Als u laks wachtwoordbeheer en hygiëne beoefent, is het slechts een kwestie van tijd totdat u zich verbrandt door een van de steeds talrijkere grootschalige beveiligingsinbreuken. Wees niet langer dankbaar dat je de kogels uit het verleden hebt ontweken en bescherm jezelf tegen de toekomstige. Lees verder terwijl we u laten zien hoe u uw wachtwoorden controleert en uzelf beschermt.
Wat is het probleem en waarom is dit belangrijk?
In oktober van dit jaar onthulde Adobe dat er een grote inbreuk op de beveiliging was geweest die 3 miljoen gebruikers van Adobe.com en Adobe-software trof. Vervolgens hebben ze het aantal herzien naar 38 miljoen. Toen, nog schokkender, toen de database van de hack was gelekt, kwamen beveiligingsonderzoekers die de database hadden geanalyseerd terug en zeiden dat het meer leek op 150 miljoen gecompromitteerde gebruikersaccounts. Door deze mate van blootstelling van gebruikers is de Adobe-inbreuk in de running als een van de ergste inbreuken op de beveiliging in de geschiedenis.
Adobe is echter niet de enige op dit front; we zijn gewoon geopend met hun bres omdat het pijnlijk recent is. Alleen al in de afgelopen jaren zijn er tientallen grootschalige beveiligingsinbreuken geweest waarbij gebruikersinformatie, waaronder wachtwoorden, is aangetast.
LinkedIn werd getroffen in 2012 (6,46 miljoen gebruikersrecords gecompromitteerd). Datzelfde jaar werd eHarmony bereikt (1,5 miljoen gebruikersrecords), evenals Last.fm (6,5 miljoen gebruikersrecords) en Yahoo! (450.000 gebruikersrecords). Het Sony Playstation Network werd in 2011 getroffen (101 miljoen gebruikersrecords gecompromitteerd). Gawker Media (het moederbedrijf van sites als Gizmodo en Lifehacker) werd getroffen in 2010 (1,3 miljoen gebruikersrecords gecompromitteerd). En dat zijn slechts voorbeelden van grote inbreuken die het nieuws haalden!
Het Privacy Rights Clearinghouse handhaaft een database met beveiligingsinbreuken van 2005 tot heden . Hun database bevat een breed scala aan soorten inbreuken: gecompromitteerde creditcards, gestolen burgerservicenummers, gestolen wachtwoorden en medische dossiers. De database, vanaf de publicatie van dit artikel, is samengesteld uit 4.033 inbreuken met 617.937.023 gebruikersrecords . Niet bij al die honderden miljoenen inbreuken waren gebruikerswachtwoorden betrokken, maar miljoenen en miljoenen wel.
VERWANT: Hoe u kunt herstellen nadat uw e-mailwachtwoord is gecompromitteerd
Dus waarom maakt het uit? Afgezien van de voor de hand liggende en onmiddellijke veiligheidsimplicaties van een inbreuk, veroorzaken de inbreuken bijkomende schade. De hackers kunnen onmiddellijk beginnen met het testen van de logins en wachtwoorden die ze op andere websites verzamelen.De meeste mensen zijn lui met hun wachtwoorden, en de kans is groot dat als iemand [email protected] gebruikt met het wachtwoord bob1979, hetzelfde login / wachtwoord-paar op andere websites zal werken. Als die andere websites een hoger profiel hebben (zoals banksites of als het wachtwoord dat hij bij Adobe heeft gebruikt, zijn e-mailinbox daadwerkelijk ontgrendelt), is er een probleem. Zodra iemand toegang heeft tot uw e-mailinbox, kunnen ze beginnen met het opnieuw instellen van het wachtwoord voor andere services en ook toegang krijgen tot deze services.
De enige manier om te voorkomen dat dit soort kettingreacties nog meer veiligheidsproblemen veroorzaakt binnen het netwerk van websites en diensten die u gebruikt, is door twee hoofdregels voor een goede wachtwoordhygiëne te volgen:
- Uw e-mailwachtwoord moet lang, sterk en volledig uniek zijn voor al uw aanmeldingen.
- Elke login krijgt een lang, sterk en uniek wachtwoord. Geen hergebruik van wachtwoorden. Ooit.
Deze twee regels zijn de afhaalmaaltijden van elke beveiligingsgids die we ooit met u hebben gedeeld, inclusief onze gids voor noodgevallen die de fan is geworden Hoe u kunt herstellen nadat uw e-mailwachtwoord is gecompromitteerd .
Nu, op dit punt, ben je waarschijnlijk een beetje aan het kronkelen, omdat, eerlijk gezegd, bijna niemand perfect waterdichte wachtwoordpraktijken en beveiliging heeft. U bent niet de enige als uw wachtwoordhygiëne ontbreekt. In feite is het tijd voor een bekentenis.
Ik heb tientallen beveiligingsartikelen, berichten over beveiligingsinbreuken en andere wachtwoordgerelateerde berichten geschreven door de jaren heen dat ik bij How-To Geek ben. Ondanks dat ik precies het soort geïnformeerde persoon was die beter zou moeten weten, ondanks het gebruik van een wachtwoordbeheerder en het genereren van veilige wachtwoorden voor elke nieuwe website en service, toen ik mijn e-mail door de lijst met gecompromitteerde Adobe-aanmeldingen en vergeleken met het gecompromitteerde wachtwoord, kwam ik er nog steeds achter dat ik was verbrand.
Ik heb dat Adobe-account lang geleden gemaakt toen ik beduidend lakser was met mijn wachtwoordhygiëne, en het wachtwoord dat ik gebruikte, kwam veel voor tientallen van websites en services waarbij ik me had aangemeld voordat ik serieus bezig werd met het maken van goede wachtwoorden.
Dat had allemaal kunnen worden voorkomen als ik volledig had geoefend wat ik predikte en niet alleen unieke en sterke wachtwoorden had gemaakt, maar controleerde mijn oude wachtwoorden om er zeker van te zijn dat deze situatie zich nooit heeft voorgedaan. Of u nu nog nooit heeft geprobeerd om consistent en veilig te zijn met uw wachtwoordpraktijken of u ze gewoon moet controleren om uzelf op uw gemak te stellen, een grondige wachtwoordcontrole is de weg naar wachtwoordbeveiliging en gemoedsrust. Lees verder terwijl we u laten zien hoe.
Voorbereiding op uw Lastpass-beveiligingsuitdaging
U kunt uw wachtwoorden handmatig controleren, maar dat zou enorm vervelend zijn en u zou geen van de voordelen van het gebruik van een goede universele wachtwoordbeheerder . In plaats van alles handmatig te controleren, gaan we de gemakkelijke en grotendeels geautomatiseerde route volgen: we gaan onze wachtwoorden controleren door de LastPass Security Challenge aan te gaan.
Deze handleiding gaat niet in op het instellen van LastPass, dus als u nog geen LastPass-systeem heeft, raden we u ten zeerste aan om er een te installeren. Uitchecken De HTG-gids om aan de slag te gaan met LastPass starten. Hoewel LastPass is bijgewerkt sinds we de handleiding hebben geschreven (de interface is nu veel mooier en beter gestroomlijnd), kunt u de stappen nog steeds gemakkelijk volgen. Als u LastPass voor de eerste keer instelt, zorg er dan voor dat u importeert alle uw opgeslagen wachtwoorden uit uw browsers, aangezien ons doel is om elk wachtwoord dat u gebruikt te controleren.
Voer elke login en elk wachtwoord in LastPass in: Of u nu nieuw bent bij LastPass of het nog niet volledig hebt gebruikt voor elke aanmelding, dit is het moment om ervoor te zorgen dat u bent ingevoerd elke log in op het LastPass-systeem. We gaan het advies herhalen dat we hebben gegeven onze handleiding voor e-mailherstel voor het kammen van uw e-mailinbox voor herinneringen:
Zoek in uw e-mail naar aanmeldingsherinneringen. Het zal niet moeilijk zijn om uw vaak gebruikte aanmeldingen, zoals Facebook en uw bank, te onthouden, maar er zijn waarschijnlijk tientallen uitgaande services waarvan u zich misschien niet eens herinnert dat u uw e-mailadres gebruikt om in te loggen. Gebruik zoekwoordzoekopdrachten zoals "welkom bij", "reset", "herstel", "verifiëren", "wachtwoord", "gebruikersnaam", "login", "account" en combinaties daarvan zoals "wachtwoord opnieuw instellen" of "account verifiëren" . Nogmaals, we weten dat dit een gedoe is, maar als u dit eenmaal heeft gedaan met een wachtwoordbeheerder aan uw zijde, heeft u een hoofdlijst van al uw accounts en hoeft u deze zoektocht naar zoekwoorden nooit meer uit te voeren.
Schakel tweefactorauthenticatie in op uw LastPass-account: Deze stap is niet strikt noodzakelijk om de beveiligingsaudit uit te voeren, maar terwijl we uw aandacht hebben, zullen we er alles aan doen om u, terwijl u in uw LastPass-account ronddwaalt, aan te moedigen om schakel tweefactorauthenticatie in om uw LastPass-kluis verder te beveiligen. (Het verhoogt niet alleen de beveiliging van uw account, u krijgt ook een boost in uw beveiligingsauditscore!)
De LastPass-beveiligingsuitdaging aangaan
Nu je al je wachtwoorden hebt geïmporteerd, is het tijd om je schrap te zetten voor de schande dat je niet in de 1% hardcore wachtwoordbeveiligingsninja's zit. Bezoek de LastPass-beveiligingsuitdaging pagina en druk op "Start the Challenge" onderaan de pagina. U wordt gevraagd uw hoofdwachtwoord in te voeren, zoals te zien is in de bovenstaande schermafbeelding, en vervolgens biedt LastPass aan om te controleren of een van de e-mailadressen in uw kluis deel uitmaakte van eventuele inbreuken die zijn bijgehouden. Er is geen goede reden om hier geen gebruik van te maken:
Als je geluk hebt, wordt er een negatief resultaat weergegeven. Als je geluk hebt, krijg je een pop-up als deze waarin je wordt gevraagd of je meer informatie wilt over de inbreuken waarbij je e-mail betrokken was:
LastPass geeft voor elke instantie een enkele beveiligingswaarschuwing. Als je je e-mailadres al een hele tijd hebt gehad, wees dan voorbereid op het feit dat er veel wachtwoordschendingen in zijn verstrikt. Hier is een voorbeeld van een melding van een wachtwoordschending:
Na de pop-ups word je in het hoofdvenster van de LastPass Security Challenge gedumpt. Weet je nog dat ik eerder in de gids vertelde hoe ik momenteel een goede wachtwoordhygiëne toepas, maar dat ik er nooit aan toe ben gekomen om veel oudere websites en services correct bij te werken? Het is echt te zien in de score die ik heb ontvangen. Au:
Dat is mijn score met jaren aan willekeurige wachtwoorden erin gemengd. Wees niet al te geschokt als je score nog lager is als je steeds weer hetzelfde handvol zwakke wachtwoorden gebruikt. Nu we onze score hebben (hoe geweldig of beschamend die ook is), is het tijd om in de gegevens te graven. U kunt de snelle links naast uw scorepercentage gebruiken of gewoon beginnen met scrollen. Laten we eerst eens kijken naar de gedetailleerde resultaten. Beschouw dit als een overzicht van 10.000 voet van de staat van uw wachtwoorden:
Hoewel u hier op alle statistieken moet letten, zijn de echt belangrijke 'Gemiddelde wachtwoordsterkte', hoe zwak of sterk uw gemiddelde wachtwoord is en, nog belangrijker, 'Aantal dubbele wachtwoorden' en 'Aantal sites met dubbele wachtwoorden' ”. Bij de oorzaak van mijn controle waren er 8 dupes op 43 locaties. Het was duidelijk dat ik behoorlijk lui was geweest om hetzelfde laagwaardige wachtwoord op meer dan een paar sites te hergebruiken.
Volgende stop, de sectie geanalyseerde sites. Hier vindt u een zeer concreet overzicht van al uw aanmeldingen en wachtwoorden, georganiseerd op basis van dubbel wachtwoordgebruik (als u dubbele wachtwoorden had), unieke wachtwoorden en ten slotte aanmeldingen zonder wachtwoord opgeslagen in LastPass. Terwijl u de lijst bekijkt, kunt u zich verbazen over het contrast tussen wachtwoordsterktes. In mijn geval kreeg een van mijn financiële logins een 45% wachtwoordscore, terwijl de Minecraft-login van mijn dochter een perfecte score van 100% kreeg. Nogmaals, auw.
Uw vreselijke beveiligingsuitdagingsscore oplossen
Er zijn twee zeer nuttige links ingebouwd in de auditvermeldingen. Als u op "TONEN" klikt, wordt het wachtwoord voor die site weergegeven en als u op "Site bezoeken" klikt, kunt u rechtstreeks naar de website gaan zodat u het wachtwoord kunt wijzigen. Niet alleen moet elk dubbel wachtwoord worden gewijzigd, maar elk wachtwoord dat is gekoppeld aan een account dat is geschonden (zoals Adobe.com of LinkedIn), moet permanent worden ingetrokken.
Afhankelijk van hoeveel of weinig wachtwoorden u heeft (en hoe ijverig u bent geweest met het toepassen van goede wachtwoordpraktijken), kan deze stap van het proces u tien minuten of de hele middag in beslag nemen. Hoewel het proces van het wijzigen van uw wachtwoorden varieert op basis van de lay-out van de site die u bijwerkt, volgen hier enkele algemene richtlijnen (we gebruiken onze wachtwoordupdate op Remember the Milk als voorbeeld): Bezoek de pagina voor het wijzigen van het wachtwoord . Meestal moet u uw huidige wachtwoord invoeren en vervolgens een nieuw wachtwoord genereren.
Doe dit door op het slot-met-cirkelvormige pijl-logo te klikken. LastPass wordt ingevoegd in het nieuwe wachtwoordslot (zoals te zien in de bovenstaande schermafbeelding). Bekijk uw nieuwe wachtwoord en pas het eventueel aan (zoals het verlengen of het toevoegen van speciale tekens):
Klik op 'Wachtwoord gebruiken' en bevestig dat je het item dat je aan het bewerken bent wilt updaten:
Zorg ervoor dat u de wijziging ook op de website bevestigt. Herhaal het proces voor elk dubbel en zwak wachtwoord in uw LastPass-kluis.
Ten slotte is het laatste dat u moet controleren, uw LastPass-hoofdwachtwoord. Doe dit door te klikken op de link onderaan het Challenge-scherm met de naam "Test de sterkte van mijn LastPass-hoofdwachtwoord". Als je dit niet ziet:
U moet uw LastPass-hoofdwachtwoord opnieuw instellen en de sterkte verhogen totdat u een mooie, positieve bevestiging van 100% sterkte ontvangt.
De resultaten onderzoeken en uw LastPass-beveiliging verder verbeteren
Nadat u de lijst met dubbele wachtwoorden heeft doorzocht, oude vermeldingen heeft verwijderd en op een andere manier uw login- / wachtwoordlijst heeft opgeruimd en beveiligd, is het tijd om de audit opnieuw uit te voeren. Om de nadruk te leggen: de score die u hieronder ziet, is uitsluitend naar voren gebracht door de wachtwoordbeveiliging te verbeteren. (Als u aanvullende beveiligingsfuncties inschakelt, zoals multi-factor authenticatie ontvang je een boost van ongeveer 10%).
Niet slecht! Nadat we elk dubbel wachtwoord hadden verwijderd en alle bestaande wachtwoorden tot 90% of beter hadden gebracht, verbeterde het echt onze score. Als je nieuwsgierig bent naar de reden waarom het niet naar 100% is gesprongen, spelen er een aantal factoren een rol, waarvan de meest prominente is dat sommige wachtwoorden volgens de LastPass-normen nooit kunnen worden aangepast vanwege dwaze beleidsregels van de sitebeheerders. Het inlogwachtwoord van mijn lokale bibliotheek is bijvoorbeeld een viercijferige pincode (die 4% scoort op de LastPass-beveiligingsschaal). De meeste mensen hebben een soort van uitschieters in hun lijst en dat zal hun score naar beneden slepen.
In dergelijke gevallen is het belangrijk om niet ontmoedigd te raken en uw gedetailleerde uitsplitsing als statistiek te gebruiken:
Tijdens het bijwerken van het wachtwoord heb ik 17 dubbele / verlopen sites gesnoeid, een uniek wachtwoord voor elke site en service gemaakt en het aantal sites met dubbele wachtwoorden teruggebracht van 43 naar 0.
Het kostte slechts ongeveer een uur van serieus gefocuste tijd (waarvan 12,4% werd besteed aan het vervloeken van websiteontwerpers die links voor wachtwoordupdates op obscure plaatsen plaatsten), en het enige dat nodig was om me te motiveren was een wachtwoordbreuk van catastrofale proporties! Ik maak hier een notitie, enorm succes.
Nu u uw wachtwoorden heeft gecontroleerd en u enthousiast bent over het hebben van een stabiel aantal unieke wachtwoorden, laten we profiteren van dat voorwaartse momentum. Sla op onze gids voor het maken van LastPass even veiliger door het aantal herhalingen van wachtwoorden te verhogen, het aantal aanmeldingen per land te beperken en meer. Tussen het uitvoeren van de audit die we hier hebben beschreven, het volgen van onze LastPass-beveiligingsgids en het inschakelen van twee-factor-algoritmen, heeft u een kogelvrij wachtwoordbeheersysteem waar u trots op kunt zijn.
