Dacă practicați gestionarea și igiena vagă a parolelor, este doar o chestiune de timp până când una dintre numeroasele încălcări de securitate pe scară largă vă arde. Nu vă mai mulțumiți că ați evitat gloanțele de încălcare a securității din trecut și vă înarmați împotriva celor viitoare. Citiți mai departe în timp ce vă arătăm cum să vă auditați parolele și să vă protejați.
Care este marea afacere și de ce contează acest lucru?
În luna octombrie a acestui an, Adobe a dezvăluit că a existat o încălcare majoră a securității care a afectat 3 milioane de utilizatori de Adobe.com și software Adobe. Apoi au revizuit numărul la 38 de milioane. Apoi, și mai șocant, când s-a scurs baza de date din hack, cercetătorii de securitate care au analizat baza de date s-au întors și au spus că seamănă mai mult 150 de milioane conturi de utilizator compromise. Acest grad de expunere a utilizatorilor pune încălcarea Adobe în funcțiune ca una dintre cele mai grave încălcări de securitate din istorie.
Cu toate acestea, Adobe nu este singur pe acest front; pur și simplu am deschis cu încălcarea lor, deoarece este dureros de recent. Numai în ultimii ani au existat zeci de încălcări masive ale securității în care informațiile utilizatorilor, inclusiv parolele, au fost compromise.
LinkedIn a fost lovit în 2012 (6,46 milioane de înregistrări ale utilizatorilor compromise). În același an, eHarmony a fost lovit (1,5 milioane de înregistrări ale utilizatorilor) la fel ca Last.fm (6,5 milioane de înregistrări ale utilizatorilor) și Yahoo! (450.000 înregistrări utilizator). Rețeaua Sony Playstation a fost lovită în 2011 (101 milioane de înregistrări ale utilizatorilor compromise). Gawker Media (compania mamă a site-urilor precum Gizmodo și Lifehacker) a fost lovită în 2010 (1,3 milioane de înregistrări ale utilizatorilor compromise). Și acestea sunt doar exemple de mari încălcări care au făcut vestea!
Centrul de informare privind drepturile de confidențialitate menține o bază de date cu încălcări de securitate din 2005 până în prezent . Baza de date a acestora include o gamă largă de tipuri de încălcare: carduri de credit compromise, numere de securitate socială furate, parole furate și dosare medicale. Baza de date, de la publicarea acestui articol, este compusă din 4.033 încălcări conținând 617.937.023 înregistrări de utilizatori . Nu fiecare dintre aceste sute de milioane de încălcări a implicat parole de utilizator, ci milioane de milioane au făcut-o.
LEGATE DE: Cum să vă recuperați după ce parola de e-mail este compromisă
Deci, de ce contează? În afară de implicațiile evidente și imediate de securitate ale unei încălcări, încălcările creează daune colaterale. Hackerii pot începe imediat să testeze datele de conectare și parolele pe care le culeg pe alte site-uri web.Majoritatea oamenilor sunt leneși cu parolele lor și există șanse mari ca, dacă cineva a folosit [email protected] cu parola bob1979, aceeași pereche de autentificare / parolă să funcționeze pe alte site-uri web. Dacă celelalte site-uri web au un profil mai înalt (cum ar fi site-urile bancare sau dacă parola pe care a folosit-o la Adobe deblochează de fapt căsuța de e-mail), atunci există o problemă. Odată ce cineva are acces la căsuța de e-mail, poate începe să reseteze parola de pe alte servicii și să obțină acces și la acestea.
Singura modalitate de a opri acest tip de reacție în lanț să provoace și mai multe probleme de securitate în rețeaua de site-uri web și servicii pe care le utilizați este să urmați două reguli cardinale de bună igienă a parolelor:
- Parola dvs. de e-mail ar trebui să fie lungă, puternică și complet unică pentru toate datele de conectare.
- Fiecare conectarea primește o parolă lungă, puternică și unică. Fără reutilizare a parolei. Vreodată.
Aceste două reguli sunt cele care pot fi luate de la fiecare ghid de securitate pe care vi l-am împărtășit vreodată, inclusiv ghidul nostru de urgență pentru accesarea fanilor Cum să vă recuperați după ce parola de e-mail este compromisă .
Acum, în acest moment, probabil că vă răsuciți puțin pentru că, sincer, aproape nimeni nu are practici și securitate perfecte pentru parole. Nu sunteți singur dacă lipsește igiena parolei. De fapt, este timpul pentru o mărturisire.
Am scris zeci de articole de securitate, postări despre încălcări de securitate și alte postări legate de parolă de-a lungul anilor în care am fost la How-To Geek. În ciuda faptului că este exact genul de persoană informată care ar trebui să știe mai bine, în ciuda utilizării unui manager de parole și a generării de parole sigure pentru fiecare site și serviciu nou, atunci când am trimis e-mailul lista de autentificări Adobe compromise și am comparat-o cu parola compromisă, am aflat totuși că m-am ars.
Am creat acel cont Adobe cu mult timp în urmă, când eram mult mai liniștit în ceea ce privește igiena parolei, iar parola pe care o foloseam era obișnuită zeci de site-uri și servicii la care m-am înscris înainte să devin foarte serios în ceea ce privește crearea parolelor bune.
Toate acestea ar fi putut fi prevenite dacă aș fi practicat pe deplin ceea ce am predicat și nu aș crea doar parole unice și puternice, ci am verificat vechile mele parole pentru a mă asigura că această situație nu s-a întâmplat niciodată. Fie că nu ați încercat niciodată să fiți consecvenți și siguri cu practicile de parolă sau trebuie doar să le verificați pentru a vă liniști, un audit aprofundat al parolei este calea către securitatea parolei și liniștea sufletească. Citiți mai departe în timp ce vă arătăm cum.
Pregătirea pentru provocarea dvs. de securitate Lastpass
Puteți să vă auditați manual parolele, dar acest lucru ar fi extrem de obositor și nu ați obține niciunul dintre avantajele utilizării unui bun univers manager de parole . În loc să audităm manual totul, vom lua drumul ușor și în mare măsură automatizat: ne vom audita parolele luând LastPass Security Challenge.
Acest ghid nu va acoperi configurarea LastPass, așa că, dacă nu aveți deja un sistem LastPass în funcțiune, vă recomandăm cu tărie să configurați unul. Verifică Ghidul HTG pentru Noțiuni introductive despre LastPass pentru a incepe. Deși LastPass s-a actualizat de când am scris ghidul (interfața este mult mai frumoasă și mai simplificată acum), totuși puteți urma pașii cu ușurință. Dacă configurați LastPass pentru prima dată, asigurați-vă că importați toate parolele dvs. stocate din browserele dvs., deoarece obiectivul nostru este să audităm fiecare parolă pe care o utilizați.
Introduceți fiecare autentificare și parolă în LastPass: Indiferent dacă sunteți nou-nouț la LastPass sau nu l-ați folosit pe deplin pentru fiecare autentificare, este momentul să vă asigurați că ați introdus fiecare conectați-vă la sistemul LastPass. Vom face ecou sfaturilor pe care le-am dat ghidul nostru de recuperare a e-mailurilor pentru pieptanarea căsuței de e-mail pentru mementouri:
Căutați în e-mail pentru mementouri de înregistrare. Nu va fi greu să vă amintiți datele de conectare utilizate frecvent, cum ar fi Facebook și banca dvs., dar există probabil zeci de servicii de plată la care nu vă amintiți nici măcar că vă folosiți e-mailul pentru a vă conecta. Folosiți căutări de cuvinte cheie, cum ar fi „bun venit la”, „resetare”, „recuperare”, „verificare”, „parolă”, „nume de utilizator”, „autentificare”, „cont” și combinații de „reinițializare parolă” sau „verificare cont” . Din nou, știm că este o problemă, dar odată ce ați făcut acest lucru cu un manager de parole lângă dvs., aveți o listă principală a întregului cont și nu va mai trebui să faceți niciodată această căutare de cuvinte cheie.
Activați autentificarea cu doi factori în contul dvs. LastPass: Acest pas nu este strict necesar pentru a efectua auditul de securitate, dar, în timp ce vă atragem atenția, vom face tot ce putem pentru a vă încuraja, în timp ce vă jucați în contul dvs. LastPass, să activați autentificarea cu doi factori pentru a vă securiza în continuare seiful LastPass. (Nu numai că vă crește securitatea contului, veți obține și un spor în scorul auditului de securitate!)
Abordarea provocării de securitate LastPass
Acum că v-ați importat toate parolele, este timpul să vă pregătiți pentru rușinea că nu vă aflați în 1% din ninja-urile de securitate a parolei. Viziteaza LastPass Security Challenge pagina și apăsați „Începe provocarea” în partea de jos a paginii. Vi se va solicita să introduceți parola principală, așa cum se vede în captura de ecran de mai sus, iar LastPass vă va oferi să verificați dacă oricare dintre adresele de e-mail conținute în seiful dvs. au făcut parte din încălcările pe care le-a urmărit. Nu există motive întemeiate pentru a nu profita de acest lucru:
Dacă ești norocos, acesta dă un rezultat negativ. Dacă aveți noroc, primiți o fereastră pop-up ca aceasta care vă întreabă dacă doriți mai multe informații despre încălcările în care a fost implicat e-mailul:
LastPass va emite o singură alertă de securitate pentru fiecare instanță. Dacă aveți adresa de e-mail de mult timp, fiți pregătiți să fiți șocați în câte încălcări ale parolei a fost încurcat. Iată un exemplu de notificare privind încălcarea parolei:
După ferestre pop-up, veți fi aruncat în panoul principal al LastPass Security Challenge. Amintiți-vă mai devreme în ghid, când am vorbit despre modul în care practic în prezent o igienă bună a parolelor, dar că nu m-am apucat niciodată să actualizez corect o mulțime de site-uri web și servicii mai vechi? Se arată într-adevăr în scorul pe care l-am primit. Uch:
Acesta este scorul meu cu parole aleatoare amestecate de ani de zile. Nu fiți prea șocați dacă scorul dvs. este chiar mai mic dacă ați folosit aceeași mână de parole slabe de mai multe ori. Acum, că avem scorul nostru (oricât de minunat sau de rușinos ar fi), este timpul să săpăm în date. Puteți utiliza linkurile rapide de lângă procentajul de scor sau pur și simplu începeți derularea. Prima oprire, să verificăm rezultatele detaliate. Luați în considerare o prezentare generală de 10.000 de picioare a stării parolelor dvs.:
Deși ar trebui să acordați atenție tuturor statisticilor de aici, cele cu adevărat importante sunt „Intensitatea medie a parolei”, cât de slabă sau puternică este parola medie și, și mai important, „Numărul de parole duplicat” și „Numărul de site-uri cu parole duplicate” ”. În cauza auditului meu, au existat 8 dupe pe 43 de site-uri. În mod clar, am fost destul de leneș să refolosesc aceeași parolă de calitate scăzută pe mai multe site-uri.
Următoarea oprire, secțiunea Site-uri analizate. Aici veți găsi o defalcare foarte concretă a tuturor autentificărilor și parolelor organizate în funcție de utilizarea duplicat a parolei (dacă ați avut duplicate), parole unice și, în cele din urmă, conectări fără o parolă stocată în LastPass. În timp ce căutați lista, uitați-vă de contrastul dintre punctele forte ale parolei. În cazul meu, unuia dintre datele mele de conectare financiară a primit un scor de 45% prin parolă, în timp ce datele de conectare ale fiicei mele Minecraft au primit un scor perfect de 100%. Din nou, uch.
Remedierea scorului dvs. provocator de securitate teribil
Există două linkuri foarte utile încorporate chiar în listele de audit. Dacă faceți clic pe „AFIȘARE”, acesta vă va arăta parola pentru acel site și, dacă faceți clic pe „Vizitați site-ul”, puteți sări direct pe site-ul web, astfel încât să puteți schimba parola. Nu numai că fiecare parolă duplicat ar trebui modificată, dar orice parolă atașată unui cont care a fost încălcat (cum ar fi Adobe.com sau LinkedIn) ar trebui să fie retrasă definitiv.
În funcție de câte sau puține parole aveți (și cât de sârguincios ați fost în ceea ce privește bunele practici de parolă), acest pas al procesului vă poate dura zece minute sau întreaga după-amiază. Deși procesul de modificare a parolelor dvs. va varia în funcție de aspectul site-ului pe care îl actualizați, iată câteva instrucțiuni generale pe care trebuie să le urmați (folosim actualizarea parolei noastre la Remember the Milk ca exemplu): Accesați pagina de modificare a parolei . De obicei, va trebui să introduceți parola actuală și apoi să generați o nouă parolă.
Faceți acest lucru făcând clic pe sigla blocare-cu-săgeată-circulară. LastPass introduce în noul slot pentru parolă (așa cum se vede în captura de ecran de mai sus). Căutați peste noua parolă și efectuați ajustări dacă doriți (cum ar fi prelungirea sau adăugarea de caractere speciale):
Faceți clic pe „Utilizați parola” și apoi confirmați că doriți să actualizați intrarea pe care o editați:
Asigurați-vă că confirmați modificarea și cu site-ul web. Repetați procesul pentru fiecare copie și parolă slabă din seiful dvs. LastPass.
În cele din urmă, ultimul lucru pe care trebuie să îl auditați este parola dvs. principală LastPass. Faceți acest lucru făcând clic pe linkul din partea de jos a ecranului Provocare etichetat „Testați puterea parolei maestre LastPass”. Dacă nu vedeți acest lucru:
Trebuie să vă resetați parola principală LastPass și să creșteți puterea până când primiți o confirmare plăcută, pozitivă, de 100%.
Supravegherea rezultatelor și îmbunătățirea în continuare a securității dvs. LastPass
După ce ați parcurs lista de parole duplicat, ați șters intrările vechi și ați ordonat și securizat lista de autentificare / parole, este timpul să rulați din nou auditul. Acum, pentru a sublinia, scorul pe care îl vedeți mai jos a fost adus numai prin îmbunătățirea securității parolei. (Dacă activați caracteristici de securitate suplimentare, cum ar fi multi-factor authentication , veți primi un impuls de aproximativ 10%).
Nu-i rău! După eliminarea fiecărei parole duplicat și aducerea tuturor parolelor existente cu o rezistență de până la 90% sau mai bună, ne-a îmbunătățit cu adevărat scorul. Dacă sunteți curios de ce nu a sărit la 100%, există câțiva factori în joc, dintre care cel mai proeminent este că unele parole nu pot fi niciodată aduse la standarde de LastPass, din cauza politicilor stupide în vigoare de către administratorii site-ului. De exemplu, parola de conectare a bibliotecii mele locale este un pin de patru cifre (care are un scor de 4% pe scara de securitate LastPass). Majoritatea oamenilor vor avea un fel de valori aberante de genul în lista lor și care le vor trage scorul în jos.
În astfel de cazuri, este important să nu vă descurajați și să utilizați defalcarea detaliată ca valoare:
În procesul de actualizare a parolei am eliminat 17 site-uri duplicate / expirate, am creat o parolă unică pentru fiecare site și serviciu și am redus numărul de site-uri cu parole duplicate de la 43 la 0 în acest proces.
A durat doar aproximativ o oră de timp serios concentrat (din care 12,4% au fost cheltuiți blestemând proiectanții de site-uri web care au pus linkuri de actualizare a parolelor în locuri obscure) și tot ce a fost nevoie pentru a mă motiva a fost o încălcare a parolei de proporții catastrofale! Fac o notă aici, un succes imens.
Acum, că v-ați auditat parolele și sunteți interesat să aveți o parolă unică, să profităm de acest impuls înainte. Încins ghidul nostru pentru realizarea LastPass chiar mai sigur prin creșterea iterațiilor de parolă, restricționarea autentificărilor în funcție de țară și multe altele. Între efectuarea auditului pe care l-am prezentat aici, urmărirea ghidului nostru de securitate LastPass și activarea algoritmilor cu doi factori, veți avea un sistem antiglonț de gestionare a parolelor cu care vă puteți mândri.
