緩いパスワード管理と衛生管理を実践している場合、ますます多くの大規模なセキュリティ侵害の1つがあなたをやけどさせるのは時間の問題です。過去のセキュリティ違反の弾丸をかわしたことに感謝するのをやめ、将来の弾丸に対して自分自身を武装させてください。パスワードを監査して身を守る方法を説明しますので、読んでください。
大したことは何ですか?なぜこれが重要なのですか?
今年の10月、アドビは、Adobe.comとアドビソフトウェアの300万人のユーザーに影響を与えた重大なセキュリティ違反があったことを明らかにしました。それから彼らは数を3800万に修正しました。その後、さらに衝撃的なことに、ハッキングからのデータベースがリークされたとき、データベースを分析したセキュリティ研究者が戻ってきて、それはもっと似ていると言いました 1億5000万 侵害されたユーザーアカウント。この程度のユーザーへの露出は、アドビの侵害を歴史上最悪のセキュリティ侵害の1つとして実行に移します。
ただし、この面でアドビだけがいることはほとんどありません。痛々しいほど最近だったので、私たちは単に彼らの違反で始めました。過去数年だけでも、パスワードを含むユーザー情報が侵害された大規模なセキュリティ侵害が数十件ありました。
LinkedInは2012年にヒットしました(646万のユーザーレコードが侵害されました)。その同じ年、eHarmonyがヒットし(150万ユーザーレコード)、Last.fm(650万ユーザーレコード)とYahoo! (450,000ユーザーレコード)。ソニーのプレイステーションネットワークは2011年に打撃を受けました(1億100万のユーザーレコードが侵害されました)。 Gawker Media(GizmodoやLifehackerなどのサイトの親会社)は2010年に攻撃を受けました(130万のユーザーレコードが侵害されました)。そして、それらはニュースを作った大規模な違反のほんの一例です!
プライバシー権クリアリングハウスは維持します 2005年から現在までのセキュリティ侵害のデータベース 。彼らのデータベースには、クレジットカードの侵害、社会保障番号の盗難、パスワードの盗難、医療記録など、さまざまな種類の侵害が含まれています。この記事の発行時点でのデータベースは、 4,033件の違反 含む 617,937,023ユーザーレコード 。それらの何億もの違反のすべてがユーザーパスワードに関係しているわけではありませんが、何百万もの違反が関係していました。
関連: あなたの電子メールパスワードが危険にさらされた後に回復する方法
では、なぜそれが重要なのでしょうか。違反の明白で即時のセキュリティへの影響は別として、違反は巻き添え被害を生み出します。ハッカーは、他のWebサイトで収集したログインとパスワードのテストをすぐに開始できます。ほとんどの人は自分のパスワードに怠惰であり、誰かがパスワードbob1979で[email protected]を使用した場合、同じログイン/パスワードのペアが他のWebサイトで機能する可能性が高くなります。これらの他のWebサイトの知名度が高い場合(銀行のサイトや、Adobeで使用したパスワードが実際に電子メールの受信トレイのロックを解除する場合など)、問題があります。誰かがあなたの電子メールの受信箱にアクセスできるようになると、他のサービスのパスワードをリセットし、それらにもアクセスできるようになります。
この種の連鎖反応が、使用するWebサイトやサービスのネットワーク内でさらに多くのセキュリティ問題を引き起こすのを防ぐ唯一の方法は、パスワードを適切に管理するための2つの基本的なルールに従うことです。
- 電子メールのパスワードは、長く、強力で、すべてのログインの中で完全に一意である必要があります。
- すべて ログインは、長くて強力で一意のパスワードを取得します。パスワードの再利用はありません。 これまで。
これらの2つのルールは、緊急のit-has-hit-the-fanガイドを含め、これまでに共有したすべてのセキュリティガイドからの抜粋です。 あなたの電子メールパスワードが危険にさらされた後に回復する方法 。
率直に言って、完全に気密なパスワードの実践とセキュリティを持っている人はほとんどいないため、この時点で、おそらく少し身もだえしているでしょう。パスワードの衛生状態が不十分な場合、あなただけではありません。実際、それは告白の時です。
How-To Geekに在籍してきた何年にもわたって、セキュリティに関する記事、セキュリティ違反に関する投稿、その他のパスワード関連の投稿を何十も書いてきました。パスワードマネージャーを使用し、新しいWebサイトやサービスごとに安全なパスワードを生成しているにもかかわらず、正確に知っておくべき情報に通じている人であるにもかかわらず、私が電子メールを実行したとき 侵害されたアドビログインのリスト 侵害されたパスワードと照合しても、やけどを負ったことがわかりました。
私はずっと前にそのAdobeアカウントを作成しましたが、パスワードの管理が大幅に緩くなり、使用したパスワードは一般的でした。 数十 良いパスワードを作ることに真剣に取り組む前にサインアップしたウェブサイトやサービスの数。
私が説教したことを完全に実践し、一意で強力なパスワードを作成しただけでなく、それをすべて防ぐことができたはずです。 私の古いパスワードを監査して、この状況が最初から起こらないことを確認しました。パスワードの慣行に一貫性を持たせて安全にしようとしたことがない場合でも、安心するためにパスワードを確認する必要がある場合でも、徹底的なパスワード監査はパスワードのセキュリティと安心への道です。方法を説明しながら読み進めてください。
Lastpassセキュリティチャレンジの準備
パスワードを手動で監査することもできますが、それは非常に面倒であり、優れたユニバーサルを使用するメリットはありません。 パスワードマネージャー 。すべてを手動で監査する代わりに、簡単で大部分が自動化されたルートを使用します。LastPassセキュリティチャレンジを実行してパスワードを監査します。
このガイドではLastPassの設定については説明していません。そのため、LastPassシステムをまだ稼働させていない場合は、設定することを強くお勧めします。チェックアウト LastPass入門のHTGガイド 始めるために。ガイドを書いた後、LastPassは更新されましたが(インターフェースはよりきれいになり、より合理化されました)、それでも簡単に手順を実行できます。 LastPassを初めて設定する場合は、必ずインポートしてください すべて 私たちの目標は、使用しているすべてのパスワードを監査することであるため、ブラウザから保存されたパスワード。
LastPassにすべてのログインとパスワードを入力します。 LastPassを初めて使用する場合でも、すべてのログインでLastPassを完全に使用していない場合でも、今が入力したことを確認するときです。 すべて LastPassシステムにログインします。私たちが与えたアドバイスをエコーします 私たちの電子メール回復ガイド リマインダーのためにメールの受信トレイを組み合わせる場合:
登録のリマインダーをメールで検索します。 Facebookや銀行など、頻繁に使用するログインを覚えておくのは難しいことではありませんが、メールを使用してログインしたことさえ覚えていない可能性のある数十の支出サービスが存在する可能性があります。 「welcometo」、「reset」、「recovery」、「verify」、「password」、「username」、「login」、「account」などのキーワード検索と、「resetpassword」や「verifyaccount」などの組み合わせを使用します。 。繰り返しになりますが、これは面倒な作業ですが、パスワードマネージャーを使用してこれを行うと、すべてのアカウントのマスターリストが作成され、このキーワードハントを再度行う必要がなくなります。
LastPassアカウントで2要素認証を有効にします。 この手順は、セキュリティ監査を実行するために厳密に必要なわけではありませんが、LastPassアカウントをいじくり回している間、私たちはあなたに注意を払うためにできる限りのことをします。 二要素認証をオンにする LastPassボールトをさらに保護します。 (アカウントのセキュリティが向上するだけでなく、セキュリティ監査スコアも向上します!)
LastPassセキュリティチャレンジに挑戦
すべてのパスワードをインポートしたので、ハードコアなパスワードセキュリティ忍者の1%に参加していないことを恥ずかしく思う時が来ました。訪問 LastPassセキュリティチャレンジ ページを開き、ページの下部にある[チャレンジを開始]を押します。上のスクリーンショットに示すように、マスターパスワードの入力を求められます。その後、LastPassは、ボールトに含まれているメールアドレスのいずれかが追跡した違反の一部であるかどうかを確認するように提案します。これを利用しない正当な理由はありません。
運が良ければ、マイナスになります。運が良ければ、次のようなポップアップが表示され、メールが関与した違反についてさらに情報が必要かどうかを尋ねられます。
LastPassは、インスタンスごとに1つのセキュリティアラートを発行します。長い間メールアドレスを持っていた場合は、パスワード違反が何度発生したかに驚かされる準備をしてください。パスワード違反通知の例を次に示します。
ポップアップが表示されたら、LastPassセキュリティチャレンジのメインパネルに移動します。ガイドの前半で、現在どのように適切なパスワード衛生を実践しているかについて話しましたが、多くの古いWebサイトやサービスを適切に更新することはできなかったことを覚えていますか?それは私が受け取ったスコアに本当に表れています。痛い:
これは、何年にもわたるランダムなパスワードが混在している私のスコアです。同じ少数の弱いパスワードを何度も使用している場合でも、スコアがさらに低くても、それほどショックを受けないでください。スコアが得られたので(それが素晴らしいか恥ずかしいかもしれませんが)、データを掘り下げます。スコアのパーセンテージの横にあるクイックリンクを使用するか、スクロールを開始することができます。まず、詳細な結果を確認しましょう。これをパスワードの状態の10,000フィートの概要と考えてください。
ここではすべての統計に注意を払う必要がありますが、本当に重要なのは「平均パスワード強度」、平均パスワードの弱さまたは強さ、さらに重要なのは「重複パスワードの数」と「重複パスワードを持つサイトの数」です。 」。私の監査の結果、43のサイトに8つの重複がありました。明らかに、私はいくつかのサイトで同じ低グレードのパスワードを再利用するのにかなり怠惰でした。
次は、[分析済みサイト]セクションです。ここでは、すべてのログインとパスワードの非常に具体的な内訳を、重複したパスワードの使用(重複している場合)、一意のパスワード、そして最後に、LastPassに保存されているパスワードなしのログインで整理しています。リストを見ながら、パスワードの安全度の違いに驚嘆してください。私の場合、私の財務ログインの1つには45%のパスワードスコアが与えられ、娘のMinecraftログインには完全な100%のスコアが与えられました。繰り返しますが、痛いです。
ひどいセキュリティチャレンジスコアの修正
監査リストに組み込まれている2つの非常に便利なリンクがあります。 「表示」をクリックすると、そのサイトのパスワードが表示されます。「サイトにアクセス」をクリックすると、Webサイトに直接ジャンプして、パスワードを変更できます。重複するすべてのパスワードを変更するだけでなく、侵害されたアカウント(Adobe.comやLinkedInなど)に添付されていたパスワードは完全に廃止する必要があります。
持っているパスワードの数(およびパスワードの適切な実践にどれだけ熱心に取り組んできたか)によっては、プロセスのこのステップに10分または午後全体がかかる場合があります。パスワードを変更するプロセスは、更新するサイトのレイアウトによって異なりますが、従うべき一般的なガイドラインを次に示します(例として、Remember the Milkでパスワードの更新を使用しています)。パスワード変更ページにアクセスします。 。通常、現在のパスワードを入力してから、新しいパスワードを生成する必要があります。
これを行うには、円形矢印の付いたロックのロゴをクリックします。 LastPassは新しいパスワードスロットに挿入します(上のスクリーンショットを参照)。新しいパスワードを確認し、必要に応じて調整します(パスワードを長くしたり、特殊文字を追加したりするなど)。
[パスワードを使用]をクリックして、編集中のエントリを更新することを確認します。
ウェブサイトでも変更を確認してください。 LastPassボールト内の重複した弱いパスワードごとにこのプロセスを繰り返します。
最後に、監査する必要がある最後のことは、LastPassマスターパスワードです。 「LastPassマスターパスワードの強度をテストする」というラベルの付いたチャレンジ画面の下部にあるリンクをクリックして、これを行います。これが表示されない場合:
LastPassマスターパスワードをリセットし、100%の強度の確認が得られるまで強度を上げる必要があります。
結果を調査し、LastPassのセキュリティをさらに強化する
重複するパスワードのリストを調べたり、古いエントリを削除したり、ログイン/パスワードリストを整理して保護したりしたら、監査を再度実行します。ここで、強調するために、以下に表示されるスコアは、パスワードのセキュリティを向上させることによってのみ引き上げられました。 (次のような追加のセキュリティ機能を有効にした場合 多要素認証 、約10%のブーストを受け取ります)。
悪くない!重複するパスワードをすべて削除し、既存のパスワードをすべて90%以上の強度にすると、スコアが大幅に向上しました。なぜ100%にジャンプしなかったのか知りたい場合は、いくつかの要因が関係しています。その中で最も顕著なのは、LastPassの標準では、愚かなポリシーが適用されているため、一部のパスワードを盗聴できないことです。サイト管理者。たとえば、私のローカルライブラリのログインパスワードは4桁のPINです(LastPassのセキュリティスケールで4%のスコアです)。ほとんどの人は、リストにそのようなある種の外れ値があり、スコアが下がるでしょう。
このような場合、落胆せず、詳細な内訳を指標として使用することが重要です。
パスワード更新プロセスでは、17の重複/期限切れサイトを削除し、サイトとサービスごとに一意のパスワードを作成し、重複パスワードを持つサイトの数を43から0に減らしました。
真剣に焦点を当てた時間は約1時間しかかかりませんでした(そのうちの12.4%は、パスワード更新リンクをあいまいな場所に配置するWebサイトデザイナーの罵倒に費やされました)。ここでメモをとっています。大成功です。
パスワードを監査し、安定した一意のパスワードを使用することに興奮したので、その前進の勢いを利用しましょう。ヒットアップ LastPassを作るためのガイド でも より安全に パスワードの反復回数を増やしたり、国ごとにログインを制限したりします。ここで概説した監査の実行、LastPassセキュリティガイドの実行、2要素アルゴリズムの有効化の間に、誇りに思うことができる防弾パスワード管理システムがあります。
