Hvis du praktiserer slapp passordadministrasjon og hygiene, er det bare et spørsmål om tid til et av de stadig flere store sikkerhetsbruddene brenner deg. Slutt å være takknemlig for at du unnvike de tidligere sikkerhetsbruddskulene og panser deg mot de fremtidige. Les videre når vi viser deg hvordan du kontrollerer passordene dine og beskytter deg selv.
Hva er big deal og hvorfor betyr dette?
I oktober i år avslørte Adobe at det hadde vært et stort sikkerhetsbrudd som rammet 3 millioner brukere av Adobe.com og Adobe-programvare. Så reviderte de tallet til 38 millioner. Enda mer sjokkerende, da databasen fra hacket ble lekket, kom sikkerhetsforskere som analyserte databasen tilbake og sa at det var mer som 150 millioner kompromitterte brukerkontoer. Denne graden av brukereksponering setter Adobe-bruddet i gang som et av de verste sikkerhetsbruddene i historien.
Adobe er neppe alene på denne fronten; vi bare åpnet med bruddet deres fordi det er smertefullt nylig. Bare de siste årene har det vært dusinvis av massive sikkerhetsbrudd der brukerinformasjon, inkludert passord, er blitt kompromittert.
LinkedIn ble rammet i 2012 (6,46 millioner brukeroppføringer kompromittert). Samme år ble eHarmony truffet (1,5 millioner brukeroppføringer), i likhet med Last.fm (6,5 millioner brukeroppføringer) og Yahoo! (450 000 brukeroppføringer). Sony Playstation Network ble rammet i 2011 (101 millioner brukeroppføringer kompromittert). Gawker Media (morselskapet til nettsteder som Gizmodo og Lifehacker) ble truffet i 2010 (1,3 millioner brukeroppføringer kompromittert). Og det er bare eksempler på store brudd som gjorde nyheten!
Privacy Rights Clearinghouse opprettholder en database med sikkerhetsbrudd fra 2005 til i dag . Databasen deres inneholder et bredt spekter av bruddtyper: kompromitterte kredittkort, stjålne personnummer, stjålne passord og medisinske poster. Databasen, fra og med publiseringen av denne artikkelen, er sammensatt av 4.033 brudd inneholder 617.937.023 brukeroppføringer . Ikke alle disse hundrevis av millioner brudd involverte brukerpassord, men millioner på millioner av dem gjorde det.
I SLEKT: Slik gjenoppretter du når e-postpassordet ditt er kompromittert
Så hvorfor betyr det noe? Bortsett fra de åpenbare og umiddelbare sikkerhetsmessige konsekvensene av et brudd, skaper bruddene sikkerhetsskader. Hackerne kan umiddelbart begynne å teste pålogginger og passord de høster på andre nettsteder.De fleste er late med passordene sine, og det er stor sjanse for at hvis noen brukte [email protected] med passordet bob1979, vil det samme påloggings- / passordparet fungere på andre nettsteder. Hvis de andre nettstedene er høyere profilerte (for eksempel banksider eller hvis passordet han brukte på Adobe faktisk låser opp e-postboksen), er det et problem. Når noen har tilgang til e-postinnboksen din, kan de begynne å tilbakestille passordet på andre tjenester og få tilgang til dem også.
Den eneste måten å stoppe denne typen kjedereaksjon fra å forårsake enda flere sikkerhetsproblemer i nettverket av nettsteder og tjenester du bruker, er å følge to hovedregler for god passordhygiene:
- E-postpassordet ditt skal være langt, sterkt og helt unikt blant alle påloggingene dine.
- Hver innlogging får et langt, sterkt og unikt passord. Ingen gjenbruk av passord. Noensinne.
Disse to reglene er takeaway fra alle sikkerhetsguider vi noen gang har delt med deg, inkludert vår nødsituasjon-den-har-rammet-fan-fanen Slik gjenoppretter du etter at e-postpassordet ditt er kompromittert .
Nå på dette punktet snur du deg sannsynligvis fordi nesten ingen har perfekt lufttett passordpraksis og sikkerhet. Du er ikke alene hvis passordhygiene mangler. Det er faktisk tid for tilståelse.
Jeg har skrevet dusinvis av sikkerhetsartikler, innlegg om sikkerhetsbrudd og andre passordrelaterte innlegg gjennom årene jeg har vært på How-To Geek. Til tross for at jeg nettopp var den typen informerte som burde vite bedre, til tross for at jeg brukte en passordbehandling og genererte sikre passord for hvert nytt nettsted og en tjeneste, da jeg kjørte e-posten min gjennom liste over kompromitterte Adobe-pålogginger og matchet det med det kompromitterte passordet, fant jeg fremdeles ut at jeg hadde blitt brent.
Jeg opprettet Adobe-kontoen for lenge siden da jeg var betydelig slappere med passordhygiene, og passordet jeg brukte var vanlig på tvers av dusinvis av nettsteder og tjenester som jeg hadde registrert meg før jeg ble veldig seriøs med å lage gode passord.
Alt dette kunne vært forhindret hvis jeg hadde praktisert det jeg forkynte og ikke bare opprettet unike og sterke passord, men også revidert de gamle passordene mine for å sikre at denne situasjonen aldri skjedde i utgangspunktet. Enten du aldri har prøvd å være i tråd med passordpraksisen din, eller om du bare trenger å sjekke dem for å gjøre deg rolig, er en grundig passordtilsyn veien til passordsikkerhet og trygghet. Les videre når vi viser deg hvordan.
Forbereder deg på Lastpass sikkerhetsutfordring
Du kan revidere passordene dine manuelt, men det ville være enormt kjedelig, og du ville ikke få noen av fordelene ved å bruke en god universal passordbehandling . I stedet for å revidere alt manuelt, skal vi ta den enkle og i stor grad automatiserte ruten: Vi skal revidere passordene våre ved å ta LastPass Security Challenge.
Denne veiledningen dekker ikke konfigurering av LastPass, så hvis du ikke allerede har et LastPass-system i gang, oppfordrer vi deg til å sette opp et. Sjekk ut HTG-guiden for å komme i gang med LastPass å komme i gang. Selv om LastPass har oppdatert siden vi skrev guiden (grensesnittet er mye penere og bedre strømlinjeformet nå), kan du fortsatt følge trinnene med letthet. Hvis du konfigurerer LastPass for første gang, må du sørge for å importere alle lagrede passord fra nettlesere, ettersom vårt mål er å kontrollere hvert enkelt passord du bruker.
Skriv inn alle innlogginger og passord i LastPass: Enten du er splitter ny på LastPass eller ikke har brukt den helt til hver pålogging, er det på tide å sørge for at du har skrevet inn hver logg inn på LastPass-systemet. Vi kommer til å ekko rådene vi ga vår guide for gjenoppretting av e-post for å skjule e-postinnboksen din for påminnelser:
Søk i e-posten din for påminnelser om registrering. Det vil ikke være vanskelig å huske dine ofte brukte pålogginger som Facebook og banken din, men det er sannsynligvis dusinvis av utleggstjenester som du kanskje ikke engang husker at du bruker e-postmeldingen din til å logge på. Bruk søkeordssøk som "velkommen til", "tilbakestill", "gjenoppretting", "bekreft", "passord", "brukernavn", "pålogging", "konto" og kombinasjoner der som "tilbakestill passord" eller "bekreft konto" . Igjen, vi vet at dette er et problem, men når du har gjort dette med en passordbehandling på din side, har du en hovedliste over hele kontoen din, og du trenger aldri å gjøre dette søkeordjakten igjen.
Aktiver tofaktorautentisering på LastPass-kontoen din: Dette trinnet er ikke strengt nødvendig for å utføre sikkerhetsrevisjonen, men mens vi har din oppmerksomhet, vil vi gjøre alt vi kan for å oppmuntre deg, mens du kjører rundt i LastPass-kontoen din, for å slå på tofaktorautentisering for å sikre LastPass-hvelvet ditt ytterligere. (Ikke bare øker det kontosikkerheten din, du får også et løft i poengsummen for sikkerhetsrevisjon!)
Tar LastPass Security Challenge
Nå som du har importert alle passordene dine, er det på tide å gjøre deg skyldig for skammen over ikke å være i 1% av hardcore-passordsikkerhetsninjaene. Besøk LastPass sikkerhetsutfordring side og trykk “Start the Challenge” nederst på siden. Du blir bedt om å angi hovedpassordet ditt, som vist på skjermbildet ovenfor, og deretter vil LastPass tilby å sjekke om noen av e-postadressene i hvelvet ditt var en del av bruddene det har sporet. Det er ingen god grunn til ikke å dra nytte av dette:
Hvis du er heldig, returnerer det et negativt. Hvis du er heldig, får du en popup som denne som spør om du vil ha mer informasjon om bruddene din e-post var involvert i:
LastPass vil utstede ett sikkerhetsvarsel for hver forekomst. Hvis du har hatt e-postadressen din i lang tid, må du være forberedt på å bli sjokkert over hvor mange passordbrudd den har blitt sammenfiltret i. Her er et eksempel på passordbrudd:
Etter popup-vinduene blir du dumpet inn i hovedpanelet til LastPass Security Challenge. Husker du tidligere i guiden da jeg snakket om hvordan jeg for øyeblikket praktiserer god passordhygiene, men at jeg aldri har fått til å oppdatere mange eldre nettsteder og tjenester riktig? Det viser virkelig i poengsummen jeg fikk. Au:
Det er poengsummen min med mange års tilfeldige passord blandet inn. Ikke vær for sjokkert hvis poengsummen din er enda lavere hvis du har brukt den samme håndfull svake passordene igjen og igjen. Nå som vi har fått poengsummen vår (uansett hvor fantastisk eller skammelig det måtte være), er det på tide å grave i dataene. Du kan bruke hurtigkoblingene ved siden av poengsummen eller bare begynne å rulle. Første stopp, la oss sjekke ut de detaljerte resultatene. Tenk på dette som en 10 000 fot oversikt over tilstanden til passordene dine:
Mens du bør ta hensyn til all statistikken her, er de virkelig viktige “Gjennomsnittlig passordstyrke”, hvor svakt eller sterkt ditt gjennomsnittlige passord er, og enda viktigere, “Antall dupliserte passord” og “Antall nettsteder som har dupliserte passord ”. På grunn av revisjonen min var det 8 duper på 43 nettsteder. Tydeligvis hadde jeg vært ganske lat ved å bruke det samme passordet på lavt nivå på mer enn noen få nettsteder.
Neste stopp, delen Analyserte nettsteder. Her finner du en veldig konkret oversikt over alle pålogginger og passord organisert av duplikat passordbruk (hvis du hadde duplikater), unike passord, og til slutt, pålogginger uten passord lagret i LastPass. Mens du ser over listen, kan du beundre kontrasten mellom passordstyrken. I mitt tilfelle fikk en av mine økonomiske pålogginger 45% passordpoeng mens datteren min Minecraft-innlogging fikk en perfekt 100% score. Igjen, ouch.
Å fikse din forferdelige poengsum for sikkerhetsutfordringer
Det er to veldig nyttige lenker innebygd rett inn i revisjonslistene. Hvis du klikker på “VIS” vil det vise deg passordet for det nettstedet, og hvis du klikker på “Besøk nettsted” kan du hoppe rett til nettstedet slik at du kan endre passordet. Ikke bare skal hvert dupliserte passord endres, men ethvert passord som var knyttet til en konto som ble brutt (for eksempel Adobe.com eller LinkedIn), bør trekkes tilbake permanent.
Avhengig av hvor mange eller få passord du har (og hvor flittig du har holdt på med gode passordrutiner), kan dette trinnet i prosessen ta ti minutter eller hele ettermiddagen. Selv om prosessen med å endre passordene dine vil variere avhengig av utformingen av nettstedet du oppdaterer, er det noen generelle retningslinjer å følge (vi bruker passordoppdateringen vår på Husk melk som et eksempel): Gå til siden for endring av passord . Vanligvis må du skrive inn ditt nåværende passord og deretter generere et nytt passord.
Gjør det ved å klikke på låsen med sirkel-pil-logoen. LastPass setter inn i det nye passordsporet (som vist på skjermbildet ovenfor). Se over det nye passordet ditt og foreta justeringer hvis du ønsker det (for eksempel å forlenge det eller legge til spesialtegn):
Klikk på "Bruk passord" og bekreft deretter at du vil oppdatere oppføringen du redigerer:
Sørg for å bekrefte endringen med nettstedet også. Gjenta prosessen for hvert duplikat og svakt passord i LastPass-hvelvet.
Endelig er det siste du trenger å revidere ditt LastPass-hovedpassord. Gjør det ved å klikke på lenken nederst på utfordringsskjermen som er merket "Test styrken på LastPass-hovedpassordet". Hvis du ikke ser dette:
Du må tilbakestille LastPass-hovedpassordet og øke styrken til du får en fin, positiv, 100% styrkebekreftelse.
Kartlegge resultatene og ytterligere forbedre LastPass-sikkerheten
Etter at du har slått deg gjennom listen over dupliserte passord, slettet gamle oppføringer og ellers ryddet opp og sikret påloggings- / passordlisten din, er det på tide å kjøre tilsynet igjen. Nå, for å understreke, ble poengsummen du ser nedenfor, kun tatt opp ved å forbedre passordsikkerheten. (Hvis du aktiverer flere sikkerhetsfunksjoner, som flerfaktorautentisering får du et løft på rundt 10%).
Ikke verst! Etter å ha eliminert hvert duplikatpassord og brakt alle eksisterende passord opp til 90% styrke eller bedre, forbedret det virkelig poengsummen vår. Hvis du er nysgjerrig på hvorfor det ikke hoppet til 100%, er det noen få faktorer som spiller, den mest fremtredende er at noen passord aldri kan bringes til å snuse etter LastPass-standarder på grunn av dumme politikker på nettstedsadministratorer. For eksempel er mitt lokale biblioteks påloggingspassord en firesifret pin (som får 4% på LastPass-sikkerhetsskalaen). De fleste mennesker vil ha noen slags avvik som det i listen, og som vil trekke poengsummen.
I slike tilfeller er det viktig å ikke bli motløs og bruke den detaljerte oversikten som beregning:
I passordoppdateringsprosessen beskjærte jeg 17 dupliserte / utløpte nettsteder, opprettet et unikt passord for hvert nettsted og tjenester, og brakte antall nettsteder med dupliserte passord ned fra 43 til 0 i prosessen.
Det tok bare omtrent en time med seriøst fokusert tid (hvorav 12,4% ble brukt til å forbanne webstedsdesignere som satte lenker for passordoppdatering på obskure steder), og alt som trengs for å få meg motivert var et passordbrudd med katastrofale proporsjoner! Jeg lager et notat her, stor suksess.
Nå som du har revidert passordene dine og du er opptatt av å ha stabile unike passord, la oss dra nytte av den fremdriften. Slå opp vår guide for å lage Lastpass til og med mer sikkert ved å øke passordgjenvisninger, begrense pålogginger etter land og mer. Mellom å kjøre tilsynet som vi skisserte her, ved å følge LastPass-sikkerhetsveiledningen, og slå på to-faktor algoritmer, har du et skuddsikkert passordadministrasjonssystem du kan være stolt av.
