Если вы практикуете неаккуратное управление паролями и соблюдение правил гигиены, это лишь вопрос времени, когда вас обожжет одна из все более многочисленных и масштабных угроз безопасности. Перестаньте быть благодарными за то, что вы избежали пуль прошлого, взломавшего систему безопасности, и защитите себя от будущих. Читайте дальше, когда мы покажем вам, как проверять свои пароли и защищать себя.
В чем дело и почему это имеет значение?
В октябре этого года Adobe сообщила о серьезном нарушении безопасности, затронувшем 3 миллиона пользователей Adobe.com и программного обеспечения Adobe. Затем они пересмотрели цифру до 38 миллионов. Затем, что еще более шокирует, когда произошла утечка базы данных от взлома, исследователи безопасности, которые проанализировали базу данных, вернулись и сказали, что это больше похоже на 150 миллионов скомпрометированные учетные записи пользователей. Такая степень уязвимости пользователей делает нарушение Adobe одним из самых серьезных нарушений безопасности в истории.
Однако Adobe не одинока в этом отношении; мы просто открылись с их нарушения, потому что оно было болезненно недавним. Только за последние несколько лет произошли десятки серьезных нарушений безопасности, когда информация пользователя, в том числе пароли, была скомпрометирована.
LinkedIn был поражен в 2012 году (скомпрометировано 6,46 миллиона записей пользователей). В том же году популярностью пользуется eHarmony (1,5 миллиона записей пользователей), а также Last.fm (6,5 миллионов записей пользователей) и Yahoo! (450 000 пользовательских записей). Сеть Sony Playstation Network пострадала в 2011 году (был скомпрометирован 101 миллион пользовательских записей). Gawker Media (материнская компания таких сайтов, как Gizmodo и Lifehacker) пострадала в 2010 году (взломано 1,3 миллиона пользовательских записей). И это лишь примеры крупных нарушений, о которых стало известно в новостях!
Информационный центр прав на конфиденциальность поддерживает база данных нарушений безопасности с 2005 года по настоящее время . Их база данных включает широкий спектр типов взломов: взломанные кредитные карты, украденные номера социального страхования, украденные пароли и медицинские записи. База данных на момент публикации этой статьи состоит из 4033 нарушения содержащий 617 937 023 пользовательских записей . Не все из этих сотен миллионов взломов связаны с паролями пользователей, но миллионы и миллионы из них.
СВЯЗАННЫЕ С: Как восстановить после взлома пароля электронной почты
Так почему это важно? Помимо очевидных и непосредственных последствий нарушения безопасности, нарушения создают сопутствующий ущерб. Хакеры могут немедленно начать тестирование логинов и паролей, которые они собирают на других веб-сайтах.Большинство людей ленивы со своими паролями, и есть большая вероятность, что если кто-то использует [email protected] с паролем bob1979, та же пара логин / пароль будет работать на других веб-сайтах. Если эти другие веб-сайты имеют более высокий профиль (например, банковские сайты или если пароль, который он использовал в Adobe, фактически открывает его почтовый ящик), тогда возникает проблема. Как только кто-то получит доступ к вашему почтовому ящику, он может начать сбрасывать пароль в других службах, а также получать доступ к ним.
Единственный способ не дать такой цепной реакции вызвать еще больше проблем с безопасностью в сети веб-сайтов и служб, которые вы используете, - это следовать двум кардинальным правилам хорошей гигиены паролей:
- Ваш электронный пароль должен быть длинным, надежным и полностью уникальным для всех ваших учетных записей.
- Каждые Логин получает длинный, надежный и уникальный пароль. Нет повторного использования пароля. Когда-либо.
Эти два правила являются выводом из всех руководств по безопасности, которыми мы когда-либо делились с вами, включая наше руководство по чрезвычайным ситуациям. Как восстановить после взлома пароля электронной почты .
На этом этапе вы, вероятно, немного нервничаете, потому что, откровенно говоря, вряд ли кто-нибудь имеет совершенно надежные методы защиты паролей. Вы не одиноки, если ваш пароль не соблюдается. Собственно, пора исповедоваться.
За годы работы в How-To Geek я написал десятки статей по безопасности, сообщений о нарушениях безопасности и других сообщений, связанных с паролями. Несмотря на то, что я был именно тем информированным человеком, которому следовало бы знать лучше, несмотря на то, что я использовал диспетчер паролей и генерировал безопасные пароли для каждого нового веб-сайта и службы, когда я пропустил свою электронную почту через список скомпрометированных логинов Adobe и сопоставив его с взломанным паролем, я все же обнаружил, что меня обгорели.
Я создал эту учетную запись Adobe очень давно, когда я был значительно менее осторожен с гигиеной паролей, а пароль, который я использовал, был общим для всех. десятки веб-сайтов и сервисов, на которые я подписался, прежде чем стал серьезно относиться к созданию надежных паролей.
Всего этого можно было бы предотвратить, если бы я полностью практиковал то, что проповедовал, и не только создавал уникальные и надежные пароли, но и проверил мои старые пароли, чтобы убедиться, что такой ситуации вообще не было. Независимо от того, никогда ли вы даже не пытались быть последовательными и безопасными в использовании паролей, или вам просто нужно проверить их, чтобы расслабиться, тщательный аудит паролей - это путь к безопасности паролей и спокойствию. Читайте дальше, мы покажем вам, как это сделать.
Подготовка к вызову Lastpass Security Challenge
Вы можете вручную проверить свои пароли, но это будет чрезвычайно утомительно, и вы не получите никаких преимуществ от использования хорошего универсального менеджер паролей . Вместо того чтобы проверять все вручную, мы выберем простой и в значительной степени автоматизированный путь: мы собираемся проверять наши пароли, принимая LastPass Security Challenge.
В этом руководстве не рассматривается настройка LastPass, поэтому, если у вас еще нет настроенной и работающей системы LastPass, мы настоятельно рекомендуем вам установить ее. Проверять, выписываться Руководство HTG по началу работы с LastPass для начала. Хотя LastPass обновился с тех пор, как мы написали руководство (интерфейс стал намного красивее и лучше оптимизирован), вы все равно можете легко выполнять действия. Если вы настраиваете LastPass впервые, обязательно импортируйте все сохраненные пароли из ваших браузеров, поскольку наша цель - проверять каждый пароль, который вы используете.
Введите каждый логин и пароль в LastPass: Если вы новичок в LastPass или не использовали его в полной мере для каждого входа в систему, сейчас самое время убедиться, что вы вошли каждый войдите в систему LastPass. Мы повторим совет, который мы дали в наше руководство по восстановлению электронной почты для поиска напоминаний в вашем почтовом ящике:
Найдите в своей электронной почте напоминания о регистрации. Нетрудно вспомнить ваши часто используемые логины, такие как Facebook и ваш банк, но, вероятно, есть десятки затратных сервисов, о которых вы можете даже не помнить, что вы используете свою электронную почту для входа в систему. Используйте поиск по ключевым словам, например «добро пожаловать», «сброс», «восстановление», «проверка», «пароль», «имя пользователя», «логин», «учетная запись» и их комбинации, например «сбросить пароль» или «подтвердить учетную запись». . Опять же, мы знаем, что это хлопотно, но как только вы сделаете это с помощью менеджера паролей на вашей стороне, у вас будет общий список всех ваших учетных записей, и вам больше не придется искать ключевые слова снова.
Включите двухфакторную аутентификацию в своей учетной записи LastPass: Этот шаг не является строго необходимым для проведения аудита безопасности, но, хотя мы привлекли ваше внимание, мы сделаем все возможное, чтобы побудить вас, пока вы копаетесь в своей учетной записи LastPass, чтобы включить двухфакторную аутентификацию для дальнейшей защиты вашего хранилища LastPass. (Это не только повысит безопасность вашего аккаунта, но и повысит вашу оценку аудита безопасности!)
Принимая вызов безопасности LastPass
Теперь, когда вы импортировали все свои пароли, пора приготовиться к стыду за то, что не попал в 1% хардкорных ниндзя по безопасности паролей. Посетить Проблема безопасности LastPass страницу и нажмите «Начать вызов» внизу страницы. Вам будет предложено ввести мастер-пароль, как показано на скриншоте выше, а затем LastPass предложит проверить, не был ли какой-либо из адресов электронной почты, содержащихся в вашем хранилище, частью каких-либо нарушений, которые он отслеживал. Нет веских причин не воспользоваться этим:
Если повезет, возвращается отрицательный результат. Если вам повезет, вы увидите всплывающее окно с вопросом, не хотите ли вы получить дополнительную информацию о взломах вашей электронной почты:
LastPass выдает одно предупреждение системы безопасности для каждого экземпляра. Если у вас есть адрес электронной почты в течение длительного времени, будьте готовы быть шокированы тем, сколько случаев взлома пароля было совершено с его помощью. Вот пример уведомления о взломе пароля:
После всплывающих окон вы попадете на главную панель LastPass Security Challenge. Помните, ранее в этом руководстве я говорил о том, как в настоящее время я практикую гигиену паролей, но что мне так и не удалось правильно обновить множество старых веб-сайтов и служб? Это действительно видно по полученной мной оценке. Ой:
Это мой результат с учетом множества случайных паролей, накопленных за годы. Не удивляйтесь, если ваш результат будет еще ниже, если вы снова и снова используете одну и ту же горстку слабых паролей. Теперь, когда у нас есть наша оценка (какой бы крутой или постыдной она ни была), пора углубиться в данные. Вы можете использовать быстрые ссылки рядом с вашим процентом очков или просто начать прокрутку. Сначала остановимся, давайте посмотрим на подробные результаты. Считайте, что это обзор состояния ваших паролей на высоте 10000 футов:
Хотя вам следует обратить внимание на всю статистику здесь, действительно важными являются «Средняя надежность пароля», насколько слаб или надежен ваш средний пароль и, что еще более важно, «Количество повторяющихся паролей» и «Количество сайтов с повторяющимися паролями. ». В ходе моей проверки на 43 сайтах было 8 обманов. Ясно, что я был довольно ленив, повторно использовал один и тот же пароль низкого уровня на нескольких сайтах.
Следующая остановка - раздел "Анализируемые сайты". Здесь вы найдете очень конкретную разбивку всех ваших логинов и паролей, организованных по дублированию использования пароля (если у вас были дубликаты), уникальным паролям и, наконец, логинам без пароля, хранящимся в LastPass. Просматривая список, удивляйтесь разнице между надежностью паролей. В моем случае один из моих финансовых логинов получил оценку пароля 45%, в то время как логин моей дочери в Minecraft получил идеальную оценку 100%. Опять ой.
Как исправить ужасную оценку проблемы безопасности
Прямо в списки аудита встроены две очень полезных ссылки. Если вы нажмете «ПОКАЗАТЬ», он покажет вам пароль для этого сайта, а если вы нажмете «Посетить сайт», вы можете перейти прямо на веб-сайт, чтобы вы могли изменить пароль. Следует изменить не только все повторяющиеся пароли, но и навсегда удалить любой пароль, связанный с взломанной учетной записью (например, Adobe.com или LinkedIn).
В зависимости от того, сколько или немного паролей у вас есть (и насколько усердно вы применяли правильные пароли), этот шаг процесса может занять у вас десять минут или весь день. Хотя процесс смены паролей будет зависеть от макета обновляемого сайта, вот несколько общих рекомендаций, которым нужно следовать (в качестве примера мы используем обновление пароля на сайте Remember the Milk): Посетите страницу смены пароля . Обычно вам нужно ввести текущий пароль, а затем сгенерировать новый.
Сделайте это, нажав на логотип в виде замка с круговой стрелкой. LastPass вставляется в слот для нового пароля (как показано на скриншоте выше). Просмотрите свой новый пароль и при желании внесите изменения (например, удлините его или добавьте специальные символы):
Нажмите «Использовать пароль» и подтвердите, что хотите обновить редактируемую запись:
Обязательно подтвердите изменение на веб-сайте. Повторите процесс для каждого повторяющегося и ненадежного пароля в вашем хранилище LastPass.
Наконец, последнее, что вам нужно проверить, - это мастер-пароль LastPass. Сделайте это, щелкнув ссылку в нижней части экрана испытания с надписью «Проверить надежность моего мастер-пароля LastPass». Если вы этого не видите:
Вам необходимо сбросить свой главный пароль LastPass и увеличивать его силу, пока вы не получите хорошее, положительное, 100% подтверждение надежности.
Анализ результатов и дальнейшее повышение безопасности LastPass
После того, как вы просмотрели список повторяющихся паролей, удалили старые записи или иным образом очистили и обезопасили свой список логинов и паролей, пора снова запустить аудит. Итак, для акцента, оценка, которую вы видите ниже, была достигнута исключительно за счет повышения безопасности паролей. (Если вы включите дополнительные функции безопасности, например многофакторная аутентификация , вы получите прибавку примерно на 10%).
Неплохо! После удаления всех повторяющихся паролей и повышения надежности всех существующих паролей до 90% или выше, это действительно улучшило нашу оценку. Если вам интересно, почему он не подскочил до 100%, есть несколько факторов, наиболее заметный из которых заключается в том, что некоторые пароли никогда не могут быть исправлены по стандартам LastPass из-за глупой политики, установленной администраторы сайта. Например, пароль для входа в мою местную библиотеку представляет собой четырехзначный PIN-код (что соответствует 4% по шкале безопасности LastPass). У большинства людей в списке будут такие выбросы, которые снизят их оценку.
В таких случаях важно не расстраиваться и использовать детальную разбивку в качестве показателя:
В процессе обновления пароля я удалил 17 повторяющихся / просроченных сайтов, создал уникальный пароль для каждого сайта и службы и уменьшил количество сайтов с повторяющимися паролями с 43 до 0 в процессе.
На это ушло всего около часа серьезно сосредоточенного времени (12,4% из которых было потрачено на проклятия дизайнеров веб-сайтов, которые размещали ссылки для обновления паролей в непонятных местах), и все, что потребовалось для моей мотивации, - это нарушение пароля катастрофических масштабов! Замечу здесь, огромный успех.
Теперь, когда вы проверили свои пароли и хотите иметь стабильный набор уникальных паролей, давайте воспользуемся этой динамикой. Ударил вверх наше руководство по созданию LastPass даже более безопасный за счет увеличения количества итераций паролей, ограничения входа в систему по странам и т. д. Между проведением описанного здесь аудита, соблюдением нашего руководства по безопасности LastPass и включением двухфакторных алгоритмов у вас будет надежная система управления паролями, которой вы можете гордиться.
