane LastPass standarda zbog blesavih politika administratori web-lokacije. Na primjer, zaporka za prijavu u mojoj lokalnoj knjižnici je četveroznamenkasti PIN (koji daje ocjenu 4% na sigurnosnoj skali LastPass). Većina ljudi će imati neki vrsta outliers kao što je to u svom popisu i da će povući njihove rezultat dolje.
U takvim slučajevima važno je da se ne obeshrabrujete i da koristite detaljnu raščlambu kao mjerni podatak:
U procesu ažuriranja zaporke sam smanjio / la 17 dupliciranih / isteklih web-lokacija, izradio jedinstvenu zaporku za svaku web-lokaciju i uslugu te smanjio broj web-lokacija s dvostrukim zaporkama s 43 na 0 u procesu.
Trebalo je samo sat vremena ozbiljno usredotočenog vremena (od čega je 12,4% potrošeno na psovke dizajnera web stranica koji stavljaju linkove za ažuriranje lozinki u nejasna mjesta), a sve što je bilo potrebno da me motiviraju bila je povreda lozinke katastrofalnih razmjera! Zapisujem ovdje, veliki uspjeh.
Sada kada ste revidirali svoje zaporke i pumpaju vas da imate stabilnu jedinstvenu lozinku, iskoristimo taj napredni zamah. Udari naš vodič za stvaranje LastPassa čak sigurnije povećanjem broja ponavljanja lozinki, ograničavanjem prijave prema zemlji i više. Između pokretanja revizije koju smo ovdje opisali, nakon našeg sigurnosnog vodiča LastPass i uključivanja algoritama s dva faktora, imat ćete sustav za upravljanje neprobojnim zaporkama na koji možete biti ponosni.