Како да покренете проверу безбедности на задњем пролазу (и зашто не може да чека)

Ако вежбате лабаво управљање лозинкама и хигијену, само је питање времена када ће вас једна од све бројнијих кршења безбедности великих размера запалити. Престани да будеш захвалан што си избегао прошле метке и пробио се против будућих. Прочитајте како ћемо вам показати како да проверавате ваше лозинке и да се заштитите.

Шта је то велика ствар и зашто ово важи?

У октобру ове године, Адобе је открио да је дошло до великог нарушавања сигурности које је захватило 3 милиона корисника Адобе.цом и Адобе софтвера. Онда су ревидирали број на 38 милиона. Онда, још шокантније, када је база података из хака процурила, сигурносни истраживачи који су анализирали базу података вратили су се и рекли да је то више слично 150 милиона компромитовани кориснички налози. Овај степен излагања корисника поставља Адобеов пробој као један од најгорих сигурносних повреда у историји.

Међутим, Адобе није једина на овом фронту; једноставно смо се отворили са њиховим кршењем, јер је то болно недавно. Само у последњих неколико година било је на десетине великих кршења безбедности где су информације о корисницима, укључујући и лозинке, биле угрожене.

ЛинкедИн је погођен 2012. године (компромитовано је 6,46 милиона корисничких записа). Исте године, еХармони је погодјен (1.5 милиона корисничких записа) као што је био Ласт.фм (6.5 милиона корисничких записа) и Иахоо! (450,000 корисничких записа). Сони Плаистатион Нетворк је погођен 2011. године (101 милијун корисничких записа је угрожен). Гавкер Медиа (матична компанија сајтова као што су Гизмодо и Лифехацкер) је погодјен у 2010 (1,3 милиона корисничких записа компромитовано). А то су само примери великих кршења која су донела вести!

Цлеарингхоусе о правима на приватност одржава базу података о кршењима безбедности од 2005. до данас. Њихова база података укључује широк спектар типова кршења: компромитоване кредитне картице, украдене бројеве социјалног осигурања, украдене лозинке и медицинску документацију. База података, од дана објављивања овог чланка, састоји се од 4,033 кршења садржи 617.937.023 корисничких записа. Није сваки од тих стотина милиона прекршаја укључивао корисничке лозинке, али милиони на њих су то учинили.

Зашто је онда важно? Поред очигледних и непосредних безбедносних импликација кршења, кршења стварају колатералну штету. Хакери могу одмах почети са тестирањем пријављених података и лозинки које прикупљају на другим веб страницама.

Већина људи је лења са својим лозинкама, и постоји велика вероватноћа да ако неко користи боб@сомевебемаил.цом са лозинком боб1979, да ће исти пар логин / лозинка радити на другим веб сајтовима. Ако су ти други сајтови вишег профила (као што су банкарске локације или ако је лозинка коју је користио у Адобе-у заправо откључао своју е-пошту), онда постоји проблем. Када неко има приступ вашем пријемном поштанском сандучету, они могу да почну да ресетују лозинку на друге услуге и да добију приступ њима.

Једини начин да се заустави ова врста ланчане реакције од изазивања још више безбедносних проблема у мрежи веб локација и услуга које користите јесте да следите два основна правила хигијене добре лозинке:

1. Ваша емаил адреса би требала бити дуга, снажна и потпуно јединствена међу свим вашим пријавама.
2. Сваки логин добија дугу, јаку и јединствену лозинку. Нема поновне употребе лозинке. Икада.

Та два правила су за понети из сваког водича за безбедност које смо икада поделили са вама, укључујући и наш водич за хитне случајеве - како-је-хит-тхе-фан Како да се опоравим након што је ваша лозинка за е-пошту угрожена.

Сада, у овом тренутку, ви се вероватно мало љутите, јер, искрено, тешко да било ко има савршено непропусне праксе и безбедност лозинки. Нисте сами ако вам недостаје хигијена лозинке. У ствари, време је за признање.

Написао сам десетине чланака о безбедности, чланцима о кршењима безбедности и другим порукама везаним за лозинку током година које сам провео у Хов-То Геек-у. Упркос томе што је управо онаква информисана особа која би требало да зна боље, упркос коришћењу менаџера лозинки и генерисању сигурних лозинки за сваки нови веб сајт и услугу, када сам покренуо своју е-пошту кроз листу компромитованих Адобе пријавама и ускладио је са угроженом лозинком, још увек сам сазнао да сам изгорео.

Направио сам тај Адобе рачун одавно када сам био знатно слабији од хигијене лозинки, а лозинка коју сам користила била је заједничка десетине Веб сајтова и услуга које сам потписао пре него што сам постао озбиљан у вези добијања добрих лозинки.

Све то се могло спријечити да сам у потпуности практицирала оно што сам проповиједао, а не само створио јединствене и јаке лозинке, али такође ревидирао моје старе лозинке како би се осигурало да се ова ситуација никада није ни догодила. Без обзира да ли сте икада покушали да будете конзистентни и сигурни са праксом лозинки или само требате да их проверите да бисте се опустили, темељита ревизија лозинки је пут ка безбедности лозинки и миру ума. Прочитајте како ћемо вам показати како.

Припрема за ваш Ластпасс безбедносни изазов

Можете ручно да проверавате своје лозинке, али то би било веома напорно и не бисте стекли никакве користи од коришћења доброг универзалног менаџера лозинки. Уместо да све ручно контролишемо, идемо на лаку и углавном аутоматизовану руту: проверићемо наше лозинке тако што ћемо преузети ЛастПасс безбедносни изазов.

Овај водич не покрива постављање ЛастПасс-а, тако да ако већ немате ЛастПасс систем и радите, препоручујемо вам да га подесите. Погледајте ХТГ Водич за почетак рада са ЛастПассом да бисте започели. Иако је ЛастПасс ажуриран пошто смо написали водич (интерфејс је сада много лепши и бољи сада), још увек можете лако да пратите кораке. Ако први пут постављате ЛастПасс, обавезно увезите све похрањене лозинке од ваших претраживача, јер је наш циљ да контролишете сваку лозинку коју користите.

Унесите сваку пријаву и лозинку у ЛастПасс: Без обзира да ли сте потпуно нови за ЛастПасс или га нисте у потпуности користили за сваку пријаву, сада је време да се уверите да сте ушли евери пријавите се у ЛастПасс систем. Поновит ћемо савјете које смо дали у нашем водичу за опоравак е-поште за чешљање пристигле поште за подсјетнике:

Потражите подсјетнике за регистрацију у е-пошти. Неће бити тешко запамтити ваше често коришћене пријаве као што су Фацебоок и ваша банка, али вероватно постоји на десетине услуга које можда нећете ни запамтити да користите своју е-пошту да бисте се пријавили. Користите претраге кључних речи као што су „добродошли“, „ресет“, „опоравак“, „верификација“, „лозинка“, „корисничко име“, „пријава“, „налог“ и комбинације као што су „поништавање лозинке“ или „верификација рачуна“ . Опет, ми знамо да је ово гњаважа, али када то урадите са менаџером лозинки, имате главну листу свог налога и више никада нећете морати поново да радите ову кључну реч..

Омогућите аутентификацију у два фактора на налогу ЛастПасс: Овај корак није строго неопходан за обављање ревизије сигурности, али док имамо вашу пажњу, урадићемо све што можемо да вас охрабримо, док се мучите на вашем ЛастПасс рачуну, да укључите аутентификацију у два фактора на додатно осигурајте свој трезор ЛастПасс. (Не само да повећава сигурност вашег рачуна, већ ћете добити и додатну оцјену сигурности ревизије!)

Узимајући ЛастПасс Сецурити Цхалленге

Сада када сте увезли све своје лозинке, време је да се припремите за срамоту што нисте у 1% хардцоре нинџа за безбедност лозинки. Посјетите страницу ЛастПасс Сецурити Цхалленге и притисните “Старт тхе Цхалленге” на дну странице. Од вас ће бити затражено да унесете вашу главну лозинку, као што се види на слици изнад, а онда ће ЛастПасс понудити да провери да ли су неке од адреса е-поште садржане у вашем трезору део било каквих кршења које је пратио. Не постоји добар разлог да не искористите ово:

Ако имате среће, враћа негатив. Ако имате среће, добићете искачуће прозоре који траже да ли желите више информација о кршењима у којима је ваша е-пошта укључена:

ЛастПасс ће издати једно сигурносно упозорење за сваку инстанцу. Ако сте већ дуго имали своју адресу е-поште, будите спремни да будете шокирани колико је пропустила лозинка. Ево примера обавештења о кршењу лозинке:

После искачућих прозора, бићете бачени у главни панел ЛастПасс безбедносног изазова. Сећате се раније у приручнику када сам говорио о томе како тренутно практикујем добру хигијену лозинки, али да никада нисам дошао до исправног ажурирања много старијих веб локација и сервиса? То стварно показује у резултату који сам добио. Оуцх:

То је мој резултат са годинама вредним случајним лозинкама. Немојте се превише шокирати ако је ваш резултат још нижи ако користите исту шачицу слабих лозинки изнова и изнова. Сада када имамо резултат (колико год да је страшан или срамотан), време је да ископамо податке. Можете користити брзе везе поред постотка резултата или само почети да се крећете. Прво стани, погледајмо детаљне резултате. Размислите о прегледу стања ваших лозинки од 10.000 стопа:

Иако би требало да обратите пажњу на све статистике овде, заиста важне су „Просечна снага лозинке“, колико је слаба или јака ваша просечна лозинка и, што је још важније, „Број дуплираних лозинки“ и „Број локација које имају дупле лозинке“ ”. У вези са мојом ревизијом, било је 8 дупета у 43 локације. Очигледно сам био прилично лењи да поново користим исту лошу лозинку на више локација.

Следећа станица, одељак Анализирана места. Овде ћете наћи врло конкретну поделу свих ваших пријава и лозинки организованих помоћу дупле лозинке (ако сте имали дупликате), јединствене лозинке, и на крају, пријаве без лозинке сачуване у ЛастПасс-у. Док прегледавате листу, дивите се контрасту између јаких лозинки. У мом случају, један од мојих финансијских пријава је добио 45% Пассворд Сцоре док је Минецрафт мојој кћери пријављена 100%. Опет, јао.

Фикинг Иоур Террибле Сецурити Цхалленге Сцоре

Постоје два веома корисна линка која су уграђена у пописе ревизија. Ако кликнете на “СХОВ” приказат ће вам се лозинка за ту страницу и ако кликнете “Висит Сите” можете скочити право на веб страницу тако да можете промијенити лозинку. Не само да треба да се промени свака дуплирана лозинка, већ и било која лозинка која је придружена рачуну који је прекршен (као што је Адобе.цом или ЛинкедИн) треба трајно да се повуче.

У зависности од тога колико или колико лозинки имате (и колико сте марљиво радили на доброј лозинки), овај корак у процесу може вам потрајати десет минута или цело поподне. Иако ће се процес промене ваших лозинки разликовати у зависности од изгледа локације коју ажурирате, ево неких општих смерница које треба да следите (ми користимо ажурирање лозинке на пример Запамти млеко): Посети страницу за промену лозинке . Обично ћете морати да унесете тренутну лозинку, а затим генеришете нову лозинку.

Учините то кликом на логотип стрелице са кружним стрелицама. ЛастПасс убацује у нови слот за лозинку (као што се види на слици изнад). Прегледајте своју нову лозинку и извршите подешавања ако желите (као што је продужење или додавање посебних знакова):

Кликните на "Користи лозинку", а затим потврдите да желите да ажурирате унос који уређујете:

Побрините се да потврдите промјену и на веб страници. Поновите поступак за сваку дуплирану и слабу лозинку у ЛастПасс трезору.

Коначно, последња ствар коју треба да урадите је ваша ЛастПасс Мастер лозинка. Учините то тако што ћете кликнути на линк на дну екрана Цхалленге са ознаком “Тестирајте снагу моје ЛастПасс Мастер лозинке”. Ако не видите ово:

Потребно је да ресетујете своју ЛастПасс Мастер лозинку и повећате снагу док не добијете лепу, позитивну, 100% потврду снаге.

Преглед резултата и даље побољшање ваше ЛастПасс безбедности

Након што сте прошли кроз листу дуплираних лозинки, избрисаних старих уноса и на други начин уредили и осигурали вашу пријаву / лозинку, вријеме је да поново покренете ревизију. Сада, за нагласак, резултат који видите испод приказан је искључиво побољшањем сигурности лозинке. (Ако омогућите додатне безбедносне функције, као што је аутентификација у више фактора, добићете повећање од око 10%).

Није лоше! Након елиминисања сваке дупле лозинке и довођења свих постојећих лозинки до 90% снаге или боље, то је заиста побољшало наш резултат. Ако сте знатижељни зашто није скочио на 100%, постоји неколико фактора у игри, од којих је најистакнутији то што неке лозинке никада не могу бити доведене до снуффа по ЛастПасс стандардима због блесавих политика које су постављене од стране администратори сајта. На пример, лозинка за пријаву у мојој локалној библиотеци је четвороцифрени пин (који даје 4% на безбедносној скали ЛастПасс). Већина људи ће имати неку врсту таквих оутлиера у својој листи и то ће повући њихов резултат.

У таквим случајевима, важно је да се не обесхрабрујете и да користите детаљну поделу као метричку вредност:

У процесу ажурирања лозинке сам очистио 17 дуплицираних / истеклих сајтова, креирао јединствену лозинку за сваки сајт и услугу и смањио број сајтова са дуплираним лозинкама са 43 на 0 у процесу.

Требало је само око сат времена озбиљно фокусираног времена (12,4% од чега је потрошено на проклињање дизајнера веб страница који стављају линкове за ажурирање лозинке у нејасним местима), а све што је било потребно да ме мотивишу била је повреда лозинке катастрофалних размера! Овде напомињем, огроман успјех.

Сада када сте ревидирали своје лозинке и пумпају вас да имате стабилну јединствену шифру, искористимо тај напредни замах. Удари наш водич да направиш ЛастПасс Чак сигурнијим повећавањем броја понављања лозинки, ограничавањем пријављивања по земљи и више. Између покретања ревизије коју смо овде изложили, пратећи наш ЛастПасс безбедносни водич и укључивши алгоритме са два фактора, имат ћете сустав за непробојно управљање лозинкама на који можете бити поносни..