Ha laza jelszókezelést és higiéniát gyakorol, csak idő kérdése, amíg az egyre nagyobb számban előforduló, nagyszabású biztonsági előírások egyike megégeti. Ne légy hálás, hogy kikerülted a korábbi biztonsági megsértési golyókat, és páncélozd magad a jövőbeniek ellen. Olvassa el, miközben megmutatjuk, hogyan ellenőrizheti jelszavát és megvédheti magát.
Mi a nagy ügy és miért számít ez?
Ez év októberében az Adobe elárulta, hogy súlyos biztonsági megsértés történt, amely az Adobe.com és az Adobe szoftver 3 millió felhasználóját érintette. Aztán 38 millióra módosították a számot. Aztán még megdöbbentőbb módon, amikor a hack adatbázis kiszivárgott, az adatbázist elemző biztonsági kutatók visszatértek, és azt mondták, hogy ez inkább 150 millió sérült felhasználói fiókok. A felhasználók ilyen mértékű expozíciója az Adobe megsértését futtatja a történelem egyik legsúlyosabb biztonsági megsértésének.
Az Adobe azonban alig van ezen a fronton; egyszerűen megszakításukkal nyitottunk, mert fájdalmasan nemrég történt. Csak az elmúlt években több tucat súlyos biztonsági megsértés történt, amelyek során a felhasználói információkat, köztük a jelszavakat is veszélyeztették.
A LinkedIn 2012-ben került beütésre (6,46 millió felhasználói rekord sérült). Ugyanebben az évben elérte az eHarmony-t (1,5 millió felhasználói rekord), valamint a Last.fm-t (6,5 millió felhasználói rekord) és a Yahoo! (450 000 felhasználói rekord). A Sony Playstation Network-t 2011-ben érték el (101 millió felhasználói rekord sérül). A Gawker Media-t (az olyan webhelyek anyavállalata, mint a Gizmodo és a Lifehacker) 2010-ben érte el (1,3 millió felhasználói rekord sérül). És ezek csak példák a nagy jogsértésekre, amelyek híreket adtak!
A Privacy Rights Clearinghouse fenntartja a 2005-től napjainkig tartó biztonsági megsértések adatbázisa . Adatbázisuk a szabálysértési típusok széles skáláját tartalmazza: feltört hitelkártyák, ellopott társadalombiztosítási számok, ellopott jelszavak és orvosi dokumentumok. A cikk megjelenésekor az adatbázis a következőkből áll: 4033 szabálysértés tartalmazó 617 937 023 felhasználói rekord . A százmilliós jogsértések közül nem mindegyikhez tartoztak felhasználói jelszavak, de milliószor milliókhoz.
ÖSSZEFÜGGŐ: Hogyan lehet helyreállítani az e-mail jelszó megsértése után
Akkor miért számít? A jogsértés nyilvánvaló és azonnali biztonsági következményeitől eltekintve a jogsértések járulékos károkat okoznak. A hackerek azonnal megkezdhetik a más webhelyeken gyűjtött bejelentkezési nevek és jelszavak tesztelését.A legtöbb ember lusta a jelszavával, és jó esély van arra, hogy ha valaki a [email protected] címet használta a bob1979 jelszóval, akkor ugyanaz a bejelentkezési / jelszó pár működni fog más webhelyeken is. Ha ezek a más webhelyek magasabb profilúak (például banki oldalak, vagy ha az Adobe-nál használt jelszó valóban feloldja az e-mail postafiókját), akkor van egy probléma. Miután valaki hozzáfér az e-mail postaládájához, megkezdheti a jelszó visszaállítását más szolgáltatásokban, és hozzájuk is hozzájuthat.
Az egyetlen módja annak, hogy megakadályozza, hogy ez a fajta láncreakció még több biztonsági problémát okozzon az Ön által használt webhelyek és szolgáltatások hálózatában, ha betartja a jó jelszó-higiénia két sarkalatos szabályát:
- E-mail jelszavának hosszúnak, erősnek és teljesen egyedinak kell lennie az összes bejelentkezése között.
- Minden A bejelentkezés hosszú, erős és egyedi jelszót kap. Nincs jelszó újrafelhasználása. Valaha.
Ez a két szabály elveszíti az összes biztonsági útmutatót, amelyet valaha megosztottunk Önnel, ideértve a vészhelyzeti útmutatót is Hogyan lehet helyreállítani az e-mail jelszó megsértése után .
Most ezen a ponton valószínűleg egy kicsit mocorogsz, mert őszintén szólva alig van senkinek tökéletesen légmentesen működő jelszavas gyakorlata és biztonsága. Nem vagy egyedül, ha hiányzik a jelszóval kapcsolatos higiénia. Valójában itt a vallomás ideje.
Több tucat biztonsági cikket, biztonsági megsértésről szóló bejegyzést és más, jelszóval kapcsolatos bejegyzéseket írtam az évek során, amikor a How-To Geeknél voltam. Annak ellenére, hogy pontosan az a tájékozott ember, akinek jobban kellene tudnia, annak ellenére, hogy jelszókezelőt használtam, és biztonságos jelszavakat generáltam minden új webhelyhez és szolgáltatáshoz, amikor az e-mailemet a a sérült Adobe bejelentkezések listája és egyeztettem a feltört jelszóval, még mindig megtudtam, hogy megégtem.
Nagyon régen hoztam létre ezt az Adobe-fiókot, amikor lényegesen lazább voltam a jelszóval kapcsolatos higiénia terén, és az általam használt jelszó általános volt több tucat olyan webhelyek és szolgáltatások, amelyekre regisztráltam, mielőtt komolyan belekezdtem a jó jelszavak készítésébe.
Mindez megakadályozható lett volna, ha teljes mértékben gyakorolom az igehirdetést, és nemcsak egyedi és erős jelszavakat hozok létre, hanem ellenőrizte a régi jelszavaimat, hogy ez a helyzet soha ne forduljon elő. Függetlenül attól, hogy még soha nem próbált következetes és biztonságos lenni a jelszóval kapcsolatos gyakorlatokkal, vagy csak át kell őket néznie, hogy könnyebbé tegye magát, az alapos jelszóellenőrzés a jelszóbiztonság és a nyugalom útja. Olvassa el, amint megmutatjuk, hogyan.
Felkészülés a Lastpass biztonsági kihívásra
Manuálisan ellenőrizheti a jelszavakat, de ez rendkívül unalmas, és nem élvezné a jó univerzális használat előnyeit jelszókezelő . Ahelyett, hogy mindent manuálisan ellenőriznénk, a könnyebb és nagyrészt automatizált utat választjuk: a LastPass Security Challenge segítségével megvizsgáljuk a jelszavainkat.
Ez az útmutató nem fedi le a LastPass beállítását, ezért ha még nincs telepítve és működik a LastPass rendszer, akkor erősen javasoljuk, hogy állítson egyet. Nézd meg A HTG útmutató a LastPass használatának megkezdéséhez kezdeni. Bár a LastPass az útmutató megírása óta frissült (a felület sokkal szebb és korszerűbb most), akkor is könnyedén követheti a lépéseket. Ha először állítja be a LastPass programot, akkor feltétlenül importálja összes a böngészőiből tárolt jelszavakat, mivel célunk minden egyes használt jelszó ellenőrzése.
Írjon be minden bejelentkezési nevet és jelszót a LastPass-ba: Akár vadonatúj a LastPass, vagy nem használta teljes mértékben minden bejelentkezéskor, itt az ideje, hogy megbizonyosodjon arról, hogy belépett-e minden jelentkezzen be a LastPass rendszerbe. Visszhangozzuk a tanácsokat, amelyeket adtunk e-mail helyreállítási útmutatónk az e-mail beérkező levelek fésüléséhez emlékeztetőként:
Keressen e-mailben regisztrációs emlékeztetőket. Nem lesz nehéz emlékezni a gyakran használt bejelentkezési adataira, például a Facebookra és a bankjára, de valószínűleg több tucat olyan kiadási szolgáltatás létezik, amelyekre talán nem is emlékszik, hogy e-mailjeivel jelentkezik be. Használjon olyan kulcsszókereséseket, mint „üdvözöljük”, „visszaállítás”, „helyreállítás”, „ellenőrzés”, “jelszó”, “felhasználónév”, “bejelentkezés”, “fiók” és ezek kombinációi, például “jelszó visszaállítása” vagy “fiók igazolása”. . Ismét tudjuk, hogy ez egy szóváltás, de miután ezt megtette egy jelszókezelővel az oldalán, megkapja az összes fiókjának fő listáját, és soha többé nem kell ezt a kulcsszóvadászatot végeznie.
Engedélyezze a kéttényezős hitelesítést a LastPass-fiókján: Ez a lépés nem feltétlenül szükséges a biztonsági audit elvégzéséhez, de bár figyelünk rád, mindent megteszünk, hogy ösztönözzünk, miközben a LastPass-fiókodban muzsikálsz, hogy kapcsolja be a kétfaktoros hitelesítést hogy tovább rögzítse LastPass tárolóját. (Ez nem csak a fiók biztonságát növeli, hanem növeli a biztonsági audit pontszámát is!)
A LastPass Security Challenge felvétele
Most, hogy az összes jelszavát importálta, itt az ideje felkészülni arra a szégyenre, hogy nem szerepel a hardveres jelszavak biztonsági nindzsáinak 1% -ában. Meglátogatni a LastPass Security Challenge oldalt, és nyomja meg az oldal alján található „Start the Challenge” gombot. A rendszer kéri a fő jelszó megadását, amint az a fenti képernyőképen látható, majd a LastPass felajánlja annak ellenőrzését, hogy a tárolójában található e-mail címek bármelyike része volt-e az általa követett jogsértéseknek. Nincs jó ok ennek kihasználására:
Ha szerencséd van, akkor negatív eredményt ad. Ha szerencséje van, kap egy ilyen előugró ablakot, amelyben megkérdezi, hogy szeretne-e további információt kapni az e-mailje által elkövetett jogsértésekről:
A LastPass minden egyes esetre egyetlen biztonsági riasztást ad ki. Ha már régóta megvan az e-mail címe, készüljön fel, hogy megdöbben, hogy hány jelszótörést kavart össze. Íme egy példa a jelszó megsértésével kapcsolatos értesítésre:
Az előugró ablakok után a LastPass Security Challenge fő paneljére kerül. Emlékszel az útmutató korábbi részére, amikor arról beszéltem, hogy jelenleg hogyan gyakorolom a jó jelszó-higiéniát, de soha nem jöttem rá sok régebbi webhely és szolgáltatás megfelelő frissítésére? Ez valóban megjelenik a kapott pontszámban. Jaj:
Ez az én pontszámom, éveken át véletlenszerű jelszavakkal keveredve. Ne döbbenj meg túlságosan, ha a pontszámod még alacsonyabb, ha ugyanazokat a maroknyi gyenge jelszavakat használtad újra és újra. Most, hogy megvan a pontszámunk (bármilyen félelmetes vagy szégyenteljes is ez), itt az ideje, hogy belemélyedjünk az adatokba. Használhatja a gyors linkeket a pontszáma mellett, vagy csak elkezdhet görgetni. Első megállás, nézzük meg a részletes eredményeket. Tekintsük ezt a jelszavak állapotának 10 000 láb áttekintését:
Bár figyelnie kell az összes statisztikára, az igazán fontosak a következők: „Átlagos jelszóerősség”, az átlagos jelszó gyengesége vagy erőssége, és ami még fontosabb: „Ismétlődő jelszavak száma” és „Ismétlődő jelszavakkal rendelkező webhelyek száma” ”. Ellenőrzésem okaként 8 csalás volt 43 helyszínen. Nyilvánvalóan elég lustán használtam ugyanazt az alacsony minőségű jelszót több webhelynél.
Következő állomás, az Elemzett helyek szakasz. Itt megtalálja az összes bejelentkezési adatait és jelszavait, kettős jelszóhasználattal (ha voltak duplikátumok), egyedi jelszavakkal, végül a LastPass-ban tárolt jelszó nélküli bejelentkezésekkel. Amíg átnézi a listát, csodálkozzon a jelszó erősségei közötti ellentéten. Esetemben az egyik pénzügyi bejelentkezésem 45% -os jelszó pontszámot kapott, míg a lányom Minecraft bejelentkezése tökéletes 100% -os pontszámot kapott. Ismét, jaj.
Javítva a szörnyű biztonsági kihívás pontszámot
Két nagyon hasznos link van beépítve közvetlenül az ellenőrzési listákba. Ha a „MUTAT” gombra kattint, akkor megjelenik az adott webhely jelszava, és ha a „Látogatás a webhelyre” gombra kattint, akkor közvetlenül a webhelyre ugorhat, így megváltoztathatja a jelszót. Nemcsak minden másodlagos jelszót kell megváltoztatni, hanem a megsértett fiókhoz (például az Adobe.com vagy a LinkedIn) csatolt jelszavakat is végleg el kell vonni.
Attól függően, hogy hány vagy kevés jelszava van (és mennyire szorgalmasan viselkedett a jó jelszó gyakorlatokkal kapcsolatban), a folyamat ezen lépése tíz percet vagy egész délutánt vehet igénybe. Bár a jelszavak megváltoztatása a frissített webhely elrendezésétől függően változik, az alábbiakban felsorolunk néhány általános irányelvet, amelyet be kell tartanunk (példaként használjuk a Jelszó frissítés című cikket: Emlékezzünk a tejre:) . Általában be kell írnia a jelenlegi jelszavát, majd új jelszót kell létrehoznia.
Ehhez kattintson a lock-with-round-arrow logóra. A LastPass beszúrja az új jelszóhelybe (a fenti képernyőképen látható módon). Nézze át új jelszavát, és végezze el a szükséges módosításokat (például meghosszabbíthatja vagy speciális karaktereket adhat hozzá):
Kattintson a „Jelszó használata” elemre, majd erősítse meg, hogy frissíteni kívánja a szerkesztett bejegyzést:
Ügyeljen arra, hogy a változást a webhelyen is megerősítse. Ismételje meg a folyamatot a LastPass-tároló minden másolatához és gyenge jelszavához.
Végül az utolsó dolog, amit ellenőriznie kell, a LastPass Master jelszó. Tegye ezt a Kihívás képernyő alján található linkre kattintva, amelynek címe: „Tesztelje a LastPass mester jelszavam erősségét”. Ha ezt nem látja:
Vissza kell állítania LastPass Master jelszavát, és növelnie kell az erejét, amíg szép, pozitív, 100% -os megerősítést nem kap.
Az eredmények áttekintése és a LastPass biztonságának további javítása
Miután átnézte az ismétlődő jelszavak listáját, törölte a régi bejegyzéseket, és egyébként rendbe hozta és biztonságossá tette bejelentkezési / jelszó listáját, itt az ideje, hogy újra elvégezze az ellenőrzést. Most hangsúlyozandó, hogy az alábbi pontszámot kizárólag a jelszó biztonságának javításával hozták létre. (Ha további biztonsági funkciókat engedélyez, pl többtényezős hitelesítés , körülbelül 10% -os növekedést kap).
Nem rossz! Miután megszüntette a duplikált jelszavakat, és az összes meglévő jelszót 90% -os vagy annál erősebbé tette, ez valóban javította a pontszámunkat. Ha kíváncsi arra, hogy miért nem ugrott 100% -ra, van néhány tényező, amelyek közül a legfontosabb: az, hogy a LastPass szabványai bizonyos jelszavakat soha nem tudnak tubákba hozni, a webhely rendszergazdái. Például a helyi könyvtáram bejelentkezési jelszava egy négyjegyű PIN-kód (amely 4% -ot ér el a LastPass biztonsági skálán). A legtöbb embernek lesz valamilyen ilyen kiugró értéke a listáján, és ez lefelé húzza a pontszámát.
Ilyen esetekben fontos, hogy ne csüggedjen el, és a részletes bontást használja metrikának:
A jelszó-frissítési folyamat során 17 ismétlődő / lejárt webhelyet metszettem, minden webhelyhez és szolgáltatáshoz létrehoztam egy egyedi jelszót, és a folyamat során az ismétlődő jelszavakkal rendelkező webhelyek számát 43-ról 0-ra csökkentettem.
Csak körülbelül egy órányi, komolyan összpontosított idő kellett (ennek 12,4% -át olyan weboldal-tervezők átkozásával töltöttük, akik homályos helyre tették a jelszó-frissítési linkeket), és csak a katasztrofális méretű jelszó megsértése kellett a motivációhoz! Itt jegyzetelek, hatalmas siker.
Most, hogy ellenőrizte a jelszavakat, és felmerült bennünk a stabil egyedi jelszavak megléte, használjuk ki ezt az előre lendületet. Felütés útmutatónk a LastPass elkészítéséhez még biztonságosabb a jelszó-ismétlések növelésével, a bejelentkezések országonkénti korlátozásával és egyebekkel. Az itt ismertetett audit lefuttatása, a LastPass biztonsági útmutatónk követése és a kétfaktoros algoritmusok bekapcsolása között golyóálló jelszókezelő rendszerrel rendelkezik, amelyre büszke lehet.
