느슨하게 암호 관리 및 위생을 실천하고 있다면 점점 늘어나는 대규모 보안 위반 중 하나가 화상을 입을 때까지 시간 문제 일뿐입니다. 과거의 보안 침해 총알을 피하고 미래의 총알에 맞서기 위해 자신을 보호하는 것에 대해 감사하지 마십시오. 암호를 감사하고 자신을 보호하는 방법을 보여 주면서 계속 읽으십시오.
큰 거래는 무엇이며 이것이 중요한 이유는 무엇입니까?
올해 10 월 Adobe는 3 백만 명의 Adobe.com 및 Adobe 소프트웨어 사용자에게 영향을 미치는 주요 보안 침해가 있었다고 발표했습니다. 그런 다음 숫자를 3800 만로 수정했습니다. 그러다가 더욱 놀랍게도 해킹에서 나온 데이터베이스가 유출되었을 때 데이터베이스를 분석 한 보안 연구원들이 돌아와서 1 억 5 천만 손상된 사용자 계정. 이 정도의 사용자 노출로 인해 Adobe 침해는 역사상 최악의 보안 침해 중 하나로 실행되고 있습니다.
하지만 어도비는이 분야에서 혼자가 아닙니다. 최근의 일이기 때문에 우리는 단순히 그들의 침해로 시작했습니다. 지난 몇 년 동안 만 암호를 포함한 사용자 정보가 유출 된 수십 건의 대규모 보안 침해가 발생했습니다.
LinkedIn은 2012 년에 공격을 받았습니다 (사용자 기록 640 만 건 유출). 같은 해에 eHarmony는 Last.fm (650 만 사용자 레코드) 및 Yahoo!와 마찬가지로 150 만 사용자 레코드를 기록했습니다. (450,000 명의 사용자 레코드). 소니 플레이 스테이션 네트워크는 2011 년에 히트를 쳤습니다 (1 억 1 천만 명의 사용자 기록 유출). Gawker Media (Gizmodo 및 Lifehacker와 같은 사이트의 모회사)는 2010 년에 공격을 받았습니다 (130 만 명의 사용자 레코드가 손상됨). 그리고 이것은 뉴스를 만든 대규모 침해 사례 일뿐입니다!
프라이버시 권리 정보 센터는 2005 년부터 현재까지의 보안 침해 데이터베이스 . 그들의 데이터베이스에는 신용 카드 도용, 사회 보장 번호 도난, 암호 도난, 의료 기록 등 광범위한 침해 유형이 포함됩니다. 이 기사의 발행 당시 데이터베이스는 다음과 같이 구성됩니다. 4,033 건의 위반 포함 617,937,023 개의 사용자 레코드 . 이러한 수억 건의 침해 중 모든 것이 사용자 암호와 관련된 것은 아니지만 수백만 건이 그랬습니다.
그렇다면 왜 중요할까요? 침해의 명백하고 즉각적인 보안 영향을 제외하고, 침해는 부수적 인 피해를 초래합니다. 해커는 다른 웹 사이트에서 수집 한 로그인 및 암호를 즉시 테스트 할 수 있습니다.
대부분의 사람들은 자신의 비밀번호에 게으르고 누군가가 bob1979 비밀번호로 [email protected]을 사용하면 다른 웹 사이트에서도 동일한 로그인 / 비밀번호 쌍이 작동 할 가능성이 높습니다. 다른 웹 사이트가 더 높은 프로필 (예 : 은행 사이트 또는 Adobe에서 사용한 암호가 실제로 이메일받은 편지함의 잠금을 해제하는 경우)이라면 문제가있는 것입니다. 누군가 귀하의 이메일받은 편지함에 액세스하면 다른 서비스에서 비밀번호를 재설정하고 액세스 권한도 얻을 수 있습니다.
사용하는 웹 사이트 및 서비스 네트워크 내에서 이러한 종류의 연쇄 반응이 더 많은 보안 문제를 일으키는 것을 막을 수있는 유일한 방법은 올바른 암호 보안에 대한 두 가지 기본 규칙을 따르는 것입니다.
- 이메일 암호는 길고 강력하며 모든 로그인에서 완전히 고유해야합니다.
- 마다 로그인은 길고 강력하며 고유 한 암호를 얻습니다. 비밀번호 재사용이 없습니다. 이제까지.
이 두 가지 규칙은 긴급 IT 팬 가이드를 포함하여 우리가 여러분과 공유 한 모든 보안 가이드에서 가져온 것입니다. 이메일 비밀번호가 유출 된 후 복구하는 방법 .
솔직히 말해서 누구도 완벽하게 완벽한 암호 관행과 보안을 가지고있는 사람은 거의 없기 때문에이 시점에서 아마도 약간의 문제가있을 것입니다. 비밀번호 보안이 부족하다면 혼자가 아닙니다. 사실 고백 할 시간입니다.
몇 년 동안 How-To Geek에서 근무하면서 수십 개의 보안 기사, 보안 위반에 대한 게시물 및 기타 암호 관련 게시물을 작성했습니다. 암호 관리자를 사용하고 모든 새로운 웹 사이트 및 서비스에 대해 보안 암호를 생성 했음에도 불구하고 더 잘 알아야 할 정보에 입각 한 사람 임에도 불구하고 손상된 Adobe 로그인 목록 도용 된 암호와 비교해 보았지만 여전히 화상을 입었다는 것을 알았습니다.
오래 전에 암호 보안이 훨씬 느슨해 졌을 때 Adobe 계정을 만들었으며 사용했던 암호는 수십 좋은 비밀번호를 만드는 것에 대해 진지하게 생각하기 전에 가입했던 웹 사이트 및 서비스의
내가 설교 한 내용을 충분히 실천하고 독특하고 강력한 암호를 만들었을뿐만 아니라 이 상황이 처음에 발생하지 않았는지 확인하기 위해 이전 암호를 감사했습니다. 암호 관행에 대해 일관성과 보안을 유지하려고 시도한 적이 없든, 아니면 안심하기 위해이를 확인해야하는지에 상관없이 철저한 암호 감사가 암호 보안과 안심할 수있는 길입니다. 방법을 보여 드리면서 계속 읽으십시오.
Lastpass 보안 과제 준비
암호를 수동으로 감사 할 수는 있지만 이는 매우 지루하고 좋은 범용을 사용하는 이점을 얻지 못할 것입니다. 비밀번호 관리자 . 모든 것을 수동으로 감사하는 대신 쉽고 대체로 자동화 된 경로를 택할 것입니다. LastPass 보안 챌린지를 수행하여 암호를 감사 할 것입니다.
이 가이드에서는 LastPass 설정에 대해 다루지 않으므로 LastPass 시스템이 아직 설치되어 실행되고 있지 않다면 설정하는 것이 좋습니다. 체크 아웃 LastPass 시작을위한 HTG 가이드 시작합니다. 가이드를 작성한 이후 LastPass가 업데이트되었지만 (인터페이스가 지금은 훨씬 더 예쁘고 더 능률화되었습니다) 단계를 쉽게 따를 수 있습니다. LastPass를 처음으로 설정하는 경우 모두 Google의 목표는 사용중인 모든 비밀번호를 감사하는 것이므로 브라우저에서 저장된 비밀번호입니다.
LastPass에 모든 로그인과 암호를 입력하십시오 : LastPass를 처음 사용하든 로그인 할 때마다 완전히 사용하지 않았 든 상관없이 지금은 입력했는지 확인해야 할 때입니다. ...마다 LastPass 시스템에 로그인하십시오. 우리는 우리가 준 충고를 반영 할 것입니다 이메일 복구 가이드 미리 알림을 위해 이메일받은 편지함을 결합하려면 :
등록 알림을 위해 이메일을 검색하십시오. Facebook 및 은행과 같이 자주 사용하는 로그인을 기억하는 것은 어렵지 않지만 로그인 할 때 이메일을 사용하는 것을 기억하지 못할 수도있는 수십 가지의 지출 서비스가있을 수 있습니다. "환영합니다", "재설정", "복구", "확인", "비밀번호", "사용자 이름", "로그인", "계정"과 같은 키워드 검색과 "비밀번호 재설정"또는 "계정 확인"과 같은 조합을 사용합니다. . 다시 한 번 말씀 드리지만, 이것이 번거 롭다는 것을 알고 있지만 일단 비밀번호 관리자를 사용하여이 작업을 수행하면 모든 계정의 마스터 목록을 갖게되고이 키워드 찾기를 다시 할 필요가 없습니다.
LastPass 계정에서 2 단계 인증을 활성화합니다. 이 단계는 보안 감사를 수행하는 데 꼭 필요한 것은 아니지만, 귀하의주의를 기울이는 동안 LastPass 계정을 샅샅이 뒤지는 동안 귀하가 2 단계 인증 켜기 LastPass 볼트를 더욱 안전하게 보호합니다. (계정 보안이 향상 될뿐만 아니라 보안 감사 점수도 향상됩니다!)
LastPass 보안 문제 해결
이제 모든 비밀번호를 가져 왔으므로 하드 코어 비밀번호 보안 닌자의 1 %에 속하지 않는 부끄러움을 감수 할 때입니다. 방문하다 LastPass 보안 과제 페이지 하단에있는 "도전 시작"을 누르십시오. 위의 스크린 샷에 표시된대로 마스터 비밀번호를 입력하라는 메시지가 표시되면 LastPass는 Vault에 포함 된 이메일 주소가 추적 한 위반 사항의 일부인지 확인하도록 제안합니다. 이것을 이용하지 않을 이유가 없습니다.
운이 좋으면 음수를 반환합니다. 운이 좋으면 이메일이 관련된 침해에 대한 추가 정보를 원하는지 묻는 다음과 같은 팝업이 표시됩니다.
LastPass는 각 인스턴스에 대해 단일 보안 경고를 발행합니다. 이메일 주소를 오랫동안 가지고 있었다면 얼마나 많은 비밀번호 침해가 얽혀 있는지 충격을받을 준비를하십시오. 다음은 비밀번호 위반 통지의 예입니다.
팝업이 끝나면 LastPass 보안 챌린지의 메인 패널에 표시됩니다. 가이드의 앞부분에서 내가 현재 올바른 비밀번호 보안을 어떻게 실천하고 있는지에 대해 이야기했지만 이전의 많은 웹 사이트와 서비스를 적절하게 업데이트하지 못했다는 사실을 기억하십니까? 제가받은 점수에서 정말 보여요. 아야:
수년간 임의의 암호를 혼합 한 내 점수입니다. 동일한 소수의 취약한 암호를 반복해서 사용하는 경우 점수가 더 낮아도 너무 충격을받지 마십시오. 이제 점수를 얻었으므로 (굉장하거나 부끄럽더라도) 데이터를 파헤칠 시간입니다. 점수 비율 옆에있는 빠른 링크를 사용하거나 스크롤을 시작할 수 있습니다. 먼저 자세한 결과를 확인하겠습니다. 암호 상태에 대한 10,000 피트 개요를 고려하십시오.
여기에있는 모든 통계에주의를 기울여야하지만, 정말 중요한 것은 "평균 비밀번호 강도", 평균 비밀번호가 얼마나 약하거나 강한 지, 그리고 더 중요한 것은 "중복 비밀번호 수"및 "중복 비밀번호가있는 사이트 수"입니다. ”. 감사의 원인으로 43 개 사이트에 걸쳐 8 개의 복제가있었습니다. 분명히 나는 몇 개 이상의 사이트에서 동일한 낮은 등급의 암호를 재사용하는 것이 상당히 게으르다.
다음은 분석 된 사이트 섹션입니다. 여기에서 중복 된 비밀번호 사용 (중복 된 경우), 고유 한 비밀번호, 마지막으로 LastPass에 저장된 비밀번호가없는 로그인으로 구성된 모든 로그인 및 비밀번호의 매우 구체적인 분석을 찾을 수 있습니다. 목록을 살펴 보는 동안 비밀번호 강도의 차이에 감탄하세요. 제 경우에는 제 금융 로그인 중 하나에 45 %의 암호 점수가 주어졌고 딸의 Minecraft 로그인에는 100 % 만점을 받았습니다. 다시, 아야.
끔찍한 보안 챌린지 점수 수정
감사 목록에는 두 가지 매우 유용한 링크가 있습니다. "SHOW"를 클릭하면 해당 사이트의 비밀번호가 표시되고 "사이트 방문"을 클릭하면 해당 웹 사이트로 바로 이동하여 비밀번호를 변경할 수 있습니다. 중복 된 모든 암호를 변경해야 할뿐만 아니라 위반 된 계정 (예 : Adobe.com 또는 LinkedIn)에 연결된 모든 암호는 영구적으로 폐기되어야합니다.
보유한 비밀번호의 수 (및 좋은 비밀번호 사용 방법에 대해 얼마나 열심히했는지)에 따라이 프로세스 단계는 10 분 또는 오후 전체가 걸릴 수 있습니다. 비밀번호 변경 프로세스는 업데이트하는 사이트의 레이아웃에 따라 다르지만 따라야 할 일반적인 지침은 다음과 같습니다 (예 : Remember the Milk에서 비밀번호 업데이트 사용) : 비밀번호 변경 페이지 방문 . 일반적으로 현재 비밀번호를 입력 한 다음 새 비밀번호를 생성해야합니다.
원형 화살표가있는 잠금 로고를 클릭하면됩니다. LastPass가 새 암호 슬롯에 삽입됩니다 (위 스크린 샷 참조). 새 암호를 살펴보고 원하는 경우 조정하십시오 (예 : 길이 늘리기 또는 특수 문자 추가).
"비밀번호 사용"을 클릭 한 다음 편집중인 항목을 업데이트할지 확인합니다.
웹 사이트에서도 변경 사항을 확인하십시오. LastPass 볼트의 모든 중복되고 취약한 암호에 대해이 과정을 반복하십시오.
마지막으로 감사해야 할 마지막 사항은 LastPass 마스터 암호입니다. “내 LastPass 마스터 암호의 강도 테스트”라고 표시된 챌린지 화면 하단에있는 링크를 클릭하면됩니다. 표시되지 않는 경우 :
LastPass 마스터 암호를 재설정하고 100 % 강력하고 긍정적 인 확인을받을 때까지 강도를 높여야합니다.
결과 조사 및 LastPass 보안 강화
중복 비밀번호 목록을 훑어보고 이전 항목을 삭제하고 로그인 / 비밀번호 목록을 정리하고 보호 한 후에는 감사를 다시 실행할 때입니다. 이제 강조하기 위해 아래에 표시된 점수는 비밀번호 보안을 개선하여 얻은 것입니다. (추가 보안 기능을 사용하는 경우 다단계 인증 , 약 10 %의 부스트를 받게됩니다.)
나쁘지 않다! 모든 중복 암호를 제거하고 기존 암호의 강도를 90 % 이상으로 끌어 올린 후 점수가 정말 향상되었습니다. 100 %로 점프하지 않은 이유가 궁금하다면 몇 가지 요인이 있습니다. 그 중 가장 두드러진 점은 일부 암호는 어리석은 정책으로 인해 LastPass 표준에 의해 차단 될 수 없다는 것입니다. 사이트 관리자. 예를 들어, 내 지역 도서관의 로그인 비밀번호는 4 자리 핀입니다 (LastPass 보안 등급에서 4 % 점수). 대부분의 사람들은 목록에 이와 같은 특이 치를 가지고 있으며 점수를 끌어 내릴 것입니다.
이러한 경우 낙심하지 말고 세부 분석을 측정 항목으로 사용하는 것이 중요합니다.
비밀번호 업데이트 과정에서 중복 / 만료 된 17 개의 사이트를 정리하고 모든 사이트와 서비스에 대해 고유 한 비밀번호를 생성하고 중복 된 비밀번호가있는 사이트의 수를 43 개에서 0 개로 줄였습니다.
진지하게 집중하는 시간은 약 1 시간 밖에 걸리지 않았습니다 (이 중 12.4 %는 암호 업데이트 링크를 모호한 곳에 배치하는 웹 사이트 디자이너를 저주하는 데 소비했습니다). 여기에 메모를하고 있습니다. 큰 성공을 거두었습니다.
이제 비밀번호를 감사하고 안정적인 고유 비밀번호를 확보 할 수 있었으므로 앞으로의 추진력을 활용 해 보겠습니다. 치다 LastPass 제작 가이드 조차 더 안전한 비밀번호 반복 횟수를 늘리고 국가별로 로그인을 제한하는 등의 작업을 수행합니다. 여기에 설명 된 감사를 실행하고 LastPass 보안 가이드에 따라 2 단계 알고리즘을 설정하는 사이에 자랑스러운 방탄 암호 관리 시스템을 갖게됩니다.
