Jak uruchomić audyt bezpieczeństwa Last Pass (i dlaczego nie może czekać)
Jeśli ćwiczysz łagodne zarządzanie hasłami i higieną, to tylko kwestia czasu, kiedy jeden z coraz liczniejszych naruszeń bezpieczeństwa na dużą skalę poparzy cię. Przestań być wdzięczny, że uniknąłeś zabezpieczeń i zbroisz się przeciwko przyszłym. Czytaj dalej, ponieważ pokazujemy, jak kontrolować swoje hasła i chronić się.
Co to jest Big Deal i dlaczego to się liczy?
W październiku tego roku firma Adobe ujawniła, że doszło do poważnego naruszenia bezpieczeństwa, które dotknęło 3 miliony użytkowników oprogramowania Adobe.com i Adobe. Następnie zmienili liczbę na 38 milionów. Potem, jeszcze szokująco, gdy baza danych z włamania została ujawniona, analitycy bezpieczeństwa, którzy przeanalizowali bazę danych, wrócili i powiedzieli, że to bardziej 150 milionów skompromitowane konta użytkowników. Ten stopień narażenia użytkownika powoduje, że naruszenie Adobe w działaniu jest jednym z najgorszych naruszeń bezpieczeństwa w historii.
Adobe jednak nie jest sam na tym froncie; po prostu otworzyliśmy się z ich naruszeniem, ponieważ jest to boleśnie niedawne. W ciągu ostatnich kilku lat doszło do kilkudziesięciu masowych naruszeń bezpieczeństwa, w których informacje o użytkownikach, w tym hasła, zostały naruszone.
LinkedIn trafił w 2012 r. (Zrekompensowano 6,46 mln wpisów użytkowników). W tym samym roku trafił eHarmony (1,5 miliona rekordów użytkownika), podobnie jak Last.fm (6,5 miliona rekordów użytkownika) i Yahoo! (450 000 wpisów użytkownika). Sieć Playstation Network Sony została trafiona w 2011 roku (zrekompensowano 101 milionów rekordów użytkownika). Gawker Media (firma macierzysta takich serwisów jak Gizmodo i Lifehacker) została trafiona w 2010 r. (1,3 miliona rekordów użytkowników zostało naruszonych). I to tylko przykłady dużych naruszeń, które sprawiły, że wieści!
Privacy Rights Clearinghouse prowadzi bazę danych o naruszeniach bezpieczeństwa od 2005 roku do chwili obecnej. Ich baza danych obejmuje szeroki zakres typów naruszenia: zagrożone karty kredytowe, skradzione numery ubezpieczenia społecznego, skradzione hasła i dokumentacja medyczna. Baza danych, w momencie publikacji tego artykułu, składa się z 4033 naruszenia zawierający 617,937,023 wpisów użytkownika. Nie każdy z tych setek milionów naruszeń dotyczył haseł użytkowników, ale robili to miliony.
Dlaczego to ma znaczenie? Pomijając oczywiste i natychmiastowe implikacje naruszenia bezpieczeństwa, naruszenia stanowią dodatkową szkodę. Hakerzy mogą natychmiast rozpocząć testowanie loginów i haseł, które zbierają na innych stronach internetowych.
Większość ludzi jest leniwych ze swoimi hasłami i istnieje spora szansa, że jeśli ktoś użyje [email protected] z hasłem bob1979, ta sama para login / hasło zadziała na innych stronach internetowych. Jeśli te inne witryny mają wyższy profil (np. Strony bankowe lub jeśli hasło użyte w programie Adobe faktycznie odblokowuje jego skrzynkę odbiorczą), oznacza to problem. Gdy ktoś uzyska dostęp do skrzynki odbiorczej poczty e-mail, może rozpocząć resetowanie hasła w innych usługach i uzyskiwać do nich dostęp.
Jedynym sposobem na powstrzymanie tego rodzaju reakcji łańcuchowej przed powodowaniem jeszcze większych problemów bezpieczeństwa w sieci witryn i usług, z których korzystasz, jest przestrzeganie dwóch podstawowych zasad dobrej higieny haseł:
- Twoje hasło e-mail powinno być długie, silne i całkowicie unikalne wśród wszystkich twoich loginów.
- Każdy login otrzymuje długie, mocne i niepowtarzalne hasło. Brak ponownego użycia hasła. zawsze.
Te dwie zasady są wskazówkami na każdy przewodnik bezpieczeństwa, który kiedykolwiek wam udostępniliśmy, w tym nasz przewodnik po nagłych wypadkach, który ma hit-the-fan. Jak odzyskać hasło po otrzymaniu e-maila..
W tym momencie prawdopodobnie trochę się wijesz, bo, szczerze, prawie nikt nie ma perfekcyjnie highterskich praktyk i bezpieczeństwa. Nie jesteś sam, jeśli nie masz higieny hasła. W rzeczywistości czas na spowiedź.
Napisałem dziesiątki artykułów dotyczących bezpieczeństwa, postów dotyczących naruszeń bezpieczeństwa i innych postów związanych z hasłami w ciągu lat spędzonych w How-To Geek. Pomimo tego, że jest to dokładnie taka osoba, która powinna wiedzieć lepiej, pomimo używania menedżera haseł i generowania bezpiecznych haseł dla każdej nowej witryny i usługi, kiedy przeszukałem moją skrzynkę pocztową poprzez listę skompromitowanych loginów firmy Adobe i dopasowałem ją do złamanego hasła, wciąż się dowiedziałem, że zostałem spalony.
Zrobiłem to konto Adobe dawno temu, kiedy byłem znacznie bardziej wyluzowany w kwestii higieny haseł, a używane przeze mnie hasło było powszechne dziesiątki stron i usług, z którymi się zarejestrowałem, zanim zrobiłem coś bardzo poważnego na temat tworzenia dobrych haseł.
Tego wszystkiego można by było uniknąć, gdybym w pełni praktykował to, co głosiłem, a nie tylko stworzył unikalne i mocne hasła, ale również skontrolowałem moje stare hasła, aby upewnić się, że ta sytuacja nigdy się nie zdarzyła. Niezależnie od tego, czy nigdy nie próbowałeś być konsekwentny i bezpieczny dzięki praktykom związanym z hasłami, czy po prostu musisz je sprawdzić, aby się uspokoić, dokładny audyt hasła jest drogą do zabezpieczenia hasłem i spokoju ducha. Czytaj dalej, ponieważ pokażemy Ci, jak to zrobić.
Przygotowanie do Twojego ostatniego wyzwania bezpieczeństwa
Możesz ręcznie kontrolować swoje hasła, ale byłoby to niezwykle uciążliwe i nie zyskałbyś żadnej korzyści z używania dobrego uniwersalnego menedżera haseł. Zamiast ręcznie kontrolować wszystko, przejdziemy na łatwą i w dużej mierze zautomatyzowaną trasę: sprawdzimy nasze hasła, biorąc udział w LastPass Security Challenge.
Niniejszy przewodnik nie obejmuje konfiguracji LastPass, więc jeśli nie masz jeszcze uruchomionego systemu LastPass, zdecydowanie zalecamy jego skonfigurowanie. Aby rozpocząć, zapoznaj się z przewodnikiem HTG Getting Started with LastPass. Chociaż LastPass został zaktualizowany od czasu, gdy napisaliśmy przewodnik (interfejs jest teraz znacznie ładniejszy i lepiej usprawniony), możesz z łatwością wykonywać te czynności. Jeśli konfigurujesz LastPass po raz pierwszy, upewnij się, że importujesz wszystko przechowywane hasła z przeglądarek, ponieważ naszym celem jest kontrola każdego hasła, którego używasz.
Wprowadź każdy login i hasło do LastPass: Niezależnie od tego, czy jesteś nowicjuszem w LastPass, czy nie używasz go w pełni do każdego logowania, teraz jest czas, aby upewnić się, że wszedłeś każdy zaloguj się do systemu LastPass. Zamierzamy powtórzyć porady, które otrzymaliśmy w naszym przewodniku odzyskiwania poczty e-mail na temat przeczesywania skrzynki odbiorczej wiadomości e-mail dla przypomnień:
Wyszukaj w e-mailu przypomnienia o rejestracji. Nie będzie trudno zapamiętać często używane loginy, takie jak Facebook i Twój bank, ale prawdopodobnie istnieją dziesiątki usług nakładkowych, z których możesz nie pamiętać, że logujesz się przy użyciu poczty e-mail. Użyj wyszukiwania słów kluczowych, takich jak "witaj w", "resetuj", "odzyskiwanie", "weryfikuj", "hasło", "nazwa użytkownika", "login", "konto" i ich kombinacji, takich jak "zresetować hasło" lub "zweryfikować konto" . Znów wiemy, że jest to uciążliwe, ale gdy już to zrobisz z menedżerem haseł u swojego boku, masz główną listę wszystkich swoich kont i nigdy więcej nie będziesz musiał tego robić..
Włącz uwierzytelnianie dwuskładnikowe na swoim koncie LastPass: Ten krok nie jest absolutnie konieczny do przeprowadzenia audytu bezpieczeństwa, ale gdy zwrócimy twoją uwagę, zrobimy wszystko, co w naszej mocy, aby zachęcić cię, podczas gdy będziesz się marnować na swoim koncie LastPass, aby włączyć uwierzytelnianie dwuskładnikowe do dodatkowo zabezpieczyć skarbiec LastPass. (Nie tylko zwiększa to bezpieczeństwo Twojego konta, ale także zwiększy wynik kontroli bezpieczeństwa!)
Biorąc udział w LastPass Security Challenge
Po zaimportowaniu wszystkich haseł nadszedł czas, aby przygotować się na wstyd, że nie jesteś w 1% hardkorowych ninja z hasłem bezpieczeństwa. Wejdź na stronę LastPass Security Challenge i naciśnij "Rozpocznij wyzwanie" na dole strony. Zostaniesz poproszony o podanie hasła głównego, jak widać na powyższym zrzucie ekranu, a następnie LastPass zaoferuje sprawdzenie, czy któryś z adresów e-mail zawartych w Twoim skarbcu był częścią naruszeń, które wykrył. Nie ma żadnego powodu, aby nie skorzystać z tego:
Jeśli masz szczęście, zwraca wartość ujemną. Jeśli masz szczęście, pojawi się wyskakujące okienko z pytaniem, czy chcesz uzyskać więcej informacji o naruszeniach, w których uczestniczył Twój e-mail:
LastPass wyda pojedynczy alert bezpieczeństwa dla każdej instancji. Jeśli masz długi adres e-mail, przygotuj się na zszokowanie ilością zajętych haseł. Oto przykład zawiadomienia o naruszeniu haseł:
Po wyskakujących okienek zostaniesz przeniesiony do głównego panelu LastPass Security Challenge. Pamiętasz wcześniej w przewodniku, kiedy mówiłem o tym, jak obecnie ćwiczę dobrą higienę haseł, ale nigdy nie doszłam do właściwej aktualizacji wielu starszych stron i usług? To naprawdę pokazuje w otrzymanym wyniku. Ouch:
To jest mój wynik z wymieszanymi losowo liczbami losowymi haseł. Nie bądź zbyt zaskoczony, jeśli twój wynik jest jeszcze niższy, jeśli używasz tej samej garści słabych haseł w kółko. Teraz, gdy mamy już swój wynik (jakkolwiek może to być niesamowite lub wstydliwe), nadszedł czas, aby zagłębić się w dane. Możesz skorzystać z szybkich linków obok swojego wyniku procentowego lub po prostu rozpocząć przewijanie. Pierwszy przystanek, sprawdźmy szczegółowe wyniki. Rozważ to przegląd stanu haseł na 10 000 stóp:
Podczas, gdy powinieneś zwrócić uwagę na wszystkie statystyki tutaj, naprawdę ważne są "Średnia siła hasła", jak słabe lub silne jest twoje średnie hasło, a jeszcze ważniejsze, "Liczba zduplikowanych haseł" i "Liczba witryn z duplikatami haseł" ". W wyniku mojej kontroli było 8 duplikatów na 43 stronach. Najwyraźniej byłem dość leniwy, używając tego samego niskiego poziomu hasła na więcej niż kilku stronach.
Następny przystanek, sekcja Analizowane witryny. Tutaj znajdziesz bardzo konkretny podział wszystkich logowań i haseł zorganizowany przez zduplikowane użycie hasła (jeśli masz duplikaty), unikatowe hasła i wreszcie loginy bez hasła zapisanego w LastPass. Przeglądając listę, podziwiaj kontrast między mocami haseł. W moim przypadku jedno z moich logowań finansowych uzyskało 45% wyniku hasła, a login mojej córki Minecrafta otrzymał doskonały wynik 100%. Znowu, ouch.
Naprawienie swojego strasznego wyniku testu bezpieczeństwa
W wykazie audytu znajdują się dwa bardzo przydatne linki. Jeśli klikniesz "POKAŻ", pokaże ci on hasło do tej strony i jeśli klikniesz "Odwiedź stronę", możesz przejść bezpośrednio do strony internetowej, aby zmienić hasło. Nie tylko każde zduplikowane hasło powinno zostać zmienione, ale każde hasło dołączone do konta, które zostało naruszone (takie jak Adobe.com lub LinkedIn) powinno zostać na stałe wycofane.
W zależności od tego, ile masz kilku haseł (i jak pracowitego przestrzegasz zasad dobrych haseł), ten etap procesu może zająć ci dziesięć minut lub całe popołudnie. Chociaż proces zmiany haseł będzie się różnić w zależności od układu aktualizowanej witryny, poniżej znajdziesz kilka ogólnych wskazówek (na przykład korzystamy z naszej aktualizacji hasła w Zapamiętaj mleko): Odwiedź stronę zmiany hasła . Zazwyczaj musisz podać swoje obecne hasło, a następnie wygenerować nowe hasło.
Zrób to klikając na logo z zamkiem z okrągłym strzałką. LastPass wprowadza się do nowego slotu hasła (jak widać na powyższym zrzucie ekranu). Przejrzyj swoje nowe hasło i dostosuj je, jeśli chcesz (np. Wydłużenie lub dodanie znaków specjalnych):
Kliknij "Użyj hasła", a następnie potwierdź, że chcesz zaktualizować wpis, który edytujesz:
Pamiętaj, aby potwierdzić zmianę również na stronie internetowej. Powtórz proces dla każdego duplikatu i słabego hasła w skarbcu LastPass.
Na koniec ostatnią rzeczą, którą musisz poddać audytowi, jest hasło do hasła LastPass. Zrób to, klikając link u dołu ekranu Wyzwania oznaczonego etykietą "Sprawdź siłę mojego hasła LastPass Master". Jeśli tego nie widzisz:
Musisz zresetować hasło LastPass Master i zwiększyć siłę, aż otrzymasz pozytywne, pozytywne potwierdzenie 100% siły.
Przeglądanie wyników i dalsze wzmacnianie zabezpieczenia LastPass
Po przebiciu się przez listę duplikatów haseł, usunięciu starych wpisów oraz w inny sposób uporządkowaniu i zabezpieczeniu listy logowania / hasła, nadszedł czas na ponowne uruchomienie audytu. Teraz, dla podkreślenia, wynik, który widzisz poniżej, został podniesiony wyłącznie poprzez poprawę bezpieczeństwa haseł. (Jeśli włączysz dodatkowe funkcje bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe, otrzymasz zwiększenie o około 10%).
Nie jest zły! Po wyeliminowaniu wszystkich zduplikowanych haseł i podniesieniu wszystkich istniejących haseł do 90% lub więcej poprawiło to nasz wynik. Jeśli zastanawiasz się, dlaczego nie przeskoczył do 100%, jest kilka czynników, z których najważniejszym jest to, że niektóre hasła nigdy nie zostaną podniesione do tabaki przez standardy LastPass z powodu głupich zasad wprowadzonych przez administratorzy witryny. Na przykład hasło do mojej lokalnej biblioteki to czterocyfrowe hasło (które wynosi 4% w skali bezpieczeństwa LastPass). Większość ludzi będzie miała na liście takie wartości odstające, które spowodują spadek wyniku.
W takich przypadkach ważne jest, aby nie zniechęcać się i używać szczegółowego podziału jako danych:
W procesie aktualizacji hasła usunąłem 17 powielonych / wygasłych witryn, utworzyłem unikatowe hasło dla każdej witryny i usługi, i zmniejszyłem liczbę witryn o zduplikowanych hasłach z 43 do 0 w procesie.
Zajęło to tylko godzinę z bardzo skoncentrowanym czasem (12,4% z nich spędził przeklinając projektantów stron internetowych, którzy umieszczali linki do aktualizacji haseł w nieznanych miejscach), a wszystko, co potrzebowałem, aby zmotywować mnie do naruszenia haseł o katastrofalnych proporcjach! Robię tu notatkę, ogromny sukces.
Po skontrolowaniu haseł i napompowaniu stabilnych unikatowych haseł, wykorzystajmy ten moment. Hit nasz przewodnik po tworzeniu LastPass parzysty bardziej bezpieczne dzięki zwiększaniu liczby powtórzeń haseł, ograniczaniu logowania według krajów i wielu innych. Pomiędzy prowadzeniem audytu, który tutaj nakreśliliśmy, zgodnie z naszym przewodnikiem bezpieczeństwa LastPass, i włączeniem algorytmów dwuczynnikowych, otrzymasz kuloodporny system zarządzania hasłami, z którego możesz być dumny..