Wenn Sie laxes Passwortmanagement und Hygiene praktizieren, ist es nur eine Frage der Zeit, bis eine der immer zahlreicher werdenden Sicherheitsverletzungen Sie verbrennt. Hör auf, dankbar zu sein, dass du den vergangenen Sicherheitsverletzungskugeln ausgewichen bist und dich gegen die zukünftigen gepanzert hast. Lesen Sie weiter, während wir Ihnen zeigen, wie Sie Ihre Passwörter prüfen und sich schützen können.
Was ist die große Sache und warum ist das wichtig?
Im Oktober dieses Jahres gab Adobe bekannt, dass 3 Millionen Benutzer von Adobe.com und Adobe-Software von einer schwerwiegenden Sicherheitsverletzung betroffen waren. Dann revidierten sie die Zahl auf 38 Millionen. Noch schockierender, als die Datenbank des Hacks durchgesickert war, kamen Sicherheitsforscher, die die Datenbank analysierten, zurück und sagten, es sei eher so 150 Millionen gefährdete Benutzerkonten. Dieser Grad der Benutzerpräsenz macht die Adobe-Verletzung zu einer der schlimmsten Sicherheitsverletzungen in der Geschichte.
Adobe ist in dieser Hinsicht jedoch kaum allein. Wir haben einfach mit ihrer Verletzung begonnen, weil sie schmerzlich neu ist. Allein in den letzten Jahren gab es Dutzende massiver Sicherheitsverletzungen, bei denen Benutzerinformationen, einschließlich Passwörter, kompromittiert wurden.
LinkedIn wurde 2012 getroffen (6,46 Millionen Benutzerdatensätze wurden kompromittiert). Im selben Jahr wurde eHarmony (1,5 Millionen Benutzerdatensätze) sowie Last.fm (6,5 Millionen Benutzerdatensätze) und Yahoo! (450.000 Benutzerdatensätze). Das Sony Playstation Network wurde 2011 getroffen (101 Millionen Benutzerdatensätze wurden kompromittiert). Gawker Media (die Muttergesellschaft von Websites wie Gizmodo und Lifehacker) wurde 2010 getroffen (1,3 Millionen Benutzerdatensätze wurden kompromittiert). Und das sind nur Beispiele für große Verstöße, die die Nachrichten gemacht haben!
Das Privacy Rights Clearinghouse unterhält eine Datenbank mit Sicherheitsverletzungen von 2005 bis heute . Ihre Datenbank enthält eine Vielzahl von Arten von Verstößen: kompromittierte Kreditkarten, gestohlene Sozialversicherungsnummern, gestohlene Passwörter und Krankenakten. Die Datenbank besteht zum Zeitpunkt der Veröffentlichung dieses Artikels aus 4.033 Verstöße enthält 617.937.023 Benutzerdatensätze . Nicht jeder dieser Hunderte Millionen Verstöße betraf Benutzerkennwörter, aber Millionen und Abermillionen von ihnen.
VERBUNDEN: Wiederherstellen, nachdem Ihr E-Mail-Passwort kompromittiert wurde
Warum ist das wichtig? Abgesehen von den offensichtlichen und unmittelbaren Auswirkungen eines Verstoßes auf die Sicherheit verursachen die Verstöße Kollateralschäden. Die Hacker können sofort mit dem Testen der Anmeldungen und Kennwörter beginnen, die sie auf anderen Websites sammeln.Die meisten Leute sind mit ihren Passwörtern faul und es besteht eine gute Chance, dass, wenn jemand [email protected] mit dem Passwort bob1979 verwendet, dasselbe Login / Passwort-Paar auf anderen Websites funktioniert. Wenn diese anderen Websites einen höheren Bekanntheitsgrad haben (z. B. Bankenseiten oder wenn das bei Adobe verwendete Kennwort seinen E-Mail-Posteingang tatsächlich entsperrt), liegt ein Problem vor. Sobald jemand Zugriff auf Ihren E-Mail-Posteingang hat, kann er das Kennwort für andere Dienste zurücksetzen und auch auf diese zugreifen.
Der einzige Weg, um zu verhindern, dass diese Art von Kettenreaktion noch mehr Sicherheitsprobleme im Netzwerk der von Ihnen verwendeten Websites und Dienste verursacht, besteht darin, zwei Grundregeln für eine gute Passworthygiene zu befolgen:
- Ihr E-Mail-Passwort sollte lang, sicher und unter all Ihren Anmeldungen völlig eindeutig sein.
- Jeden Der Login erhält ein langes, sicheres und eindeutiges Passwort. Keine Passwortwiederverwendung. Je.
Diese beiden Regeln sind das Mitnehmen aus jedem Sicherheitsleitfaden, den wir jemals mit Ihnen geteilt haben, einschließlich unseres Notfallleitfadens, der den Fan getroffen hat Wiederherstellen, nachdem Ihr E-Mail-Passwort kompromittiert wurde .
Jetzt winden Sie sich wahrscheinlich ein wenig, weil ehrlich gesagt kaum jemand perfekt luftdichte Passwortpraktiken und Sicherheit hat. Sie sind nicht allein, wenn Ihre Passworthygiene fehlt. Tatsächlich ist es Zeit für ein Geständnis.
Ich habe in den Jahren, in denen ich bei How-To Geek war, Dutzende von Sicherheitsartikeln, Posts über Sicherheitsverletzungen und andere passwortbezogene Posts geschrieben. Obwohl ich genau die Art von informierter Person bin, die es besser wissen sollte, trotz der Verwendung eines Passwort-Managers und der Generierung sicherer Passwörter für jede neue Website und jeden neuen Dienst, als ich meine E-Mail durch die Liste der gefährdeten Adobe-Anmeldungen Ich habe immer noch herausgefunden, dass ich mich verbrannt habe.
Ich habe dieses Adobe-Konto vor langer Zeit erstellt, als ich mit meiner Kennworthygiene wesentlich nachlässiger war und das von mir verwendete Kennwort überall verwendet wurde Dutzende von Websites und Diensten, bei denen ich mich angemeldet hatte, bevor ich es ernst meinte, gute Passwörter zu erstellen.
All dies hätte verhindert werden können, wenn ich das, was ich predigte, vollständig geübt und nicht nur eindeutige und sichere Passwörter erstellt hätte, sondern Ich habe meine alten Passwörter überprüft, um sicherzustellen, dass diese Situation überhaupt nicht aufgetreten ist. Unabhängig davon, ob Sie noch nie versucht haben, mit Ihren Passwortpraktiken konsistent und sicher zu sein, oder ob Sie sie nur überprüfen müssen, um sich wohl zu fühlen, ist eine gründliche Passwortprüfung der Weg zu Passwortsicherheit und Sicherheit. Lesen Sie weiter, wie wir Ihnen zeigen, wie.
Vorbereitung auf Ihre Lastpass-Sicherheitsherausforderung
Sie könnten Ihre Passwörter manuell prüfen, aber das wäre enorm mühsam und Sie würden keinen der Vorteile einer guten Universalität nutzen Passwortmanager . Anstatt alles manuell zu prüfen, werden wir den einfachen und weitgehend automatisierten Weg einschlagen: Wir werden unsere Passwörter prüfen, indem wir die LastPass Security Challenge annehmen.
In diesem Handbuch wird das Einrichten von LastPass nicht behandelt. Wenn Sie also noch kein LastPass-System eingerichtet haben, empfehlen wir Ihnen dringend, eines einzurichten. Auschecken Das HTG-Handbuch für den Einstieg in LastPass um loszulegen. Obwohl LastPass seit dem Schreiben des Handbuchs aktualisiert wurde (die Benutzeroberfläche ist jetzt viel hübscher und besser optimiert), können Sie die Schritte dennoch problemlos ausführen. Wenn Sie LastPass zum ersten Mal einrichten, müssen Sie den Import durchführen alle Ihre gespeicherten Passwörter in Ihren Browsern, da unser Ziel darin besteht, jedes einzelne Passwort zu überprüfen, das Sie verwenden.
Geben Sie jedes Login und Passwort in LastPass ein: Unabhängig davon, ob Sie neu bei LastPass sind oder es nicht bei jedem Login vollständig verwendet haben, ist es jetzt an der Zeit, sicherzustellen, dass Sie eingegeben haben jeden Melden Sie sich beim LastPass-System an. Wir werden den Rat wiederholen, den wir gegeben haben unser E-Mail-Wiederherstellungshandbuch zum Kämmen Ihres E-Mail-Posteingangs für Erinnerungen:
Durchsuchen Sie Ihre E-Mail nach Registrierungserinnerungen. Es wird nicht schwer sein, sich an Ihre häufig verwendeten Anmeldungen wie Facebook und Ihre Bank zu erinnern, aber es gibt wahrscheinlich Dutzende von Ausgaben-Diensten, an die Sie sich möglicherweise nicht einmal erinnern, dass Sie Ihre E-Mail-Adresse zum Anmelden verwenden. Verwenden Sie Stichwortsuchen wie "Willkommen bei", "Zurücksetzen", "Wiederherstellung", "Überprüfen", "Passwort", "Benutzername", "Anmelden", "Konto" und Kombinationen wie "Passwort zurücksetzen" oder "Konto überprüfen". . Auch hier wissen wir, dass dies ein Ärger ist. Wenn Sie dies jedoch mit einem Passwort-Manager an Ihrer Seite getan haben, haben Sie eine Hauptliste Ihres gesamten Kontos und müssen diese Keyword-Suche nie wieder durchführen.
Aktivieren Sie die Zwei-Faktor-Authentifizierung in Ihrem LastPass-Konto: Dieser Schritt ist nicht unbedingt erforderlich, um die Sicherheitsüberprüfung durchzuführen. Wir werden jedoch alles daran setzen, Sie zu ermutigen, während Sie in Ihrem LastPass-Konto herumspielen Aktivieren Sie die Zwei-Faktor-Authentifizierung um Ihren LastPass-Tresor weiter zu sichern. (Dies erhöht nicht nur die Sicherheit Ihres Kontos, sondern erhöht auch die Sicherheitsüberprüfung!)
Nehmen Sie die LastPass-Sicherheitsherausforderung an
Nachdem Sie alle Ihre Passwörter importiert haben, ist es an der Zeit, sich auf die Schande vorzubereiten, nicht in den 1% der Hardcore-Ninjas zur Passwortsicherheit zu sein. Besuche den LastPass-Sicherheitsherausforderung Seite und drücken Sie "Start the Challenge" am unteren Rand der Seite. Sie werden aufgefordert, Ihr Hauptkennwort einzugeben (siehe Abbildung oben). Anschließend bietet LastPass an, zu überprüfen, ob eine der in Ihrem Tresor enthaltenen E-Mail-Adressen Teil der von ihm erfassten Verstöße war. Es gibt keinen guten Grund, dies nicht zu nutzen:
Wenn Sie Glück haben, wird ein Negativ zurückgegeben. Wenn Sie Glück haben, wird in einem Popup wie diesem gefragt, ob Sie weitere Informationen zu den Verstößen wünschen, an denen Ihre E-Mail beteiligt war:
LastPass gibt für jede Instanz eine einzelne Sicherheitswarnung aus. Wenn Sie Ihre E-Mail-Adresse schon lange haben, sollten Sie sich darüber schockieren lassen, wie viele Kennwortverletzungen sich darin verwickelt haben. Hier ein Beispiel für eine Kennwortverletzungsbenachrichtigung:
Nach den Popups werden Sie in das Hauptfenster der LastPass Security Challenge verschoben. Erinnern Sie sich noch an die frühere Anleitung, als ich darüber sprach, wie ich derzeit eine gute Passworthygiene praktiziere, aber nie dazu gekommen bin, viele ältere Websites und Dienste ordnungsgemäß zu aktualisieren? Es zeigt sich wirklich in der Partitur, die ich erhalten habe. Autsch:
Das ist meine Punktzahl mit jahrelangen zufälligen Passwörtern. Seien Sie nicht zu schockiert, wenn Ihre Punktzahl noch niedriger ist, wenn Sie immer wieder dieselbe Handvoll schwacher Passwörter verwendet haben. Jetzt, da wir unsere Punktzahl haben (wie großartig oder beschämend sie auch sein mag), ist es Zeit, sich mit den Daten zu befassen. Sie können die Quicklinks neben Ihrem Score-Prozentsatz verwenden oder einfach mit dem Scrollen beginnen. Schauen wir uns zunächst die detaillierten Ergebnisse an. Betrachten Sie dies als eine 10.000-Fuß-Übersicht über den Status Ihrer Passwörter:
Während Sie hier auf alle Statistiken achten sollten, sind die wirklich wichtigen die "Durchschnittliche Passwortstärke", wie schwach oder stark Ihr durchschnittliches Passwort ist und, noch wichtiger, "Anzahl der doppelten Passwörter" und "Anzahl der Websites mit doppelten Passwörtern" ”. Bei meiner Prüfung gab es 8 Dupes an 43 Standorten. Offensichtlich war ich ziemlich faul gewesen, das gleiche minderwertige Passwort auf mehr als ein paar Websites wiederzuverwenden.
Nächster Stopp ist der Abschnitt Analysierte Sites. Hier finden Sie eine sehr konkrete Aufschlüsselung aller Ihrer Anmeldungen und Kennwörter, die nach doppelter Kennwortverwendung (wenn Sie doppelte Kennwörter hatten), eindeutigen Kennwörtern und schließlich Anmeldungen ohne in LastPass gespeichertes Kennwort organisiert sind. Bewundern Sie beim Durchsuchen der Liste den Kontrast zwischen den Kennwortstärken. In meinem Fall erhielt einer meiner Finanzanmeldungen eine Kennwortbewertung von 45%, während die Minecraft-Anmeldung meiner Tochter eine perfekte Bewertung von 100% erhielt. Wieder autsch.
Fixieren Sie Ihre schreckliche Sicherheitsherausforderung
Es gibt zwei sehr nützliche Links, die direkt in die Prüfungslisten integriert sind. Wenn Sie auf "ANZEIGEN" klicken, wird das Kennwort für diese Site angezeigt. Wenn Sie auf "Site besuchen" klicken, können Sie direkt zur Website springen, um das Passwort zu ändern. Es sollte nicht nur jedes doppelte Passwort geändert werden, sondern auch jedes Passwort, das an ein Konto angehängt wurde, gegen das verstoßen wurde (z. B. Adobe.com oder LinkedIn), sollte dauerhaft gelöscht werden.
Abhängig davon, wie viele oder wenige Passwörter Sie haben (und wie sorgfältig Sie sich mit guten Passwortpraktiken befasst haben), kann dieser Schritt des Vorgangs zehn Minuten oder den ganzen Nachmittag dauern. Obwohl das Ändern Ihrer Passwörter je nach Layout der Website, die Sie aktualisieren, unterschiedlich ist, sollten Sie die folgenden allgemeinen Richtlinien befolgen (wir verwenden unser Passwort-Update unter Remember the Milk als Beispiel): Besuchen Sie die Seite zum Ändern von Passwörtern . In der Regel müssen Sie Ihr aktuelles Passwort eingeben und anschließend ein neues Passwort generieren.
Klicken Sie dazu auf das Logo mit Schloss mit kreisförmigem Pfeil. LastPass wird in den neuen Passwortsteckplatz eingefügt (siehe Abbildung oben). Sehen Sie sich Ihr neues Passwort an und nehmen Sie gegebenenfalls Anpassungen vor (z. B. Verlängerung oder Hinzufügen von Sonderzeichen):
Klicken Sie auf "Kennwort verwenden" und bestätigen Sie, dass Sie den zu bearbeitenden Eintrag aktualisieren möchten:
Stellen Sie sicher, dass Sie die Änderung auch auf der Website bestätigen. Wiederholen Sie den Vorgang für jedes doppelte und schwache Kennwort in Ihrem LastPass-Tresor.
Das letzte, was Sie überprüfen müssen, ist Ihr LastPass-Master-Passwort. Klicken Sie dazu auf den Link am unteren Rand des Herausforderungsbildschirms mit der Bezeichnung „Testen Sie die Stärke meines LastPass-Master-Passworts“. Wenn Sie dies nicht sehen:
Sie müssen Ihr LastPass-Master-Passwort zurücksetzen und die Stärke erhöhen, bis Sie eine schöne, positive Bestätigung mit 100% Stärke erhalten.
Überprüfen Sie die Ergebnisse und verbessern Sie Ihre LastPass-Sicherheit weiter
Nachdem Sie die Liste der doppelten Kennwörter durchsucht, alte Einträge gelöscht und Ihre Anmelde- / Kennwortliste anderweitig aufgeräumt und gesichert haben, ist es Zeit, die Prüfung erneut auszuführen. Zur Hervorhebung wurde die unten angezeigte Punktzahl ausschließlich durch die Verbesserung der Kennwortsicherheit erzielt. (Wenn Sie zusätzliche Sicherheitsfunktionen aktivieren, z Multi-Faktor-Authentifizierung erhalten Sie einen Schub von ca. 10%).
Nicht schlecht! Nachdem wir alle doppelten Passwörter entfernt und alle vorhandenen Passwörter auf eine Stärke von 90% oder besser gebracht haben, hat sich unsere Punktzahl wirklich verbessert. Wenn Sie neugierig sind, warum es nicht zu 100% gesprungen ist, spielen einige Faktoren eine Rolle. Der wichtigste ist, dass einige Passwörter nach LastPass-Standards aufgrund alberner Richtlinien, die von der Site-Administratoren. Das Anmeldekennwort meiner lokalen Bibliothek ist beispielsweise eine vierstellige PIN (die auf der LastPass-Sicherheitsskala 4% beträgt). Die meisten Leute haben solche Ausreißer in ihrer Liste und das zieht ihre Punktzahl nach unten.
In solchen Fällen ist es wichtig, sich nicht entmutigen zu lassen und Ihre detaillierte Aufschlüsselung als Metrik zu verwenden:
Bei der Kennwortaktualisierung habe ich 17 doppelte / abgelaufene Websites gelöscht, für jede Website und jeden Dienst ein eindeutiges Kennwort erstellt und dabei die Anzahl der Websites mit doppelten Kennwörtern von 43 auf 0 gesenkt.
Es dauerte nur etwa eine Stunde ernsthaft konzentrierter Zeit (12,4% davon wurden damit verbracht, Website-Designer zu verfluchen, die Links zur Kennwortaktualisierung an dunklen Orten platzieren), und alles, was ich brauchte, um mich zu motivieren, war eine Kennwortverletzung von katastrophalen Ausmaßen! Ich mache mir hier eine Notiz, großer Erfolg.
Nachdem Sie Ihre Passwörter überprüft haben und sich über eine Reihe eindeutiger Passwörter freuen, können Sie diese Dynamik nutzen. Schlagen Sie zu unser Leitfaden zur Erstellung von LastPass sogar sicherer durch Erhöhen der Kennwortiterationen, Einschränken der Anmeldungen nach Land und mehr. Zwischen dem Ausführen des hier beschriebenen Audits, dem Befolgen unseres LastPass-Sicherheitshandbuchs und dem Aktivieren von Zwei-Faktor-Algorithmen steht Ihnen ein kugelsicheres Kennwortverwaltungssystem zur Verfügung, auf das Sie stolz sein können.
