Jika Anda mempraktikkan pengelolaan dan kebersihan sandi yang lemah, itu hanya masalah waktu sampai salah satu dari pelanggaran keamanan skala besar yang semakin banyak terjadi membakar Anda. Berhentilah bersyukur, Anda menghindari peluru pelanggaran keamanan masa lalu dan melindungi diri Anda sendiri dari masa depan. Baca terus selagi kami tunjukkan cara mengaudit kata sandi Anda dan melindungi diri Anda sendiri.
Apa Masalah Besarnya dan Mengapa Ini Penting?
Pada bulan Oktober tahun ini, Adobe mengungkapkan bahwa telah terjadi pelanggaran keamanan besar yang memengaruhi 3 juta pengguna perangkat lunak Adobe.com dan Adobe. Kemudian mereka merevisi jumlahnya menjadi 38 juta. Kemudian, yang lebih mengejutkan, ketika basis data dari peretasan bocor, peneliti keamanan yang menganalisis basis data kembali dan mengatakan itu lebih seperti 150 juta akun pengguna yang disusupi. Tingkat keterpaparan pengguna ini menempatkan pelanggaran Adobe sebagai salah satu pelanggaran keamanan terburuk dalam sejarah.
Adobe hampir tidak sendirian di bagian depan ini; kami hanya membuka dengan pelanggaran mereka karena itu baru-baru ini yang menyakitkan. Dalam beberapa tahun terakhir saja, telah terjadi lusinan pelanggaran keamanan besar-besaran di mana informasi pengguna, termasuk kata sandi, telah disusupi.
LinkedIn terpukul pada tahun 2012 (6,46 juta catatan pengguna disusupi). Pada tahun yang sama, eHarmony menjadi hit (1,5 juta catatan pengguna) seperti Last.fm (6,5 juta catatan pengguna) dan Yahoo! (450.000 catatan pengguna). Sony Playstation Network terpukul pada tahun 2011 (101 juta catatan pengguna dikompromikan). Gawker Media (perusahaan induk situs seperti Gizmodo dan Lifehacker) terkena serangan pada tahun 2010 (1,3 juta catatan pengguna disusupi). Dan itu hanya contoh pelanggaran besar yang menjadi berita!
The Privacy Rights Clearinghouse mengelola database pelanggaran keamanan dari tahun 2005 hingga saat ini . Database mereka mencakup berbagai jenis pelanggaran: kartu kredit yang dibobol, nomor jaminan sosial yang dicuri, kata sandi yang dicuri, dan catatan medis. Basis data, pada penerbitan artikel ini, terdiri dari 4.033 pelanggaran mengandung 617.937.023 catatan pengguna . Tidak setiap satu dari ratusan juta pelanggaran melibatkan kata sandi pengguna, tetapi jutaan demi jutaan pelanggaran itu terjadi.
TERKAIT: Cara Memulihkan Setelah Kata Sandi Email Anda Disusupi
Jadi mengapa itu penting? Selain implikasi keamanan yang jelas dan langsung dari suatu pelanggaran, pelanggaran tersebut menciptakan kerusakan tambahan. Para peretas dapat segera mulai menguji login dan kata sandi yang mereka panen di situs web lain.Sebagian besar orang malas dengan sandi mereka, dan ada kemungkinan besar bahwa jika seseorang menggunakan [email protected] dengan sandi bob1979, pasangan login / sandi yang sama akan berfungsi di situs web lain. Jika situs web lain tersebut memiliki profil yang lebih tinggi (seperti situs perbankan atau jika sandi yang dia gunakan di Adobe benar-benar membuka kotak masuk emailnya), maka ada masalah. Setelah seseorang memiliki akses ke kotak masuk email Anda, mereka dapat mulai mengatur ulang kata sandi di layanan lain dan mendapatkan akses ke mereka juga.
Satu-satunya cara untuk menghentikan reaksi berantai semacam ini agar tidak menyebabkan lebih banyak masalah keamanan dalam jaringan situs web dan layanan yang Anda gunakan adalah dengan mengikuti dua aturan utama kebersihan sandi yang baik:
- Kata sandi email Anda harus panjang, kuat, dan benar-benar unik di antara semua login Anda.
- Setiap login mendapatkan kata sandi yang panjang, kuat, dan unik. Tidak ada penggunaan ulang kata sandi. Pernah.
Kedua aturan tersebut adalah kesimpulan dari setiap panduan keamanan yang pernah kami bagikan dengan Anda, termasuk panduan darurat kami yang memiliki penggemar. Bagaimana Memulihkan Setelah Kata Sandi Email Anda Disusupi .
Sekarang pada titik ini, Anda mungkin sedikit menggeliat karena, terus terang, hampir tidak ada orang yang memiliki praktik dan keamanan sandi yang ketat. Anda tidak sendirian jika kebersihan sandi Anda kurang. Faktanya, ini waktunya untuk pengakuan.
Saya telah menulis lusinan artikel keamanan, postingan tentang pelanggaran keamanan, dan postingan terkait sandi lainnya selama bertahun-tahun saya berada di How-To Geek. Meskipun merupakan tipe orang yang tahu persis yang seharusnya tahu lebih baik, meskipun menggunakan pengelola kata sandi dan menghasilkan kata sandi yang aman untuk setiap situs web dan layanan baru, ketika saya menjalankan email saya melalui daftar login Adobe yang disusupi dan mencocokkannya dengan sandi yang disusupi, saya masih menemukan bahwa saya telah dibakar.
Saya membuat akun Adobe itu sejak lama ketika saya secara signifikan lebih longgar dengan kebersihan kata sandi saya, dan kata sandi yang saya gunakan umum di seluruh puluhan situs web dan layanan tempat saya mendaftar sebelumnya, saya sangat serius dalam membuat sandi yang baik.
Semua itu bisa dicegah jika saya benar-benar mempraktikkan apa yang saya khotbahkan dan tidak hanya membuat kata sandi yang unik dan kuat tetapi mengaudit kata sandi lama saya untuk memastikan situasi ini tidak pernah terjadi sejak awal. Baik Anda tidak pernah berusaha konsisten dan aman dengan praktik sandi Anda atau Anda hanya perlu memeriksanya untuk menenangkan diri, audit sandi menyeluruh adalah jalan menuju keamanan sandi dan ketenangan pikiran. Baca terus selagi kami tunjukkan caranya.
Mempersiapkan Tantangan Keamanan Lastpass Anda
Anda dapat mengaudit sandi Anda secara manual, tetapi itu akan sangat membosankan dan Anda tidak akan mendapatkan keuntungan apa pun dari penggunaan universal yang baik. pengelola kata sandi . Alih-alih mengaudit semuanya secara manual, kami akan mengambil rute yang mudah dan sebagian besar otomatis: kami akan mengaudit sandi kami dengan mengikuti Tantangan Keamanan LastPass.
Panduan ini tidak akan mencakup penyiapan LastPass, jadi jika Anda belum mengaktifkan dan menjalankan sistem LastPass, kami sangat menganjurkan Anda untuk menyiapkannya. Periksa Panduan HTG untuk Memulai dengan LastPass untuk memulai. Meskipun LastPass telah diperbarui sejak kami menulis panduan ini (antarmukanya jauh lebih cantik dan lebih ramping sekarang), Anda masih dapat mengikuti langkah-langkahnya dengan mudah. Jika Anda menyiapkan LastPass untuk pertama kalinya, pastikan untuk mengimpor semua sandi yang disimpan dari browser Anda, karena tujuan kami adalah mengaudit setiap sandi yang Anda gunakan.
Masukkan setiap login dan kata sandi ke LastPass: Apakah Anda baru mengenal LastPass atau Anda belum sepenuhnya menggunakannya untuk setiap login, sekaranglah waktunya untuk memastikan Anda telah masuk setiap masuk ke sistem LastPass. Kami akan mengulangi saran yang kami berikan panduan pemulihan email kami untuk menyisir kotak masuk email Anda untuk pengingat:
Cari email Anda untuk pengingat pendaftaran. Tidak akan sulit untuk mengingat info masuk yang sering Anda gunakan seperti Facebook dan bank Anda, tetapi kemungkinan ada lusinan layanan pengeluaran yang bahkan Anda mungkin tidak ingat bahwa Anda menggunakan email untuk masuk. Gunakan penelusuran kata kunci seperti "selamat datang di", "setel ulang", "pemulihan", "verifikasi", "sandi", "nama pengguna", "masuk", "akun", dan kombinasinya seperti "setel ulang sandi" atau "verifikasi akun" . Sekali lagi, kami tahu ini merepotkan, tetapi setelah Anda melakukannya dengan pengelola kata sandi di sisi Anda, Anda memiliki daftar utama dari semua akun Anda dan Anda tidak perlu melakukan pencarian kata kunci ini lagi.
Aktifkan otentikasi dua faktor pada akun LastPass Anda: Langkah ini tidak sepenuhnya diperlukan untuk melakukan audit keamanan, tetapi sementara kami memiliki perhatian Anda, kami akan melakukan segala yang kami bisa untuk mendorong Anda, saat Anda mengotak-atik akun LastPass Anda, untuk aktifkan autentikasi dua faktor untuk lebih mengamankan brankas LastPass Anda. (Tidak hanya meningkatkan keamanan akun Anda, Anda juga akan mendapatkan peningkatan dalam skor audit keamanan Anda!)
Mengambil Tantangan Keamanan LastPass
Sekarang setelah Anda mengimpor semua sandi, sekarang waktunya untuk bersiap menghadapi rasa malu karena tidak termasuk dalam 1% ninja keamanan sandi yang keras. Mengunjungi Tantangan Keamanan LastPass halaman dan tekan "Mulai Tantangan" di bagian bawah halaman. Anda akan diminta untuk memasukkan kata sandi utama Anda, seperti yang terlihat pada tangkapan layar di atas, dan kemudian LastPass akan menawarkan untuk memeriksa apakah ada alamat email yang terdapat dalam brankas Anda adalah bagian dari pelanggaran yang dilacaknya. Tidak ada alasan bagus untuk tidak memanfaatkan ini:
Jika Anda beruntung, hasilnya negatif. Jika beruntung, Anda mendapatkan munculan seperti ini yang menanyakan apakah Anda ingin informasi lebih lanjut tentang pelanggaran yang melibatkan email Anda:
LastPass akan mengeluarkan peringatan keamanan tunggal untuk setiap instance. Jika Anda sudah memiliki alamat email untuk waktu yang lama, bersiaplah untuk terkejut dengan banyaknya pelanggaran sandi yang telah menyebabkannya. Berikut adalah contoh pemberitahuan pelanggaran sandi:
Setelah munculan, Anda akan dipindahkan ke panel utama Tantangan Keamanan LastPass. Ingat sebelumnya dalam panduan ini ketika saya berbicara tentang bagaimana saya saat ini mempraktikkan kebersihan sandi yang baik, tetapi saya tidak pernah bisa memperbarui dengan benar banyak situs web dan layanan lama? Itu benar-benar terlihat dari skor yang saya terima. Aduh:
Itulah skor saya dengan sandi acak yang tercampur selama bertahun-tahun. Jangan terlalu terkejut jika skor Anda bahkan lebih rendah lagi jika Anda telah menggunakan beberapa sandi lemah yang sama berulang kali. Sekarang setelah kita memiliki skor kita (betapapun hebat atau memalukannya), sekarang saatnya menggali datanya. Anda dapat menggunakan tautan cepat di samping persentase skor Anda atau mulai menggulir. Pemberhentian pertama, mari kita lihat hasil mendetail. Pertimbangkan ini sebagai ikhtisar 10.000 kaki dari negara bagian kata sandi Anda:
Meskipun Anda harus memperhatikan semua statistik di sini, yang paling penting adalah "Kekuatan sandi rata-rata", seberapa lemah atau kuat sandi rata-rata Anda dan, yang lebih penting, "Jumlah sandi duplikat" dan "Jumlah situs yang memiliki sandi duplikat ". Dalam penyebab audit saya, ada 8 penipuan di 43 lokasi. Jelas saya sangat malas menggunakan kembali kata sandi tingkat rendah yang sama di lebih dari beberapa situs.
Pemberhentian berikutnya, bagian Situs yang Dianalisa. Di sini Anda akan menemukan rincian yang sangat konkret dari semua login dan kata sandi Anda yang diatur oleh penggunaan kata sandi duplikat (jika Anda memiliki duplikat), kata sandi unik, dan terakhir, login tanpa kata sandi yang disimpan di LastPass. Saat Anda melihat daftarnya, kagumi perbedaan antara kekuatan sandi. Dalam kasus saya, salah satu login keuangan saya diberi Skor Kata Sandi 45% sementara login Minecraft putri saya diberi skor 100% sempurna. Sekali lagi, aduh.
Memperbaiki Skor Tantangan Keamanan Mengerikan Anda
Ada dua tautan yang sangat berguna yang terpasang langsung ke dalam daftar audit. Jika Anda mengklik "TAMPILKAN", sandi untuk situs tersebut akan ditampilkan dan jika Anda mengklik "Kunjungi Situs", Anda dapat langsung membuka situs web tersebut sehingga Anda dapat mengubah sandi. Tidak hanya setiap kata sandi duplikat harus diubah, tetapi kata sandi apa pun yang dilampirkan ke akun yang dilanggar (seperti Adobe.com atau LinkedIn) harus dihentikan secara permanen.
Bergantung pada seberapa banyak atau sedikit sandi yang Anda miliki (dan seberapa rajin Anda menerapkan praktik sandi yang baik), langkah proses ini mungkin memerlukan waktu sepuluh menit atau sepanjang sore. Meskipun proses mengubah kata sandi Anda akan bervariasi berdasarkan tata letak situs yang Anda perbarui, berikut adalah beberapa pedoman umum yang harus diikuti (kami menggunakan pembaruan kata sandi di Remember the Milk sebagai contoh): Kunjungi halaman pengubahan kata sandi . Biasanya Anda perlu memasukkan kata sandi Anda saat ini dan kemudian membuat kata sandi baru.
Lakukan dengan mengklik logo kunci-dengan-panah melingkar. LastPass memasukkan ke dalam slot kata sandi baru (seperti yang terlihat pada gambar di atas). Periksa kata sandi baru Anda dan buat penyesuaian jika Anda mau (seperti memperpanjangnya atau menambahkan karakter khusus):
Klik "Gunakan Sandi", lalu konfirmasikan bahwa Anda ingin memperbarui entri yang Anda edit:
Pastikan untuk mengkonfirmasi perubahan dengan situs web juga. Ulangi proses untuk setiap duplikat dan kata sandi yang lemah di lemari besi LastPass Anda.
Terakhir, hal terakhir yang perlu Anda audit adalah Kata Sandi Master LastPass Anda. Lakukan dengan mengklik link di bagian bawah layar Tantangan yang berlabel "Uji kekuatan Kata Sandi Master LastPass saya". Jika Anda tidak melihat ini:
Anda perlu mengatur ulang Kata Sandi Master LastPass Anda dan meningkatkan kekuatan sampai Anda menerima konfirmasi kekuatan 100% yang bagus, positif.
Survei Hasil dan Lebih Lanjut Meningkatkan Keamanan LastPass Anda
Setelah Anda menyelinap melalui daftar sandi duplikat, entri lama yang dihapus, dan sebaliknya merapikan dan mengamankan daftar login / sandi Anda, sekarang saatnya untuk menjalankan audit lagi. Sekarang, sebagai penekanan, skor yang Anda lihat di bawah ini diangkat hanya dengan meningkatkan keamanan kata sandi. (Jika Anda mengaktifkan fitur keamanan tambahan, seperti otentikasi multi-faktor , Anda akan menerima peningkatan sekitar 10%).
Tidak buruk! Setelah menghilangkan setiap kata sandi duplikat dan membawa semua kata sandi yang ada dengan kekuatan hingga 90% atau lebih baik, itu benar-benar meningkatkan skor kami. Jika Anda penasaran mengapa tidak melonjak hingga 100%, ada beberapa faktor yang berperan, yang paling menonjol di antaranya adalah bahwa beberapa kata sandi tidak pernah dapat dihancurkan oleh standar LastPass karena kebijakan konyol yang diberlakukan oleh administrator situs. Misalnya, sandi masuk perpustakaan lokal saya adalah pin empat digit (yang skornya 4% pada skala keamanan LastPass). Kebanyakan orang akan memiliki semacam pencilan seperti itu dalam daftar mereka dan itu akan menyeret skor mereka ke bawah.
Dalam kasus seperti itu, penting untuk tidak berkecil hati, dan menggunakan pengelompokan mendetail Anda sebagai metrik:
Dalam proses pembaruan kata sandi, saya memangkas 17 situs duplikat / kadaluarsa, membuat kata sandi unik untuk setiap situs dan layanan, dan menurunkan jumlah situs dengan kata sandi duplikat dari 43 menjadi 0 dalam prosesnya.
Hanya butuh sekitar satu jam untuk fokus waktu yang serius (12,4% di antaranya dihabiskan untuk mengutuk perancang situs web yang memasang tautan pembaruan kata sandi di tempat-tempat yang tidak jelas), dan semua yang diperlukan untuk membuat saya termotivasi adalah pelanggaran kata sandi dengan proporsi bencana! Saya membuat catatan di sini, sukses besar.
Sekarang setelah Anda mengaudit sandi dan bersemangat untuk memiliki kestabilan sandi unik, mari manfaatkan momentum selanjutnya. Memukul panduan kami untuk membuat LastPass bahkan lebih aman dengan meningkatkan pengulangan kata sandi, membatasi login menurut negara, dan banyak lagi. Antara menjalankan audit yang kami uraikan di sini, mengikuti panduan keamanan LastPass kami, dan mengaktifkan algoritme dua faktor, Anda akan memiliki sistem manajemen kata sandi antipeluru yang dapat Anda banggakan.
