Hvis du praktiserer slap adgangskodeadministration og hygiejne, er det kun et spørgsmål om tid, indtil en af de stadig flere store sikkerhedsbrud brænder dig. Hold op med at være taknemmelig, du undgik kuglerne fra den tidligere sikkerhedsbrud og rustede dig mod de fremtidige. Læs videre, da vi viser dig, hvordan du kontrollerer dine adgangskoder og beskytter dig selv.
Hvad er big deal og hvorfor betyder dette noget?
I oktober i år afslørede Adobe, at der havde været et større sikkerhedsbrud, der ramte 3 millioner brugere af Adobe.com og Adobe-software. Derefter reviderede de antallet til 38 millioner. Endnu mere chokerende, da databasen fra hacket blev lækket, kom sikkerhedsforskere, der analyserede databasen tilbage, og sagde, at det var mere som 150 millioner kompromitterede brugerkonti. Denne grad af brugereksponering sætter Adobe-bruddet i gang som et af de værste sikkerhedsbrud i historien.
Adobe er dog næppe alene på denne front; vi åbnede simpelthen med deres overtrædelse, fordi det er smertefuldt nyt. I de sidste par år alene har der været snesevis af massive sikkerhedsbrud, hvor brugerinformation, herunder adgangskoder, er blevet kompromitteret.
LinkedIn blev ramt i 2012 (6,46 millioner brugeroptegnelser kompromitteret). Samme år blev eHarmony ramt (1,5 millioner brugeroptegnelser), ligesom Last.fm (6,5 millioner brugeroptegnelser) og Yahoo! (450.000 brugeroptegnelser). Sony Playstation Network blev ramt i 2011 (101 millioner brugeroptegnelser kompromitteret). Gawker Media (moderselskabet til websteder som Gizmodo og Lifehacker) blev ramt i 2010 (1,3 millioner brugeroptegnelser kompromitteret). Og det er bare eksempler på store overtrædelser, der kom nyhederne!
Privacy Rights Clearinghouse opretholder en database med sikkerhedsbrud fra 2005 til i dag . Deres database indeholder en bred vifte af brudtyper: kompromitterede kreditkort, stjålne personnumre, stjålne adgangskoder og sygejournaler. Databasen, fra offentliggørelsen af denne artikel, er sammensat af 4.033 overtrædelser indeholdende 617.937.023 brugeroptegnelser . Ikke alle disse hundreder af millioner af overtrædelser involverede brugeradgangskoder, men millioner af millioner af dem gjorde det.
RELATEREDE: Sådan gendannes efter din e-mail-adgangskode er kompromitteret
Så hvorfor betyder det noget? Bortset fra de åbenlyse og umiddelbare sikkerhedsmæssige konsekvenser af en overtrædelse, skaber overtrædelserne sikkerhedsskader. Hackerne kan straks begynde at teste de logins og adgangskoder, de høster på andre websteder.De fleste mennesker er dovne med deres adgangskoder, og der er en god chance for, at hvis nogen brugte [email protected] med adgangskoden bob1979, at det samme login / kodeordspar fungerer på andre websteder. Hvis disse andre websteder er højere profilerede (f.eks. Banksider, eller hvis den adgangskode, han brugte hos Adobe, faktisk låser sin e-mail-indbakke op), er der et problem. Når nogen har adgang til din e-mail-indbakke, kan de begynde at nulstille adgangskoden til andre tjenester og også få adgang til dem.
Den eneste måde at forhindre, at denne form for kædereaktion forårsager endnu flere sikkerhedsproblemer inden for netværket af websteder og tjenester, du bruger, er at følge to hovedregler for god adgangskodshygiejne:
- Din e-mail-adgangskode skal være lang, stærk og helt unik blandt alle dine logins.
- Hver login får en lang, stærk og unik adgangskode. Ingen genbrug af adgangskode. Nogensinde.
Disse to regler er afhentning fra enhver sikkerhedsguide, vi nogensinde har delt med dig, inklusive vores nødsituation-det-har-ramt-fan-fanen Sådan gendannes efter din e-mail-adgangskode er kompromitteret .
Nu på dette tidspunkt snurrer du sandsynligvis lidt, fordi ærligt talt næsten ingen har perfekt lufttæt adgangskodepraksis og sikkerhed. Du er ikke alene, hvis din adgangskodehygiejne mangler. Faktisk er det tid til en tilståelse.
Jeg har skrevet snesevis af sikkerhedsartikler, indlæg om sikkerhedsbrud og andre adgangskoderelaterede indlæg gennem de år, jeg har været på How-To Geek. Til trods for at være netop den slags informerede, der burde vide bedre, på trods af at jeg bruger en adgangskodeadministrator og genererer sikre adgangskoder til hvert nyt websted og service, da jeg kørte min e-mail gennem liste over kompromitterede Adobe-logins og matchede det med den kompromitterede adgangskode, fandt jeg stadig ud af, at jeg var blevet brændt.
Jeg lavede den Adobe-konto for længe siden, da jeg var betydeligt mere slapp med min adgangskodshygiejne, og den adgangskode, jeg brugte, var almindelig på tværs af snesevis af websteder og tjenester, som jeg havde tilmeldt mig, før jeg blev meget seriøs med at oprette gode adgangskoder.
Alt dette kunne have været forhindret, hvis jeg fuldt ud havde praktiseret det, jeg prædikede, og ikke bare skabte unikke og stærke adgangskoder, men revideret mine gamle adgangskoder for at sikre, at denne situation aldrig skete i første omgang. Uanset om du aldrig engang har forsøgt at være konsistent og sikker med din adgangskodepraksis, eller du bare skal kontrollere dem for at gøre dig rolig, er en grundig adgangskodevisning vejen til adgangskodesikkerhed og ro i sindet. Læs videre, da vi viser dig hvordan.
Forberedelse til din Lastpass sikkerhedsudfordring
Du kunne manuelt kontrollere dine adgangskoder, men det ville være enormt kedeligt, og du ville ikke få nogen af fordelene ved at bruge en god universal adgangskodeadministrator . I stedet for manuelt at kontrollere alt, vil vi tage den nemme og stort set automatiserede rute: Vi vil revidere vores adgangskoder ved at tage LastPass Security Challenge.
Denne vejledning dækker ikke opsætning af LastPass, så hvis du ikke allerede har et LastPass-system i gang, opfordrer vi dig kraftigt til at oprette et. Tjek ud HTG Guide til Kom godt i gang med LastPass at komme i gang. Selvom LastPass er opdateret, siden vi skrev vejledningen (grænsefladen er meget pænere og bedre strømlinet nu), kan du stadig følge trinene med lethed. Hvis du konfigurerer LastPass for første gang, skal du sørge for at importere alle dine gemte adgangskoder fra dine browsere, da vores mål er at kontrollere hver eneste adgangskode, du bruger.
Indtast hvert login og adgangskode i LastPass: Uanset om du er helt ny på LastPass eller ikke har brugt det fuldt ud til hvert login, er det tid til at sikre dig, at du har indtastet hver log ind på LastPass-systemet. Vi vil gentage de råd, vi gav vores guide til gendannelse af e-mail til at kæmpe din e-mail-indbakke til påmindelser:
Søg i din e-mail for registreringspåmindelser. Det vil ikke være svært at huske dine hyppigt anvendte logins som Facebook og din bank, men der er sandsynligvis snesevis af udlægstjenester, som du måske ikke engang husker, at du bruger din e-mail til at logge ind. Brug søgeord som "velkommen til", "nulstil", "gendannelse", "bekræft", "adgangskode", "brugernavn", "login", "konto" og kombinationer der som "nulstil adgangskode" eller "bekræft konto" . Igen ved vi, at dette er besvær, men når du har gjort dette med en adgangskodeadministrator ved din side, har du en hovedliste over al din konto, og du behøver aldrig at søge på søgeord igen.
Aktivér tofaktorautentificering på din LastPass-konto: Dette trin er ikke strengt nødvendigt for at udføre sikkerhedsrevisionen, men mens vi har din opmærksomhed, vil vi gøre alt, hvad vi kan for at opmuntre dig, mens du kaster dig rundt på din LastPass-konto for at slå tofaktorautentificering til for yderligere at sikre din LastPass-hvælving. (Ikke kun øger det din kontosikkerhed, du får også et løft i din sikkerhedsrevisionsscore!)
At tage LastPass Security Challenge
Nu hvor du har importeret alle dine adgangskoder, er det tid til at give dig selv skam over ikke at være i 1% af hardcore-adgangskodesikkerhedsninjaer. Besøg LastPass sikkerhedsudfordring side og tryk på "Start udfordringen" nederst på siden. Du bliver bedt om at indtaste din hovedadgangskode som vist på skærmbilledet ovenfor, og så vil LastPass tilbyde at kontrollere, om nogen af e-mail-adresserne i din hvælving var en del af eventuelle overtrædelser, den har sporet. Der er ingen god grund til ikke at udnytte dette:
Hvis du er heldig, returnerer det et negativt. Hvis du er heldig, får du en popup som denne, der spørger, om du vil have flere oplysninger om de overtrædelser, din e-mail var involveret i:
LastPass udsender en enkelt sikkerhedsadvarsel for hver forekomst. Hvis du har haft din e-mail-adresse i lang tid, skal du være forberedt på at blive chokeret over, hvor mange adgangskodebrud, den er sammenfiltret i. Her er et eksempel på en meddelelse om brud på adgangskode:
Efter pop op-vinduerne bliver du dumpet i hovedpanelet i LastPass Security Challenge. Husk tidligere i guiden, da jeg talte om, hvordan jeg i øjeblikket praktiserer god adgangskodshygiejne, men at jeg aldrig var kommet rundt med at opdatere mange ældre websteder og tjenester korrekt? Det vises virkelig i den score, jeg modtog. Av:
Det er min score med mange års tilfældige adgangskoder blandet ind. Vær ikke for chokeret, hvis din score er endnu lavere, hvis du har brugt den samme håndfuld svage adgangskoder igen og igen. Nu hvor vi har vores score (hvor fantastisk eller skammelig det end måtte være), er det tid til at grave i dataene. Du kan bruge hurtige links ved siden af din pointprocent eller bare begynde at rulle. Første stop, lad os tjekke de detaljerede resultater. Overvej dette en 10.000 fods oversigt over tilstanden af dine adgangskoder:
Mens du skal være opmærksom på al statistik her, er de virkelig vigtige "Gennemsnitlig adgangskodestyrke", hvor svag eller stærk din gennemsnitlige adgangskode er, og endnu vigtigere, "Antal duplikatadgangskoder" og "Antal websteder, der har duplikatadgangskoder ”. På grund af min revision var der 8 dupes på tværs af 43 steder. Det var klart, at jeg havde været temmelig doven med at genbruge den samme adgangskode af lav kvalitet på mere end et par steder.
Næste stop, afsnittet Analyserede websteder. Her finder du en meget konkret opdeling af alle dine logins og adgangskoder organiseret ved dobbelt adgangskodebrug (hvis du havde duplikater), unikke adgangskoder og endelig logins uden en adgangskode, der er gemt i LastPass. Mens du kigger over listen, skal du undre dig over kontrasten mellem adgangskodestyrker. I mit tilfælde fik en af mine økonomiske logins en 45% adgangskodescore, mens min datters Minecraft-login fik en perfekt 100% score. Igen, ouch.
Fastsættelse af din frygtelige sikkerhedsudfordringsscore
Der er to meget nyttige links indbygget lige ind i revisionslisterne. Hvis du klikker på “VIS”, vil det vise dig adgangskoden til dette websted, og hvis du klikker på “Besøg websted”, kan du springe direkte til webstedet, så du kan ændre adgangskoden. Ikke kun skal hver duplikatadgangskode ændres, men enhver adgangskode, der var knyttet til en konto, der blev overtrådt (såsom Adobe.com eller LinkedIn), skal trækkes permanent ud.
Afhængigt af hvor mange eller få adgangskoder du har (og hvor flittig du har været med god adgangskodepraksis), kan dette trin i processen tage dig ti minutter eller hele eftermiddagen. Selvom processen med at ændre dine adgangskoder vil variere afhængigt af layoutet på det websted, du opdaterer, er der nogle generelle retningslinjer, du skal følge (vi bruger vores adgangskodeopdatering på Husk mælken som et eksempel): Besøg siden til ændring af adgangskode . Normalt skal du indtaste din nuværende adgangskode og derefter generere en ny adgangskode.
Gør det ved at klikke på logoet med lås-med-cirkulær-pil. LastPass indsættes i den nye adgangskodeplads (som det ses på skærmbilledet ovenfor). Se over din nye adgangskode, og foretag justeringer, hvis du ønsker det (såsom at forlænge den eller tilføje specialtegn):
Klik på "Brug adgangskode", og bekræft derefter, at du vil opdatere den post, du redigerer:
Sørg også for at bekræfte ændringen med hjemmesiden. Gentag processen for hver duplikat og svag adgangskode i din LastPass-hvælving.
Endelig er den sidste ting, du skal revidere, dit LastPass-hovedadgangskode. Gør det ved at klikke på linket i bunden af udfordringsskærmen mærket "Test styrken af min LastPass Master Password". Hvis du ikke kan se dette:
Du skal nulstille din LastPass-hovedadgangskode og øge styrken, indtil du får en god, positiv 100% styrkebekræftelse.
Kortlægning af resultaterne og yderligere forbedring af din LastPass-sikkerhed
Når du har slog gennem listen over duplikatadgangskoder, slettet gamle poster og ellers ryddet op og sikret din login- / adgangskodeliste, er det tid til at køre revisionen igen. For at understrege, blev den score, du ser nedenfor, kun bragt op ved at forbedre adgangskodesikkerheden. (Hvis du aktiverer yderligere sikkerhedsfunktioner, f.eks multifaktorautentificering , får du et boost på omkring 10%).
Ikke dårligt! Efter at have fjernet hver duplikatadgangskode og bragt alle eksisterende adgangskoder op til 90% styrke eller bedre forbedrede det virkelig vores score. Hvis du er nysgerrig over, hvorfor det ikke sprang til 100%, er der et par faktorer i spil, hvoraf den mest fremtrædende er, at nogle adgangskoder aldrig kan bringes op til snus efter LastPass-standarder på grund af dumme politikker på plads af webstedsadministratorer. For eksempel er mit lokale biblioteks loginadgangskode en firecifret pin (som scorer 4% på LastPass-sikkerhedsskalaen). De fleste mennesker vil have en slags afvigelser som den på deres liste, og som trækker deres score ned.
I sådanne tilfælde er det vigtigt ikke at blive modløs og at bruge din detaljerede opdeling som en metric:
I adgangskodeopdateringsprocessen beskærede jeg 17 duplikat / udløbne websteder, oprettede en unik adgangskode til hvert websted og service og bragte antallet af websteder med duplikatadgangskoder ned fra 43 til 0 i processen.
Det tog kun omkring en time med alvorligt fokuseret tid (hvoraf 12,4% blev brugt til at forbande webstedsdesignere, der placerede links til adgangskodeopdatering på obskure steder), og alt det, der krævede for at få mig motiveret, var en adgangskodebrydelse af katastrofale proportioner! Jeg laver en note her, stor succes.
Nu hvor du har revideret dine adgangskoder, og du er interesseret i at have en stabil unikke adgangskode, lad os drage fordel af den fremadrettede fremdrift. Slå op vores guide til at lave LastPass også selvom mere sikker ved at øge adgangskoden iterationer, begrænse login efter land og meget mere. Mellem kørsel af den revision, vi skitserede her, efter vores LastPass sikkerhedsvejledning, og aktivering af to-faktor algoritmer, har du et skudtæt adgangskodestyringssystem, du kan være stolt af.
