Sådan kører du en sidste pass Security Audit (og hvorfor det ikke kan vente)
Hvis du praktiserer laksekodeordstyring og hygiejne, er det kun et spørgsmål om tid, indtil en af de stadig flere omfattende sikkerhedsbrud brænder dig. Stop med at være taknemmelig, du dodged den fortidske sikkerhed bryder dig kugler og rustning dig selv imod de fremtidige. Læs videre, da vi viser dig, hvordan du reviderer dine adgangskoder og beskytter dig selv.
Hvad er Big Deal og hvorfor betyder dette?
I oktober i år afslørede Adobe, at der var en stor sikkerhedsbrud, der ramte 3 millioner brugere af Adobe.com og Adobe-software. Derefter ændrede de tallet til 38 mio. Så endnu mere chokerende, da databasen fra hacket blev lækket, kom sikkerhedsforskere, der analyserede databasen, tilbage og sagde, at det var mere som 150 millioner kompromitterede brugerkonti. Denne grad af brugereksponering sætter Adobe-bruddet i kørslen som et af de værste sikkerhedsbrud i historien.
Adobe er dog næppe alene på denne front; vi åbnet simpelthen med deres brud, fordi det er smerteligt nyligt. I de sidste par år alene har der været dusinvis af massive sikkerhedsbrud, hvor brugeroplysninger, herunder adgangskoder, er blevet kompromitteret.
LinkedIn blev ramt i 2012 (6.46 millioner brugerrekorder kompromitteret). Samme år blev eHarmony ramt (1,5 millioner brugerregistre) som var Last.fm (6,5 millioner brugerregistre) og Yahoo! (450.000 brugerregistre). Sony Playstation Network blev ramt i 2011 (101 millioner brugerrekorder kompromitteret). Gawker Media (moderselskabet på websteder som Gizmodo og Lifehacker) blev ramt i 2010 (1,3 millioner brugerrekorder kompromitteret). Og det er bare eksempler på store brud, der gjorde nyhederne!
Privacy Rights Clearinghouse opretholder en database med sikkerhedsbrud fra 2005 til nutiden. Deres database indeholder en bred vifte af brudstyper: kompromitterede kreditkort, stjålne sociale sikringsnumre, stjålne adgangskoder og lægejournaler. Databasen, som offentliggørelsen af denne artikel, består af 4.033 brud indeholdende 617.937.023 brugerregistre. Ikke alle de hundredvis af millioner af brud involverede brugeradgangskoder, men millioner af millioner af dem gjorde det.
Så hvorfor betyder det noget? Bortset fra de åbenbare og umiddelbare sikkerhedsmæssige konsekvenser af en overtrædelse skaber overtrædelserne sikkerhedsskade. Hackerne kan straks begynde at teste logins og adgangskoder, de høster på andre websteder.
De fleste mennesker er dovne med deres adgangskoder, og der er en god chance for, at hvis nogen brugte [email protected] med adgangskoden bob1979, vil det samme login / password pair arbejde på andre hjemmesider. Hvis disse andre websteder er højere profil (f.eks. Bankwebsteder eller hvis adgangskoden, han brugte på Adobe, faktisk låser sin e-mail-indbakke), så er der et problem. Når nogen har adgang til din e-mail-indbakke, kan de begynde at nulstille adgangskoden på andre tjenester og få adgang til dem også.
Den eneste måde at stoppe denne form for kædereaktion på med at skabe endnu flere sikkerhedsproblemer inden for netværket af websteder og tjenester, du bruger, er at følge to kardinalregler for god adgangskodehygiejne:
- Din email-kodeord skal være lang, stærk og helt unik blandt alle dine login.
- Hver login får en lang, stærk og unik adgangskode. Ingen adgangskode genbrug. Nogensinde.
Disse to regler er afhentningen fra alle sikkerhedsguider, vi nogensinde har delt med dig, herunder vores nødsituation-it-has-hit-the-fan guide Sådan genopretter du efter dit e-mail-kodeord er kompromitteret.
Nu på dette tidspunkt er du sandsynligvis squirming lidt, fordi ærligt nok, næsten ingen har perfekt lufttæt adgangskode praksis og sikkerhed. Du er ikke alene, hvis din adgangskodehygiejne mangler. Faktisk er det tid til en tilståelse.
Jeg har skrevet snesevis af sikkerhedsartikler, indlæg om sikkerhedsbrud og andre adgangskoderelaterede indlæg i de år, jeg har været på How-To Geek. På trods af at jeg netop er den slags informeret person, der burde vide bedre, trods at du bruger en adgangskodeadministrator og genererer sikre adgangskoder til hver ny hjemmeside og service, da jeg kørte min email via listen over kompromitterede Adobe logins og matchede den med det kompromitterede kodeord, jeg fandt stadig ud af, at jeg var blevet brændt.
Jeg lavede den Adobe-konto for længe siden, da jeg var betydeligt mere lax med min adgangskodehygiejne, og det kodeord, jeg brugte, var almindeligt på tværs af snesevis af websteder og tjenester, som jeg havde tilmeldt mig, før jeg blev super seriøs om at lave gode adgangskoder.
Alt dette kunne have været forhindret, hvis jeg fuldt ud havde praktiseret det, jeg forkyndte og ikke bare skabte unikke og stærke adgangskoder, men også revideret mine gamle adgangskoder for at sikre, at denne situation aldrig skete i første omgang. Uanset om du aldrig har forsøgt at være konsekvent og sikker med dine adgangskodepraksis, eller du bare skal tjekke dem for at gøre dig rolig, er en grundig adgangskode revision vejen til adgangskode sikkerhed og ro i sindet. Læs videre, som vi viser dig hvordan.
Forberedelse til din Lastpass Security Udfordring
Du kan manuelt kontrollere dine adgangskoder, men det ville være enormt kedeligt, og du ville ikke få nogen fordel ved at bruge en god universel adgangskodeadministrator. I stedet for at manuelt gennemgå alt, skal vi tage den nemme og stort set automatiserede rute: vi skal revidere vores adgangskoder ved at tage LastPass Security Challenge.
Denne vejledning dækker ikke opsætningen af LastPass, så hvis du ikke allerede har et LastPass-system i gang, anbefaler vi dig stærkt at sætte en op. Tjek The HTG Guide til Kom godt i gang med LastPass for at komme i gang. Selvom LastPass har opdateret siden vi skrev vejledningen (grænsefladen er meget smukkere og bedre strømlinet nu), kan du stadig følge trinene med lethed. Hvis du konfigurerer LastPass for første gang, skal du sørge for at importere alle Dine gemte adgangskoder fra dine browsere, da vores mål er at revidere hver enkelt adgangskode, du bruger.
Indtast alle login og adgangskode til LastPass: Uanset om du er helt ny til LastPass, eller du ikke har brugt det fuldt ud til hvert login, er det tid til at sikre dig, at du har indtastet hver Log ind i LastPass-systemet. Vi kommer til at ekko det råd, vi gav i vores e-mailgendannelsesvejledning til at kammere din e-mail-indbakke til påmindelser:
Søg i din email for registreringspåmindelser. Det bliver ikke svært at huske dine ofte brugte logins som Facebook og din bank, men der er sandsynligvis snesevis af ydelser, som du måske ikke engang husker, at du bruger din email til at logge ind. Brug søgeordssøgninger som "velkommen til", "nulstil", "opsving", "bekræft", "adgangskode", "brugernavn", "login", "konto" og kombinationer deraf som "nulstil adgangskode" eller "bekræft konto" . Igen ved vi, at dette er en besvær, men når du har gjort dette med en adgangskodeadministrator på din side, har du en mesterliste over hele din konto, og du bliver aldrig nødt til at gøre dette søgeords jagt igen.
Aktivér tofaktors godkendelse på din LastPass-konto: Dette trin er ikke strengt nødvendigt for at udføre sikkerhedsrevisionen, men mens vi har din opmærksomhed, vil vi gøre alt, hvad vi kan for at opmuntre dig, mens du smutter rundt i din LastPass-konto, for at aktivere tofaktorautentificering til Yderligere sikre din LastPass hvælving. (Det øger ikke kun din kontosikkerhed, du får et boost i din sikkerhedskontrol score også!)
Tager LastPass Security Challenge
Nu, hvor du har importeret alle dine adgangskoder, er det tid til at sætte dig selv i skam for ikke at være i 1% af hardcore password ninjas. Besøg siden LastPass Security Challenge og tryk på "Start the Challenge" nederst på siden. Du bliver bedt om at indtaste dit hovedadgangskode, som det ses på skærmbilledet ovenfor, og så vil LastPass tilbyde at kontrollere, om en af de emailadresser, der er indeholdt i din hvælving, var en del af eventuelle overtrædelser, den har sporet. Der er ingen god grund til ikke at drage fordel af dette:
Hvis du er heldig, vender den tilbage en negativ. Hvis du er heldig, får du en pop-up som denne, hvis du vil have flere oplysninger om overtrædelserne, var din email involveret i:
LastPass vil udstede en enkelt sikkerhedsalarm for hver instans. Hvis du har haft din emailadresse i lang tid, vær forberedt på at være chokeret over, hvor mange kodeord der er overskredet. Det er et eksempel på en adgangskode om brud på adgangskode:
Efter pop-up'erne bliver du dumpet til hovedpanelet i LastPass Security Challenge. Husk tidligere i vejledningen, da jeg talte om, hvordan jeg i øjeblikket praktiserer god adgangskodehygiejne, men det havde jeg aldrig fået til at opdatere mange ældre websteder og service korrekt. Det viser virkelig i den score jeg modtog. Av:
Det er min score med år værd af tilfældige adgangskoder blandet i. Vær ikke for chokeret, hvis din score er endnu lavere, hvis du har brugt de samme håndfuld svage adgangskoder igen og igen. Nu hvor vi har vores score (dog fantastisk eller skammeligt, kan det være), er det tid til at grave ind i dataene. Du kan bruge de hurtige links ud for din score procent eller bare begynde at rulle. Første stop, lad os tjekke de detaljerede resultater. Overvej dette et 10.000 fods overblik over tilstanden af dine adgangskoder:
Mens du skal være opmærksom på alle statistikker her, er de virkelig vigtige "gennemsnitlig adgangskode styrke", hvor svag eller stærk din gennemsnitlige adgangskode er, og endnu vigtigere, "Antal duplikat adgangskoder" og "Antal websteder, der har dobbelte adgangskoder ”. I forbindelse med min revision var der 8 dupes på tværs af 43 websteder. Det var klart, at jeg havde været ret doven at genbruge det samme lavkvalitets kodeord på mere end nogle få websteder.
Næste stop, sektionen Analyserede websteder. Her finder du en meget konkret nedbrydning af alle dine logins og adgangskoder, der er organiseret ved hjælp af to gange brug af adgangskode (hvis du havde dubletter), unikke adgangskoder og endelig logins uden en adgangskode gemt i LastPass. Mens du kigger over listen, skal du beundre kontrasten mellem password-styrker. I mit tilfælde blev en af mine finansielle login fået et 45% Password Score, mens min datter Minecraft login blev givet en perfekt 100% score. Igen, ouch.
Fastsættelse af din forfærdelige sikkerhedsudfordring score
Der er to meget nyttige links bygget direkte ind i revisionsoversigterne. Hvis du klikker på "SHOW", vil det vise dig adgangskoden til det pågældende websted, og hvis du klikker på "Besøg websted", kan du hoppe direkte til hjemmesiden, så du kan ændre adgangskoden. Ikke kun bør hver duplikat kodeord ændres, men ethvert kodeord, der var knyttet til en konto, der blev overtrådt (f.eks. Adobe.com eller LinkedIn), skal pensioneres permanent.
Afhængigt af hvor mange eller få adgangskoder du har (og hvor flittige du har været om god adgangskodepraksis), kan dette trin i processen tage dig ti minutter eller hele eftermiddagen. Selvom processen med at ændre dine adgangskoder varierer afhængigt af layoutet på det websted, du opdaterer, er der nogle generelle retningslinjer, der skal følges (vi bruger vores adgangskodeopdatering til Remember the Milk som et eksempel): Besøg siden om adgangskodeændring . Normalt skal du indtaste din nuværende adgangskode og derefter oprette en ny adgangskode.
Gør det ved at klikke på lås-med-cirkulær-pil-logoet. LastPass indsætter i den nye adgangskodeplads (som det ses på skærmbilledet ovenfor). Se over din nye adgangskode og foretag justeringer, hvis du ønsker det (f.eks. Forlænger det eller tilføjer specialtegn):
Klik på "Brug kodeord" og bekræft derefter, at du vil opdatere den post, du redigerer:
Sørg for at bekræfte ændringen med hjemmesiden også. Gentag processen for hvert duplikat og svagt kodeord i dit LastPass-hvælving.
Endelig er det sidste, du har brug for at revidere, dit LastPass Master Password. Gør det ved at klikke på linket nederst på udfordringsskærmen med titlen "Test styrken af mit LastPass Master Password". Hvis du ikke ser dette:
Du skal nulstille dit LastPass Master Password og øge styrken, indtil du får en god, positiv bekræftelse på 100%.
Undersøgelse af resultaterne og yderligere forbedring af din LastPass-sikkerhed
Når du har slogget gennem listen over dublette adgangskoder, slettet gamle poster og ellers ryddet op og sikret din login / adgangskode liste, er det tid til at køre revisionen igen. Nu, for at blive lagt vægt på, blev scoren, du ser nedenfor, kun opdraget ved at forbedre adgangskode sikkerhed. (Hvis du aktiverer yderligere sikkerhedsfunktioner, som multi-factor-godkendelse, får du et boost på omkring 10%).
Ikke dårligt! Efter at have elimineret hver duplikat adgangskode og bringe alle eksisterende adgangskoder op til 90% styrke eller bedre, forbedrede det virkelig vores score. Hvis du er nysgerrig, hvorfor den ikke hoppede op til 100%, er der nogle faktorer til spil, hvoraf de mest fremtrædende er, at nogle adgangskoder aldrig kan blive bragt op til snuff efter LastPass-standarder på grund af dumme politikker på plads af websted administratorer. For eksempel er mit lokalbiblioteks loginadgangskode en firecifret pin (som scorer 4% på LastPass-sikkerhedsskalaen). De fleste mennesker vil have en slags outliers sådan i deres liste, og det vil trække deres score ned.
I sådanne tilfælde er det vigtigt ikke at blive modløs, og at bruge din detaljerede sammenbrud som en metrisk:
I opdateringen af adgangskode beskrev jeg 17 duplikat / udløbne websteder, oprettede en unik adgangskode til hvert websted og service og bragte antallet af websteder med dublette adgangskoder ned fra 43 til 0 i processen.
Det tog kun ca. en time med alvorligt fokuseret tid (hvoraf 12,4% blev brugt forbandende webdesignere, der lagde adgangskodeopdateringslinks i obskure steder), og alt det, der krævede for at få mig motiveret, var et passordbrud af katastrofale proportioner! Jeg laver en note her, stor succes.
Nu hvor du har revideret dine adgangskoder, og du er pumpet om at have en stabil unikke adgangskoder, lad os drage fordel af det fremadgående momentum. Træk vejledningen til at lave LastPass også selvom sikrere ved at øge password iterations, begrænse logins efter land og meget mere. Mellem at køre den revision, vi skitserede her, følger vores LastPass sikkerhedsguide og aktiverer tofaktoralgoritmer, du har et kuglebeskyttet kodeordstyringssystem, du kan være stolt af.