Hogyan kell futtatni az utolsó átutalás biztonsági auditját (és miért nem várhat)
Ha Ön laza jelszókezelést és higiéniát gyakorol, csak idő kérdése, amíg az egyre növekvő számú nagyszabású biztonsági megsértés egyike éget. Hagyd abba a hálát, hogy elhagytad a múlt biztonsági sérüléseit és a páncélokat a jövőbeni ellen. Olvassa el, ahogy megmutatjuk, hogyan kell ellenőrizni a jelszavakat és megvédeni magát.
Mi a Big Deal és miért ez a kérdés?
Az idén októberben az Adobe kiderült, hogy jelentős biztonsági megszegés történt, amely az Adobe.com és az Adobe szoftver 3 millió felhasználóját érintette. Ezután 38 millióra módosították a számot. Aztán még sokkolóbbá vált, amikor az adatbázis a hackről kiszivárgott, a biztonsági elemzők, akik elemezték az adatbázist, visszatértek, és azt mondták, hogy inkább az 150 millió veszélyeztetett felhasználói fiókok. Ez a felhasználói expozíciós fokozat az Adobe sérelmét a futásban a történelem egyik legrosszabb biztonsági megsértése közé helyezi.
Az Adobe azonban alig egyedül van ezen az oldalon; egyszerűen megsértettük, mert fájdalmasan közelmúltban. Csak az utóbbi években több tucat hatalmas biztonsági megsértés történt, ahol a felhasználói információk, beleértve a jelszavakat is, sérültek.
A LinkedIn-t 2012-ben sikerült elérni (6,46 millió felhasználói rekord veszélyeztetett). Ugyanebben az évben az eHarmony-t (1,5 millió felhasználói rekord) sikerült elérni, a Last.fm (6,5 millió felhasználói rekord) és a Yahoo! (450 000 felhasználói rekord). A Sony Playstation Networket 2011-ben sikerült elérni (101 millió felhasználói rekordot veszélyeztettek). A Gawker Media (a Gizmodo és a Lifehacker oldalak anyavállalata) 2010-ben eltalálódott (1,3 millió felhasználói rekordot veszélyeztettek). És ezek csak példa arra, hogy a híreket nagy jogsértések okozták!
Az Adatvédelmi Jogi Nyilatkozat 2005-től napjainkig fenntartja a biztonsági megsértések adatbázisát. Adatbázisuk sokféle típusú jogsértést jelent: sérült hitelkártyák, ellopott társadalombiztosítási számok, ellopott jelszavak és orvosi feljegyzések. Az adatbázis az e cikk közzétételétől kezdődően az 4,033 jogsértés tartalmazó 617 937 023 felhasználói rekord. Nem mindegyik százmillió bűncselekmény a felhasználó jelszavával foglalkozott, de milliók milliói.
Akkor miért számít ez? A jogsértés nyilvánvaló és azonnali biztonsági következményein kívül a jogsértések biztosítják a károkat. A hackerek azonnal megkezdhetik a más webhelyeken gyűjtött bejelentkezések és jelszavak tesztelését.
A legtöbb ember lusta a jelszavával, és jó esély van arra, hogy ha valaki a bob1979 jelszóval használja a [email protected] címet, akkor ugyanaz a bejelentkezési / jelszó pár fog működni más webhelyeken. Ha ezek a más webhelyek magasabb profilúak (mint például a banki oldalak, vagy ha az Adobe által használt jelszó ténylegesen feloldja az e-mail üzeneteit), akkor van egy probléma. Ha valaki hozzáfér az e-mail postafiókjához, elkezdheti a jelszó visszaállítását más szolgáltatásokhoz, és hozzáférhet hozzájuk is.
Az egyetlen módja annak, hogy ez a fajta láncreakció megakadályozza, hogy még több biztonsági problémát okozzon a weboldalak és szolgáltatások hálózaton belül, a két jó jelszóhigiéniai szabályok követése:
- Az e-mail jelszavának hosszúnak, erősnek és teljesen egyedinek kell lennie az összes bejelentkezésnél.
- Minden A bejelentkezés hosszú, erős és egyedi jelszót kap. Nincs jelszó újrafelhasználása. Valaha.
Ez a két szabály az összes olyan biztonsági útmutató elvezetése, amelyet valaha is megosztottunk velünk, beleértve a vészhelyzetet is, amire szükségünk van a rajongók számára Hogyan viselkedni visszanyerhető az e-mail jelszó megsértése után.
Most ezen a ponton valószínűleg egy kicsit összevisszál, mert őszintén szólva, alig bárki tökéletesen légzáró jelszóval és biztonsággal rendelkezik. Nem vagy egyedül, ha hiányzik a jelszóhigiénia. Valójában itt az ideje egy vallomásnak.
Több évtizedes biztonsági cikket írtam, a biztonsági megszegésekkel kapcsolatos hozzászólásokat és más jelszóval kapcsolatos bejegyzéseket az évek során, amikor a How-To Geek-en voltam. Annak ellenére, hogy pontosan az a fajta tájékozott személy, akinek jobban meg kell ismernie, annak ellenére, hogy jelszókezelőt használ, és minden új webhelyre és szolgáltatásra vonatkozóan biztonságos jelszavakat generál, amikor az e-maileket a veszélyeztetett Adobe-bejelentkezések listáján futtattam, és megfeleltem a veszélyeztetett jelszónak, még mindig kiderült, hogy elégettem.
Már régen tettem ezt az Adobe-fiókot, amikor szignifikánsan lazább voltam a jelszóhigiénéemmel, és az általam használt jelszót gyakori voltam Több tucat a weboldalak és szolgáltatások, amelyeket feliratkoztam, mielőtt szuper komolyan venném a jó jelszavakat.
Mindezt meg lehetett volna akadályozni, ha teljes mértékben gyakorolnám azt, amit prédikáltam, és nem csak egyedi és erős jelszavakat hoztam létre is auditáltam a régi jelszavamat, hogy ez a helyzet soha nem történt meg először. Akár soha nem is próbáltak konzisztensek és biztonságosak lenni a jelszóval kapcsolatos gyakorlatokkal, vagy csak át kell nézniük, hogy nyugodtan legyenek, az alapos jelszó-ellenőrzés a jelszavas biztonság és a nyugalom útja. Olvassa el, ahogy megmutatjuk, hogyan.
Felkészülés a Lastpass biztonsági kihívására
Manuálisan ellenőrizheti a jelszavát, de ez óriásian unalmas lenne, és nem kapná meg a jó univerzális jelszókezelő használatának előnyeit. Ahelyett, hogy mindent manuálisan auditálnánk, az egyszerű és nagyrészt automatizált útvonalat fogjuk végezni: jelszavunkat a LastPass biztonsági kihívásával fogjuk ellenőrizni.
Ez az útmutató nem terjed ki a LastPass beállítására, így ha még nem rendelkezik LastPass rendszerrel, akkor azt javasoljuk, hogy állítson be. Nézd meg a HTG útmutatót az Első lépésekhez a LastPass használatával, hogy elkezdhessük. Bár a LastPass frissítette, mióta írtuk az útmutatót (az interfész sokkal szebb és jobban racionalizálható), mégis könnyedén követheti a lépéseket. Ha az LastPass-ot első alkalommal állítja be, győződjön meg róla, hogy importál minden a tárolt jelszavakat a böngészőből, mivel célunk minden egyes használt jelszó ellenőrzése.
Adja meg a LastPass-ba minden bejelentkezési nevet és jelszót: Akár teljesen új vagy a LastPass, vagy nem használta fel teljesen minden bejelentkezéshez, itt az ideje, hogy megbizonyosodjon róla, hogy beírta minden Belépés a LastPass rendszerbe. Meg fogjuk ismételni az e-mail helyreállítási útmutatónkban megadott tanácsokat az e-mail üzenetek beolvasására az emlékeztetők számára:
Keresés az e-mailben a regisztrációs emlékeztetőkre. Nem lesz nehéz emlékezni a gyakran használt bejelentkezésekre, például a Facebookra és a bankjára, de valószínűleg több tucat kiépítési szolgáltatás van, amelyeket esetleg nem is emlékszel arra, hogy az e-mailjeidet használod. Olyan kulcsszavakat használhat, mint a „Üdvözöljük”, „Visszaállítás”, „Helyreállítás”, „Ellenőrzés”, „Jelszó”, „Felhasználónév”, „Belépés”, „Fiók” és ezek kombinációi. . Ismét tudjuk, hogy ez egy szóváltás, de ha egyszer megtette ezt egy jelszókezelővel az Ön oldalán, az összes fiókjának főlistája van, és soha többé nem kell ezt a kulcsszót vadászni.
Kétfaktorú hitelesítés engedélyezése a LastPass-fiókjában: Ez a lépés nem feltétlenül szükséges a biztonsági ellenőrzés elvégzéséhez, de amíg figyelmünket figyeljük, mindent megteszünk annak érdekében, hogy ösztönözzük Önt, hogy miközben a LastPass-fiókjában körbejárja, kapcsolja be a kétfaktoros hitelesítést tovább biztosítsa a LastPass boltozatot. (Nemcsak növeli a fiókbiztonságot, hanem a biztonsági ellenőrzési pontszámot is növeli!)
A LastPass biztonsági kihívása
Most, hogy behozta az összes jelszavát, itt az ideje, hogy megvédje magát a szégyentől, hogy nem vagyunk a kemény jelszavas biztonsági ninják 1% -ában. Látogasson el a LastPass Security Challenge oldalra, és nyomja meg az oldal elején a „Kihívás indítása” gombot. A rendszer felkéri, hogy adja meg a jelszavát, a fenti képen látható módon, majd a LastPass felajánlja, hogy ellenőrizze, hogy a boltívben található e-mail címek bármelyike része volt-e a követésében. Nincs okunk arra, hogy ezt ne használjuk ki:
Ha szerencséje van, akkor negatív lesz. Ha szerencséje van, akkor egy ilyen előugró ablak jelenik meg, amely megkérdezi, hogy további információt szeretne-e kapni az e-mailek megsértéseiről:
A LastPass minden egyes példányra egyetlen biztonsági riasztást ad ki. Ha már régóta rendelkezett az e-mail címével, készen kell állnia arra, hogy megdöbbent, hogy hány jelszó megsértése történt meg. Itt van egy példa a jelszó megsértésének értesítésére:
A felugró ablakok után a LastPass Security Challenge fő paneljébe kerül. Emlékszel korábban az útmutatóban, amikor beszéltem arról, hogy jelenleg hogyan használom a jó jelszóhigiéniát, de soha nem jutottam hozzá ahhoz, hogy megfelelően frissítsem sok régebbi webhelyet és szolgáltatást? Ez valóban megmutatja a kapott pontszámot. Jaj:
Ez az én pontszámom éveknyi véletlenszerű jelszavakkal. Nem lehet túl sokk, ha a pontszámod még alacsonyabb, ha ugyanazt a gyenge jelszavakat használod újra és újra. Most, hogy a mi pontszámunk (bár félelmetes vagy szégyenletes is lehet), itt az ideje, hogy belevágjunk az adatokba. Használhatja a gyors százalékos linkeket a pontszáma mellett, vagy csak elkezdheti a görgetést. Első megállás, nézzük meg a részletes eredményeket. Tekintsük ezt a 10 000 lábnyi áttekintést a jelszavak állapotáról:
Miközben figyelmet kell fordítania az összes statisztikára itt, az igazán fontosak az „Átlagos jelszó-erősség”, mennyire gyenge vagy erős az átlagos jelszó, és ami még fontosabb: „Az ismétlődő jelszavak száma” és „Az ismétlődő jelszóval rendelkező webhelyek száma ”. Ellenőrzésem okán 43 helyszínen 8 dupes volt. Nyilvánvalóan nagyon lusta voltam, hogy ugyanazon alacsony minőségű jelszót újrahasznosítsam több webhelyen.
Következő lépés: az Elemzett oldalak szakasz. Itt talál egy nagyon konkrét bontást az összes bejelentkezésünkről és jelszaváról, melyeket a jelszó kétszeres használatával (ha megismétlődött), egyedi jelszavakat, és végül a LastPass-ban tárolt jelszó nélkül bejelentkezik. Miközben keresi a listát, csodálja meg a jelszavas erősségek közötti kontrasztot. Esetemben az egyik pénzügyi bejelentkezésem egy 45% -os jelszavas pontszámot kapott, míg a lányom Minecraft bejelentkezése tökéletes 100% -os pontszámot kapott. Ismét.
A rettenetes biztonsági kihívások pontozása
Két nagyon hasznos link található a könyvvizsgálati listákhoz. Ha rákattint a „SHOW” gombra, akkor megmutatja az adott webhely jelszavát, és ha a „Látogasson el a webhelyre” gombra, akkor jobbra ugorhat a weboldalra, így megváltoztathatja a jelszót. Nemcsak minden egyes ismétlődő jelszót módosítani kell, hanem minden olyan fiókhoz csatolt jelszót, mint az Adobe.com vagy a LinkedIn, véglegesen visszavonni kell.
Attól függően, hogy hány vagy néhány jelszó van (és milyen szorgalmas voltál a jó jelszavas gyakorlatokban), a folyamat ez a lépése tíz percig vagy egész délutánig tarthat. Bár a jelszavai megváltoztatásának folyamata az Ön által frissített webhely elrendezésének függvényében változik, itt néhány általános iránymutatás követendő (jelszófrissítést használunk a Tej feltüntetése példaként): Látogasson el a jelszóváltási oldalra . Általában meg kell adnia az aktuális jelszót, majd új jelszót kell létrehoznia.
Ezt úgy végezze el, hogy rákattint a zár-kör alakú nyíl logóval. A LastPass beilleszkedik az új jelszónyílásba (lásd a fenti képen). Nézze át az új jelszót, és végezzen módosításokat, ha kívánja (pl. Hosszabbítása vagy speciális karakterek hozzáadása):
Kattintson a „Jelszó használata” gombra, majd erősítse meg, hogy frissíteni szeretné a szerkesztett bejegyzést:
Győződjön meg róla, hogy megerősíti a változást a honlapon is. Ismételje meg a folyamatot a LastPass boltozat minden ismétlődő és gyenge jelszavával.
Végül, az utolsó dolog, amit ellenőrizni kell, a LastPass Master jelszó. Ehhez kattintson a "Kihívás képernyő" alján található "Teszteld a LastPass Master jelszavam erősségét" linkre. Ha nem látja ezt:
Vissza kell állítania a LastPass Master jelszavát, és növelnie kell az erőt, amíg nem kap egy szép, pozitív, 100% -os erősítő megerősítést.
Az eredmények felmérése és a LastPass biztonság további javítása
Miután elhúzta a párhuzamos jelszavak listáját, törölte a régi bejegyzéseket, és más módon rendezte meg és rögzítette a bejelentkezési / jelszólistát, itt az ideje, hogy újra ellenőrizze az ellenőrzést. Most, a hangsúly érdekében, az alábbi pontszámot csak a jelszavas biztonság javításával hozta fel. (Ha engedélyezi a további biztonsági funkciókat, például a többtényezős hitelesítést, akkor körülbelül 10% -os növekedést fog kapni).
Nem rossz! Miután megszüntette az összes jelszót, és az összes meglévő jelszót akár 90% -os vagy annál jobbra emelte, ez tényleg javította a pontszámot. Ha kíváncsi, hogy miért nem ugrott be 100% -ra, van néhány tényező, amelyek közül a legjelentősebb az, hogy a jelszavakat soha nem lehet felvenni a LastPass szabványai miatt, mivel a buta házirendek érvényben vannak. webhelygazdák. Például a helyi könyvtár bejelentkezési jelszava egy négyjegyű PIN-kód (ami 4% -ot kap a LastPass biztonsági skálán). A legtöbb embernek valamilyen kiugró értéke van a listájukban, és ez az eredményt húzza le.
Ilyen esetekben fontos, hogy ne legyőzze, és használja a részletes bontást metrikaként:
A jelszófrissítési folyamatban 17 duplikált / lejárt webhelyet metszettem, egyedi webhelyekhez és szolgáltatásokhoz egyedi jelszót készítettem, és a folyamatban lévő helyek számát 43-ról 0-ra csökkentettük..
Csak egy órányi komolyan összpontosított időt vett igénybe (ebből 12,4% -át költő weboldalak tervezői töltötték el a jelszófrissítési linkeket homályos helyeken), és minden, ami motivált volt, a katasztrofális arányok jelszavas megsértése volt! Itt jegyzetek, hatalmas siker.
Most, hogy auditálta a jelszavát, és arról van szó, hogy egy egyedi jelszóval rendelkezik, használjuk ki ezt az előremenő lendületet. Lépjünk végig az Útmutatónkhoz az LastPass készítéséhez még biztonságosabb a jelszó ismétlésének növelésével, a bejelentkezés országonkénti korlátozásával és így tovább. Az itt bemutatott ellenőrzés futása között, a LastPass biztonsági útmutatója alapján, és a kétfaktoros algoritmusok bekapcsolásával egy golyóálló jelszókezelő rendszer van, amire büszke lehetsz.