Hvordan kjøre en siste pass Security Audit (og hvorfor det ikke kan vente)
Hvis du praktiserer laks passordbehandling og hygiene, er det bare et spørsmål om tid til en av de stadig flere omfattende sikkerhetsbruddene brenner deg. Slutt å være takknemlig du dodged fortiden sikkerheten bryter kuler og rustning deg selv mot fremtiden. Les videre når vi viser deg hvordan du kontrollerer passordene dine og beskytter deg selv.
Hva er Big Deal og hvorfor gjør dette?
I oktober i år avslørte Adobe at det hadde vært et stort sikkerhetsbrudd som rammet 3 millioner brukere av Adobe.com og Adobe-programvare. Da endret de tallet til 38 millioner. Så, enda mer sjokkerende, da databasen fra hacken ble lekket, kom sikkerhetsforskere som analyserte databasen tilbake, og sa at det var mer som 150 millioner kompromitterte brukerkontoer. Denne graden av brukereksponering setter Adobe-brudd i løp som en av de verste sikkerhetsbruddene i historien.
Adobe er imidlertid nesten ikke alene på denne fronten; vi åpnet ganske enkelt med deres brudd fordi det er smertefullt nylig. I de siste årene alene har det vært dusinvis av massive sikkerhetsbrudd der brukerinformasjon, inkludert passord, er blitt kompromittert.
LinkedIn ble truffet i 2012 (6.46 millioner brukerrekorder kompromittert). Samme år ble eHarmony truffet (1,5 millioner brukeroppføringer) som var Last.fm (6,5 millioner brukerrekord) og Yahoo! (450 000 brukerregistre). Sony Playstation Network ble truffet i 2011 (101 millioner brukerrekorder kompromittert). Gawker Media (morselskapet til nettsteder som Gizmodo og Lifehacker) ble rammet i 2010 (1,3 millioner brukerrekorder kompromittert). Og det er bare eksempler på store brudd som gjorde nyheten!
Privacy Rights Clearinghouse opprettholder en database med sikkerhetsbrudd fra 2005 til i dag. Databasen inneholder et bredt spekter av bruddstyper: kompromitterte kredittkort, stjålet personnummer, stjålne passord og medisinske poster. Databasen, etter offentliggjøring av denne artikkelen, består av 4.033 brudd inneholder 617.937.023 brukerregistre. Ikke alle de hundrevis av millioner av brudd involvert brukerpassord, men millioner av millioner gjorde det.
Så hvorfor betyr det noe? Bortsett fra de åpenbare og umiddelbare sikkerhetsimplikasjonene av et brudd, oppstår bruddene på sikkerhetsskade. Hackerne kan umiddelbart begynne å teste loggene og passordene de høster på andre nettsteder.
De fleste er lat med passordene sine, og det er en god sjanse for at hvis noen brukte [email protected] med passordet bob1979, vil det samme login / passordsparet fungere på andre nettsider. Hvis de andre nettstedene er høyere profil (som banknettsteder, eller hvis passordet han brukte på Adobe, låser opp e-postboksen sin), så er det et problem. Når noen har tilgang til din e-postboks, kan de begynne å tilbakestille passordet på andre tjenester og få tilgang til dem også.
Den eneste måten å stoppe denne typen kjedereaksjon fra å forårsake enda flere sikkerhetsproblemer i nettverket av nettsteder og tjenester du bruker, er å følge to kardinalregler for god passordhygiene:
- E-postpassordet ditt skal være lenge, sterkt og helt unikt blant alle dine pålogginger.
- Hver login får et langt, sterkt og unikt passord. Ingen passord gjenbruk. Noensinne.
Disse to reglene er takeaway fra alle sikkerhetsveiledningene vi noen gang har delt med deg, inkludert vår nødsituasjon, det har fått hit-the-fan-guiden Hvordan gjenopprette etter at passordet ditt er kompromittert.
Nå på dette punktet er du sannsynligvis litt små, fordi det er ærlig, nesten ingen som har perfekt lufttett passordspraksis og sikkerhet. Du er ikke alene hvis ditt passord hygiene mangler. Faktisk er det tid for en bekjennelse.
Jeg har skrevet dusinvis av sikkerhetsartikler, innlegg om sikkerhetsbrudd og andre passordrelaterte innlegg gjennom årene jeg har vært på How-To Geek. Til tross for at jeg nettopp er den typen informert person som burde vite bedre, til tross for å bruke en passordbehandling og genererer sikre passord for hver ny nettside og tjeneste, da jeg kjørte e-posten min via listen over kompromitterte Adobe-pålogginger og matchet det mot det kompromitterte passordet, fortsatt funnet ut at jeg hadde blitt brent.
Jeg laget den Adobe-kontoen for lenge siden da jeg var betydelig mer laks med passordhygiene, og passordet jeg brukte var vanlig på tvers av dusinvis av nettsteder og tjenester som jeg hadde registrert meg med før jeg ble fortrolig med å lage gode passord.
Alt dette kunne ha blitt forhindret hvis jeg hadde fullt utøvd det jeg forkynte og ikke bare opprettet unike og sterke passord, men også reviderte mine gamle passord for å sikre at denne situasjonen aldri skjedde i utgangspunktet. Enten du aldri har forsøkt å være konsekvent og sikker med passordpraksis, eller du bare må sjekke dem for å sette deg rolig, er en grundig passordrevisjon veien til passordsikkerhet og trygghet. Les videre som vi viser deg hvordan.
Forbereder for din Lastpass Security Utfordring
Du kan manuelt kontrollere passordene dine, men det ville være enormt kjedelig, og du ville ikke få noen fordeler ved å bruke en god universell passordbehandling. I stedet for å manuelt revisere alt, skal vi ta den enkle og stort sett automatiserte ruten: Vi skal revidere passordene våre ved å ta LastPass Security Challenge.
Denne veiledningen vil ikke dekke oppsett av LastPass, så hvis du ikke allerede har LastPass-systemet oppe, anbefaler vi deg sterkt å sette opp en. Sjekk ut HTG-guiden for å komme i gang med LastPass for å komme i gang. Selv om LastPass har oppdatert siden vi skrev veiledningen (grensesnittet er mye finere og bedre strømlinjeformet nå), kan du fortsatt følge trinnene med letthet. Hvis du setter opp LastPass for første gang, må du sørge for å importere alle De lagrede passordene dine fra nettleserne dine, som vårt mål er å revidere hvert enkelt passord du bruker.
Skriv inn alle innlogginger og passord til LastPass: Enten du er helt ny til LastPass, eller du ikke har brukt det fullt ut for hver pålogging, er det nå på tide å forsikre deg om at du har skrevet inn hver logg inn i LastPass-systemet. Vi kommer til å ekko de rådene vi ga i vår e-postgjenopprettingshjelp for å kammere din e-postboks for påminnelser:
Søk på e-posten din for registrering påminnelser. Det blir ikke vanskelig å huske dine ofte brukte pålogginger som Facebook og banken din, men det er sannsynligvis dusinvis av tjenester som du kanskje ikke engang husker at du bruker e-posten din til å logge på. Bruk søkeordssøk som "velkommen til", "tilbakestill", "gjenoppretting", "bekreft", "passord", "brukernavn", "innlogging", "konto" og kombinasjoner der som "tilbakestill passord" eller "bekreft konto" . Igjen, vi vet at dette er et problem, men når du har gjort dette med en passordbehandling på din side, har du en hovedliste over hele kontoen din, og du må aldri gjøre dette søkeordjaktet igjen.
Aktiver tofaktorautentisering på LastPass-kontoen din: Dette trinnet er ikke strengt nødvendig for å utføre sikkerhetsrevisjonen, men mens vi har oppmerksomhet, skal vi gjøre alt vi kan for å oppmuntre deg, mens du går rundt i LastPass-kontoen din, for å slå på tofaktorautentisering til Videre sikre din LastPass hvelv. (Ikke bare øker det kontosikkerheten din, du får et løft i sikkerhetsrevisjonen din også!)
Å ta LastPass Security Challenge
Nå som du har importert alle passordene dine, er det på tide å skamme deg selv for å skamme deg for ikke å være i 1% av hardcore passord sikkerhetsninja. Gå til LastPass Security Challenge-siden og trykk på "Start utfordringen" nederst på siden. Du blir bedt om å skrive inn ditt hovedpassord, som vist på skjermbildet ovenfor, og LastPass vil da tilby å sjekke om noen av e-postadressene i hvelvet din var en del av eventuelle brudd det har spilt. Det er ingen god grunn til ikke å dra nytte av dette:
Hvis du er heldig, returnerer den en negativ. Hvis du er heldig, får du en popup som denne, spør hvis du vil ha mer informasjon om bruddene, var e-posten din involvert i:
LastPass vil utstede et enkelt sikkerhetsvarsel for hver forekomst. Hvis du har hatt e-postadressen din i lang tid, vær forberedt på å være sjokkert over hvor mange passordbrudd det har blitt sammenfalt i. Her er et eksempel på et passordbruddvarsel:
Etter popup-vinduene blir du dumpet til hovedpanelet i LastPass Security Challenge. Husk tidligere i veiledningen når jeg snakket om hvordan jeg praktiserer god passordhygiene, men det hadde jeg aldri fått til å ordentlig oppdatere mange eldre nettsteder og tjenester? Det viser virkelig i poengsummen jeg mottok. Au:
Det er min score med år verdt av tilfeldige passord blandet inn. Ikke vær for sjokkert hvis poengsummen din er enda lavere hvis du har brukt de samme håndfullene av svake passord om og om igjen. Nå som vi har vår poengsum (imidlertid fantastisk eller skammelig, kan det være), det er på tide å grave inn i dataene. Du kan bruke hurtigkoblingene ved siden av poengsummen din, eller bare begynne å rulle. Første stopp, la oss sjekke ut de detaljerte resultatene. Vurder dette som en 10.000 fot oversikt over tilstanden til passordene dine:
Mens du bør være oppmerksom på all statistikken her, er de virkelig viktige "Gjennomsnittlig passordstyrke", hvor svak eller sterk er ditt gjennomsnittlige passord, og enda viktigere, "Antall duplikatpassord" og "Antall nettsteder som har dupliserte passord ”. For årsaken til mitt revisjon var det 8 dupes på tvers av 43 sider. Klart hadde jeg vært ganske lat å gjenbruke det samme lavverdige passordet på mer enn noen få nettsteder.
Neste stopp, delen Analyserte områder. Her finner du en veldig konkret nedbrytning av alle dine pålogginger og passord organisert av duplikat bruk av passord (hvis du hadde duplikater), unike passord, og til slutt logger inn uten passord lagret i LastPass. Mens du ser over listen, kan du beundre kontrasten mellom passordstyrker. I mitt tilfelle fikk en av mine økonomiske innlogginger et 45% passordresultat, mens datteren min Minecraft logg inn ble gitt en perfekt 100% score. Igjen, ouch.
Feste din forferdelige sikkerhetsutfordringspoeng
Det er to veldig nyttige lenker bygget rett inn i revisjonsoppføringene. Hvis du klikker på "SHOW", vil det vise deg passordet for dette nettstedet, og hvis du klikker på "Visit Site", kan du hoppe rett til nettsiden, slik at du kan endre passordet. Ikke bare bør hvert duplikat passord endres, men et passord som ble koblet til en konto som ble overtrådt (som Adobe.com eller LinkedIn), bør alltid bli pensjonert.
Avhengig av hvor mange eller få passord du har (og hvor flink du har vært om god passord praksis), kan dette trinnet i prosessen ta deg ti minutter eller hele ettermiddagen. Selv om prosessen med å endre passordene dine vil variere basert på oppsettet på nettstedet du oppdaterer, er det noen generelle retningslinjer som følger med (vi bruker vår passordoppdatering på Remember the Milk som et eksempel): Gå til endringssiden for passord . Vanligvis må du skrive inn ditt nåværende passord og deretter generere et nytt passord.
Gjør det ved å klikke på lås-med-sirkulær-pil-logoen. LastPass legger inn i det nye passordsporet (sett på skjermbildet ovenfor). Se over ditt nye passord og foreta justeringer hvis du ønsker det (for eksempel å forlenge det eller legge til i spesialtegn):
Klikk på "Bruk passord" og bekreft at du vil oppdatere oppføringen du redigerer:
Sørg for å bekrefte endringen med nettstedet også. Gjenta prosessen for hvert duplikat og svakt passord i LastPass-hvelvet.
Endelig er det siste du trenger å revidere LastPass Master Password. Gjør det ved å klikke på linken nederst på Utfordringsskjermbildet, merket "Test styrken til LastPass Master Password". Hvis du ikke ser dette:
Du må nullstille LastPass Master Password og øke styrken til du får en fin, positiv, 100% styrkebekreftelse.
Oppsøke resultatene og videreutvikle LastPass-sikkerheten
Etter at du har slogget gjennom listen over dupliserte passord, slettet gamle oppføringer og på annen måte ryddet opp og sikret innloggings- / passordlisten, er det på tide å kjøre revisjonen igjen. Nå, for vektlegging, ble poengsummen du ser nedenfor bare brakt opp ved å forbedre passordsikkerheten. (Hvis du aktiverer flere sikkerhetsfunksjoner, for eksempel multifaktorautentisering, får du et løft på rundt 10%).
Ikke verst! Etter å ha eliminert hvert duplikat passord og bringe alle eksisterende passord opp til 90% styrke eller bedre, forbedret det virkelig vår poengsum. Hvis du er nysgjerrig på hvorfor det ikke hoppet til 100%, er det noen få faktorer til å spille, det mest fremtredende er at noen passord aldri kan bli brakt opp til snus etter LastPass-standarder på grunn av dumme retningslinjer på plass av nettsted administratorer. For eksempel er mitt lokale biblioteks innloggingspassord en firesifret pin (som gir 4% på LastPass-sikkerhetsskalaen). De fleste vil ha en slags outliers som det i sin liste, og det vil trekke sin score ned.
I slike tilfeller er det viktig å ikke bli motløs, og å bruke detaljert sammenbrudd som en metrisk:
I passordoppdateringsprosessen beskjærte jeg 17 dupliserte / utløste nettsteder, opprettet et unikt passord for hvert nettsted og tjeneste, og brakte antall nettsteder med duplikatpassord ned fra 43 til 0 i prosessen.
Det tok bare omtrent en time med alvorlig fokusert tid (12,4% av dem ble brukt til å forbanne webdesignere som lagde passordoppdateringslinker i obskure steder), og alt som trengs for å få meg motivert var et passordbrudd på katastrofale proporsjoner! Jeg lager et notat her, stor suksess.
Nå som du har revidert passordene dine og du er pumpet om å ha en stabil unikt passord, la oss dra nytte av det fremadgående momentumet. Slå opp vår guide til å lage LastPass til og med sikrere ved å øke passord iterasjoner, begrense innlogginger etter land, og mer. Mellom å utføre revisjonen som vi skisserte her, følger vår LastPass sikkerhetsguide, og slår på tofaktoralgoritmer, du har et kollisikkert passordstyringssystem du kan være stolt av.