Как да стартирате одит на последната защита (и защо не може да чака)
Ако практикувате небрежно управление на паролите и хигиена, това е само въпрос на време, докато един от все по-големите мащабни нарушения на сигурността ви изгори. Престанете да бъдете благодарни, че сте избягали от миналите курсове за пробиви в сигурността и се бронирате срещу бъдещите. Прочетете, докато ви показваме как да проверите паролите си и да се защитите.
Каква е голямата сделка и защо това има значение?
През октомври тази година Adobe разкри, че е имало голям пробив в сигурността, който засегна 3 милиона потребители на Adobe.com и Adobe софтуер. След това те ревизираха броя на 38 милиона. Тогава, още по-шокиращо, когато изтичаше базата данни от рана, изследователите по сигурността, които анализираха базата данни, се върнаха и казаха, че е по-скоро 150 милиона компрометирани потребителски акаунти. Тази степен на експозиция на потребителите поставя нарушението на Adobe в едно от най-лошите нарушения на сигурността в историята.
Adobe обаче едва ли е сам на този фронт; просто отворихме с пробива, защото е болезнено скорошно. Само през последните няколко години имаше десетки огромни пробиви в сигурността, където потребителската информация, включително паролите, беше компрометирана.
LinkedIn беше ударен през 2012 г. (6.46 милиона потребители са компрометирани). Същата година eHarmony е ударен (1.5 милиона потребителски записи), както беше Last.fm (6.5 милиона потребителски записи) и Yahoo! (450,000 потребителски записи). Sony Playstation Network беше ударен през 2011 г. (101 милиона потребители са компрометирани). Gawker Media (компанията-майка на сайтове като Gizmodo и Lifehacker) бе засегната през 2010 г. (1.3 милиона потребители са компрометирани). И това са само примери за големи нарушения, които направиха новината!
Клиринговата къща за защита на личните данни поддържа база данни за нарушения на сигурността от 2005 г. до днес. Базата им включва широк спектър от видове нарушения: компрометирани кредитни карти, откраднати номера на социалното осигуряване, откраднати пароли и медицински документи. Базата данни, считано от публикуването на тази статия, се състои от 4 033 нарушения съдържащ 617,937,023 потребителски записа. Не всеки от тези стотици милиони нарушения включваше потребителски пароли, но милиони от тях го направиха.
Защо тогава има значение? Освен очевидните и непосредствени последици за сигурността на нарушението, нарушенията създават странични щети. Хакерите могат незабавно да започнат тестване на данните за вход и паролите, които събират на други уеб сайтове.
Повечето хора са мързеливи с паролите си и има голяма вероятност, ако някой използва [email protected] с паролата bob1979, че същата парола за вход / парола ще работи на други уеб сайтове. Ако тези други уебсайтове са с по-висок профил (като банкови сайтове или ако паролата, която използва в Adobe, всъщност отключва пощенската си кутия), има проблем. След като някой има достъп до вашата пощенска кутия, те могат да започнат да възстановяват паролата за други услуги и да получат достъп до тях.
Единственият начин да се спре този вид верижна реакция от още по-големи проблеми със сигурността в мрежата от уеб сайтове и услуги, които използвате, е да следвате два основни правила за добра хигиена на паролите:
- Вашата парола за електронна поща трябва да бъде дълга, силна и напълно уникална сред всички ваши данни за вход.
- всеки входът получава дълга, силна и уникална парола. Няма повторно използване на пароли. някога.
Тези две правила са за вкъщи от всяко ръководство за сигурност, което някога сме споделяли с вас, включително и нашето ръководство за спешни случаи..
Сега, на този етап, вие вероятно се размърдвате малко, защото, честно казано, едва ли някой има идеални практики за сигурност и сигурност. Не сте сами, ако липсва хигиена на паролата ви. Всъщност е време за изповед.
Аз съм написал десетки статии за сигурност, публикации за нарушения на сигурността и други свързани с парола постове през годините, в които съм бил в How-To Geek. Въпреки че е точно вид информиран човек, който трябва да знае по-добре, въпреки използването на мениджър на пароли и генериране на сигурни пароли за всеки нов уебсайт и услуга, когато пуснах имейла си през списъка с компрометирани данни за вход в Adobe и я съпоставих с компрометираната парола, все още разбрах, че съм изгорял.
Направих този акаунт на Adobe отдавна, когато бях значително по-небрежен с хигиената на паролите си, а използваната от мен парола беше обичайна десетки от уебсайтове и услуги, с които съм се регистрирал, преди да стана много сериозен за създаването на добри пароли.
Всичко това можеше да бъде предотвратено, ако бях напълно практикувал това, което проповядвах, а не само създавах уникални и силни пароли, но също проверих старите си пароли, за да гарантирам, че това положение не се е случило на първо място. Независимо дали никога не сте се опитвали да бъдете последователни и сигурни с практиките с пароли или просто трябва да ги проверите, за да се поставите на спокойствие, задълбоченият одит на паролите е пътят към сигурността на паролите и спокойствието. Прочетете, докато ви показваме как.
Подготовка за вашето предизвикателство за сигурност на Lastpass
Можете ръчно да проверите паролите си, но това би било изключително досадно и няма да спечелите от ползите от използването на добър универсален мениджър на пароли. Вместо ръчно одитиране на всичко, ние ще вземем лесния и до голяма степен автоматизиран маршрут: ще проверим паролите си, като вземем LastPass Security Challenge.
Това ръководство няма да обхване настройката на LastPass, така че ако вече не разполагате със система LastPass и не работите, ние силно ви препоръчваме да я настроите. Вижте Ръководството на HTG за Първи стъпки с LastPass, за да започнете. Въпреки че LastPass е актуализиран, след като сме написали ръководството (интерфейсът е много по-красив и по-добре рационализиран сега), все още можете да следвате стъпките с лекота. Ако настройвате LastPass за първи път, уверете се, че сте импортирани всичко съхранените ви пароли от браузърите си, тъй като целта ни е да проверяваме всяка парола, която използвате.
Въведете всяко потребителско име и парола в LastPass: Независимо дали сте съвсем нов в LastPass или не сте го използвали напълно за всеки вход, сега е моментът да се уверите, че сте въвели всеки Влезте в системата LastPass. Ще повторим съветите, които дадохме в нашето ръководство за възстановяване на имейли за разчесане на входящата ви поща за напомняния:
Търсете в имейла си за напомняния за регистрация. Няма да е трудно да си спомните често използваните данни за вход като Facebook и вашата банка, но вероятно има десетки услуги, които може би дори не си спомняте, че използвате имейла си, за да влезете. Използвайте търсения на ключови думи като „добре дошли“, „възстановяване“, „възстановяване“, „удостоверяване“, „парола“, „потребителско име“, „вход“, „профил“ и комбинации от тях като „възстановяване на паролата“ или „потвърждаване на профила“ , Отново знаем, че това е неудобство, но след като веднъж сте направили това с мениджър на пароли, имате главен списък на целия си профил и никога повече няма да се налага да правите тази ключова дума..
Активиране на двуфакторното удостоверяване на профила ви в LastPass: Тази стъпка не е строго необходима за извършване на одит на сигурността, но докато имаме вашето внимание, ще направим всичко възможно, за да ви насърчим, докато се движите в профила си в LastPass, да включите двуфакторното удостоверяване на още по-сигурно си хранилище LastPass. (Не само че повишава сигурността на профила ви, но и вие ще получите тласък в оценката си за одит на сигурността!)
Вземете Предизвикателството за сигурност на LastPass
Сега, след като сте импортирали всичките си пароли, е време да се подготвите за срама, че не сте в 1% от нинджите за сигурност на твърдите пароли. Посетете страницата LastPass Security Challenge и натиснете “Start the Challenge” в долната част на страницата. Ще бъдете подканени да въведете своята главна парола, както се вижда на снимката по-горе, и след това LastPass ще ви предложи да проверите дали някой от имейл адресите, съдържащи се във вашия трезора, е част от пропуски, които е проследил. Няма основателна причина да не се възползвате от това:
Ако имате късмет, той връща отрицателен. Ако имате късмет, получавате изскачащ прозорец като питате дали искате да получите повече информация за нарушенията, с които е участвал вашият имейл:
LastPass ще издаде едно предупреждение за сигурност за всяка инстанция. Ако от дълго време сте имали имейл адреса си, бъдете готови да бъдете шокирани от това колко много пропуски в паролите са били заплетени. Ето пример за известие за нарушение на паролата:
След изскачащите прозорци ще бъдете изхвърлени в основния панел на LastPass Security Challenge. Спомнете си по-рано в ръководството, когато говорих за това как в момента практикувам добра хигиена на паролите, но че никога не съм успявал да актуализирам много по-стари уеб сайтове и услуги? Това наистина показва в резултата, който получих. Ох:
Това е моят резултат с години, в които сме смешили случайни пароли. Не бъдете прекалено шокирани, ако резултатът ви е още по-нисък, ако сте използвали едни и същи слаби пароли отново и отново. Сега, когато имаме своя резултат (колкото и да е страхотно или срамно), е време да потърсите данните. Можете да използвате бързите връзки до резултата от оценката си или просто да започнете да превъртате. Първо спрете, да видим подробните резултати. Помислете за преглед на състоянието на паролите си на 10 000 фута:
Макар че трябва да обърнете внимание на всички статистики тук, наистина важните са "Средна сила на паролата", колко слаба или силна е вашата средна парола и, още по-важно, "Брой дублирани пароли" и "Брой сайтове с дублиращи се пароли" ". В причината за моя одит имаше 8 дупки в 43 сайта. Очевидно бях доста мързелив да използвам същата нискокачествена парола на повече от няколко сайта.
Следваща спирка, раздел Анализирани сайтове. Тук ще намерите много конкретна разбивка на вашите данни за вход и пароли, организирани от дублиране на паролата (ако сте имали дубликати), уникални пароли и накрая, входни данни без парола, съхранени в LastPass. Докато преглеждате списъка, се чудете на контраста между силните страни на паролата. В моя случай, един от моите финансови данни за вход е получил 45% парола, докато моята дъщерна мишка е получила перфектен резултат от 100%. Отново, ух.
Поправяне на Вашия ужасен резултат за сигурност
Има две много полезни връзки, вградени в списъците за одит. Ако щракнете върху “SHOW” ще ви покаже паролата за този сайт и ако щракнете върху “Visit Site”, можете да преминете направо към уеб сайта, за да можете да промените паролата. Не само всяка дублираща се парола трябва да бъде променена, но и всяка парола, която е била прикачена към нарушен профил (като Adobe.com или LinkedIn), трябва да бъде извадена за постоянно.
В зависимост от това колко много или малко пароли имате (и колко усърдни сте за добри практики за пароли), тази стъпка от процеса може да ви отнеме десет минути или целия следобед. Въпреки че процесът на промяна на паролите ще варира в зависимост от оформлението на сайта, който актуализирате, ето някои общи насоки, които трябва да следвате (използваме нашата парола за актуализация в „Запомни млякото“): посетете страницата за промяна на паролата , Обикновено трябва да въведете текущата си парола и след това да генерирате нова парола.
Направете това, като кликнете върху логото на ключалката с кръгова стрелка. LastPass вмъква в новия слот за пароли (както се вижда на снимката по-горе). Прегледайте новата си парола и направете корекции, ако желаете (като удължаване или добавяне в специални знаци):
Кликнете върху „Използване на парола“ и след това потвърдете, че искате да актуализирате записа, който редактирате:
Уверете се, че сте потвърдили промяната и на уебсайта. Повторете процеса за всяка дублирана и слаба парола във вашия хранилище LastPass.
И накрая, последното нещо, което трябва да се провери, е вашата LastPass Master Password. Направете това, като щракнете върху връзката в долната част на екрана Challenge с надпис „Тествайте силата на моята LastPass Master Password“. Ако не виждате това:
Трябва да нулирате вашата LastPass Master Password и да увеличите силата, докато не получите хубаво, положително, 100% потвърждение.
Проучване на резултатите и по-нататъшно подобряване на Вашата LastPass сигурност
След като сте пропуснали списъка с дублиращи се пароли, изтрити стари записи и по друг начин подредени и защитени вашия списък за вход / парола, е време отново да изпълните одита. Сега, за да наблегнем, резултатът, който виждате по-долу, беше изведен единствено чрез подобряване на защитата на паролите. (Ако активирате допълнителни функции за защита, като многофакторното удостоверяване, ще получите увеличение от около 10%).
Не е зле! След елиминирането на всяка дублираща се парола и привеждане на всички съществуващи пароли до 90% сила или по-добро, това наистина подобри нашия резултат. Ако сте любопитни защо не е скочил до 100%, има няколко фактора, най-важните от които са, че някои пароли никога не могат да бъдат извадени от стандартите на LastPass заради глупавите политики, въведени от администратори на сайтове. Например паролата за вход в моята местна библиотека е четирицифрен пин (който е 4% в скалата за сигурност на LastPass). Повечето хора ще имат някакъв вид подобни на тях в списъка си и това ще доведе до намаляване на резултата.
В такива случаи е важно да не се обезсърчавате и да използвате подробната си разбивка като показател:
В процеса на актуализиране на паролата аз подрязах 17 дублиращи се / изтекли сайтове, създадох уникална парола за всеки сайт и услуга и намалих броя на сайтовете с дублирани пароли от 43 на 0 в процеса.
Това отне само около час на сериозно фокусирано време (12.4% от които бяха изразходвани за проклинане на дизайнери на уебсайтове, които поставят връзки за актуализиране на пароли в неясни места), и всичко, което беше необходимо, за да ме мотивира, беше нарушение на паролата на катастрофални размери! Тук правя бележка, огромен успех.
Сега, след като сте проверили паролите си и сте накарани да имате стабилни уникални пароли, нека се възползваме от този инерционен напредък. Хит нагоре нашето ръководство за вземане на LastPass дори по-сигурна чрез увеличаване на итерациите на пароли, ограничаване на регистрациите по държави и др. Между провеждания от нас одит, следвайки нашето ръководство за сигурност на LastPass и включвайки двуфакторни алгоритми, ще имате система за управление с бронирани пароли, с която можете да се гордеете.