Kuidas viimati läbida turbeaudit (ja miks seda ei saa oodata)?

2024 Autor: Geoffrey Carr | [email protected]. Viimati modifitseeritud: 2023-12-17 10:56

Kui kasutate salajast paroolijuhtimist ja hügieeni, on see vaid aja küsimus, kuni üks paljudest ulatuslikest turvarikkumistest põleb. Lõpeta tänulik, et olete varem turvameetmeid rikkunud ja kaitsed endiste vastu. Loe edasi, kui näeme teile, kuidas oma paroolid kontrollida ja ennast kaitsta.

Mis on suur asi ja miks see on?

Selle aasta oktoobris näitas Adobe, et seal oli suur turvarikkumine, mis mõjutas 3 miljonit Adobe.com'i ja Adobe tarkvara kasutajat. Seejärel vaatasid nad üle 38 miljoni arvu. Siis, veelgi šokeerivamalt, kui andmebaas hackist lekkis, jõudsid andmebaasi analüüsinud turvanõustajad tagasi ja ütlesid, et see on rohkem sarnane 150 miljonit eurot ohustatud kasutajakontod. Selline kasutajate kokkupuuteaste muudab Adobe'i rikke üheks halvimaks turvarikkumiseks ajaloos.

Adobe on sellel alal vaevalt üksi; me lihtsalt avasime nende rikkumise, sest see on hiljuti valus. Viimastel aastatel on üksi olnud kümneid ulatuslikke turvarikkumisi, kus kasutajateavet, sealhulgas paroole, on ohustatud.

LinkedIn kukkus 2012. aastal (kompromissi tabas 6,46 miljonit kasutajatunnust). Samal aastal tabas eHarmony (1,5 miljonit kasutajatunnust), nagu ka Last.fm (6,5 miljonit kasutaja kirjeid) ja Yahoo! (450 000 kasutaja arvestust). 2011. aastal tabas Sony Playstation Network (101 miljonit kasutajaandmeid kompromiteeriti). 2010. aastal tabas Gawker Media (selliste saitide emaettevõtja nagu Gizmodo ja Lifehacker) (1,3 miljonit kasutajaandmeid kompromiteeriti). Ja need on lihtsalt näited suurtest rikkumistest, mis uudiseid tegi!

Privaatsusõiguste teabevõrgustik säilitab turvarikkumiste andmebaasi alates 2005. aastast kuni praeguseni. Nende andmebaas sisaldab laia valikut rikkumiste tüüpe: kompromiteeritud krediitkaarte, varastatud sotsiaalkindlustuse numbreid, varastatud paroole ja meditsiinilisi andmeid. Andmebaas alates käesoleva artikli avaldamisest koosneb 4033 rikkumist sisaldades 617 937 023 kasutaja arvestust. Mitte iga neist sadu miljoneid rikkumisi ei kasutanud kasutajaraporte, vaid miljonid neist tegid.

Miks siis see on tähtis? Peale rikkumise ilmse ja vahetu julgeolekuga seotud tagajärjed tekitavad rikkumisi ka kahjutasu. Häkkerid võivad kohe alustada teistes veebisaitidel kogutud sisselogimiste ja paroolide katsetamist.

Enamik inimesi on oma paroolidega laisk, ja on hea võimalus, et kui keegi kasutab [email protected] parooliga bob1979, siis sama salasõna / paar töötab ka teistes veebisaitides. Kui need teised veebisaidid on kõrgema profiiliga (nt pangakontosid või kui parool, mida ta Adobeis kasutas, avab tema e-posti postkasti), on probleem. Kui keegi omab juurdepääsu teie e-posti sisendkausta, saavad nad hakata parooli muudele teenustele uuesti sisestama ja neile juurde pääsema.

Ainus võimalus peatada selline ahelreaktsioon veelgi turvaprobleemide tekitamisel veebisaitide ja -teenuste võrgustikus on järgida kahte parema hea hügieeni peamist reeglit:

Teie e-posti parool peab olema pikk, tugev ja täiesti unikaalne kõigi teie sisselogimiste puhul.
Igaüks sisselogimine saab pikk, tugev ja unikaalne parool. Parooli korduskasutamine ei ole lubatud. Kunagi

Need kaks reeglit on iga turvalisuse juhendiga, mille oleme teiega kunagi varem jaganud, kaasa arvatud meie hädaolukorras, see on-on-hit-the-fan-juhis Kuidas taastada pärast teie e-posti parooli ohtu.

Nüüd on selles punktis tõenäoliselt veidi väike, sest ausalt öeldes on vaevalt kellelgi täiesti õhukindel paroolitase ja turvalisus. Sa ei ole üksi, kui sul pole parooli hügieeni. Tegelikult on aeg konfessioonile.

Olen kirjutanud kümneid turvaparteisid, postitusi turvarikkumistest ja muudest parooliga seotud postitustest aastate jooksul, mil olen olnud How-To Geeki. Hoolimata sellest, et täpselt on see kindel teadlik isik, kes peaks paremini tundma, hoolimata salajase halduri kasutamisest ja turvaliste paroolide loomist iga uue veebisaidi ja teenuse jaoks, kui ma saatsin oma e-posti läbi kompromiteeritud Adobe'i sisselogimiste nimekirja ja sobisin selle vastu rikutud parooliga, siis ma ikkagi avastasin, et mul on põletatud.

Ma tegin selle Adobe'i konto juba ammu, kui olin oma paroolihügieeni juures tunduvalt nõrgem ja parool, mida ma kasutasin, oli levinud kogu kümneid veebisaitidest ja teenustest, millega ma juba registreerusin, enne kui sain paroolide paranemisega ülimalt tõsiselt.

Seda oleks võinud vältida, kui ma täielikult harjutanud seda, mida ma kuulutasin, ja mitte ainult unikaalseid ja tugevaid paroole, vaid ka ka kontrollisin oma vanu paroole, et seda olukorda pole kunagi varem juhtunud. Ükskõik, kas te ei ole kunagi isegi proovinud oma salasõnadega töötada järjepidevalt ja turvaliselt, või kui teil on vaja neid hõlpsalt kontrollida, on põhjalik paroolaudit paroolienergia ja meelerahu tee. Loe edasi, kui me näeme teile, kuidas.

Ettevalmistused Teie Lastpass Security Challenge jaoks

Saate oma paroole käsitsi kontrollida, kuid see oleks tohutult tüütu ja sa ei saaks kasu parema hea parooli haldaja kasutamisest. Kogu käsitsi auditeerimise asemel võtame kasutusele lihtsa ja suuresti automatiseeritud marsruudi: me kontrollime oma paroole, võttes LastPassi turvalisuse väljakutse.

Käesolev juhend ei hõlma LastPassi seadistamist, seega kui te pole veel LastPassi süsteemi käivitatud ja tööle rakendanud, soovitame teil tungivalt üles seadistada. Tutvuge HTTG juhendiga, kuidas alustada tööle LastPassiga. Kuigi LastPass on ajakohastatud alates juhendi kirjutamisest (liides on palju ilusamaid ja paremini täiustatud), saate siiski hõlpsalt samme järgida. Kui installite LastPassi esimest korda, importige kindlastikõik teie salvestatud paroolid oma brauseritest, sest meie eesmärk on kontrollida iga teie kasutatavat parooli.

Sisestage iga kasutajanimi ja salasõna LastPassisse:Kas olete LastPassi jaoks täiesti uus või kui te pole seda iga sisselogimise jaoks täielikult kasutanud, on nüüd aeg veenduda, et olete sisestanudigaüks Logi sisse LastPassi süsteemi. Me tuleme meelde nõuandeid, mida me andsime oma meilisõnumite taastamise juhendis e-posti postkasti meeldetuletuste kambrimiseks:


Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Luba kahefaktoriline autentimine teie LastPassi kontol: See samm ei ole julgeolekukontrolli teostamiseks hädavajalik, kuid kui me teie tähelepanu pöörame, kavatseme teha kõik endast oleneva, et julgustada teid, kui olete oma LastPassi konto sisse lülitanud, lülitama kaheteguriline autentimine sisse kindlustage oma LastPassi võlv. (Teie konto turvalisus ei suurene mitte ainult, kuid saate oma turbetugevuse skoori suurendada!)

LastPassi turvaküsimuse võtmine

Nüüd, kui olete oma paroole impordinud, on aeg peita ennast häbistama, et pole 1% raskekujulist parooli turvalisuse ninjas. Külastage lehte LastPass Security Challenge ja klõpsake lehe alaosas nuppu "Start Challenge". Teil palutakse sisestada oma master parool, nagu on näha ülaltoodud pildil, ja seejärel pakub LastPass kontrollida, kas mõni teie vahis olevatest e-posti aadressidest on osa kõikidest rikkumistest, mida ta on jälginud. Puudub ühtki põhjust, miks seda ära kasutada:

Kui sul on õnne, tagastab see negatiivse tulemuse. Kui teil on õnne, kuvatakse selline hüpikaken, milles küsitakse, kas soovite saada lisateavet teie e-posti rikkumiste kohta:

LastPass väljastab iga juhtumi korral üheainsa turvahoiatuse. Kui olete oma e-posti aadressi juba pikka aega olnud, olge valmis šokeerima, kui palju salasõna rikutakse, siis on see sisselülitatud. Siin on näide salasõnade rikkumise kohta:

Pärast hüpikakende tegemist lohistatakse teid LastPassi turvalisuse väljakutse põhipaneeli juurde. Juhtus mäletan varem, kui ma rääkisin sellest, kuidas ma praegu parajasti parooli hügieeni praktiseerin, kuid et ma ei oleks kunagi saanud palju vanemate veebisaitide ja teenuse nõuetekohast värskendamist? See tõesti näitab minu skooris. Ouch:

See on minu hinnang aastate jooksul, mis on segatud juhuslike paroolide hulka. Ärge liiga šokeeritud, kui teie skoor on veelgi madalam, kui olete korduvalt sama väikest parooli kasutanud. Nüüd, kui meil on meie skoor (kuigi võimas või häbiväärne see võib olla), on aeg kaevuda andmed. Võite kasutada kiirpunkte oma protsendipunkti kõrval või lihtsalt alustada kerimisega. Esimene peatus, vaadake üksikasjalikke tulemusi. Mõtle sellele 10 000 jalga ülevaate oma paroolide seisundist:

Kuigi te peaksite tähelepanu pöörama kõikidele siin olevatele statistikatele, on tõeliselt olulised "keskmine salasõna tugevus", kui nõrk või tugev on teie keskmine parool ja veelgi olulisem "dubleeritavate paroolide arv" ja "dubleerivate paroolide arv" " Minu auditi tagajärjel oli 43 veebisaiti kokku 8 tühimikut. Tundub, et ma olin üsna laisk taaskasutanud sama vähese taseme parooli enam kui paaril saitidel.

Järgmine peatus, jaotis Analüüsitud saidid. Siin leiate väga selgelt kõik teie salasõnade ja paroolide kustutamiseks kasutatavad paroolid (kui teil oli duplikaat), unikaalsed paroolid ja lõpuks sisselogimine ilma paroolita LastPassi. Kuigi sa vaatad nimekirja üle, imestavad salasõna tugevuste kontrastsust. Minu puhul anti ühele mu finantsloendist 45% salasõna skoor, samal ajal kui minu tütre Minecrafti sisselogimisel sai täiuslik 100% skoor. Jällegi, ouch.

Teie kohutava julgeoleku väljakutse skoori kinnitamine

Auditi loendisse on sisestatud kaks väga kasulikku linki. Kui klõpsate "NÄITA", näitab see selle saidi parooli ja kui klõpsate "Külasta veebisaiti", võite hüpata otse veebisaidile, et saaksite parooli muuta. Mitte ainult ei tohiks muuta iga eksemplaris sisalduvat parooli, kuid mis tahes salasõna, mis oli lisatud rikutud kontole (nt Adobe.com või LinkedIn), tuleks jäädavalt lahkuda.

Sõltuvalt sellest, kui palju või vähe paroole olete (ja kui hoolikalt olete olnud parimate tavade osas), võib protsessi see samm kümneks minutiks või kogu pärastlõunaks võtta. Kuigi teie paroolide muutmise protsess varieerub sõltuvalt teie uuendatud saidi paigutusest, on siin mõned üldised juhised, mida järgida (me kasutame parooli värskendamist näiteks "Remember the Milk"): külastage parooli muutmise lehte. Tavaliselt peate sisestama oma praeguse parooli ja seejärel uue parooli.

Tehke seda, klõpsates ring-noolega logo lukustamiseks.LastPass lisab uue parooli pesa (nagu on näha ülaltoodud pildil). Vaadake üle oma uue parooli ja tehke soovi korral kohandusi (nt selle pikendamine või erimärkide lisamine):

Klõpsake nuppu "Kasuta parooli" ja seejärel kinnitage, et soovite redigeeritavat kirjet värskendada.

Veenduge, et muudatused kinnitataks ka veebisaidil. Korda protsessi iga LastPassi võlviku duplikaadi ja nõrga parooli jaoks.

Lõpuks on viimane asi, mida peate kontrollima, on teie LastPassi peaarv. Tehke seda, klõpsates ekraani Challenge allservas oleval lingil, mille pealkiri on "Minu LastPassi peaarparaadi tugevuse testimine". Kui te seda ei näe:

Peate oma LastPassi peaarparooli lähtestama ja suurendama tugevust, kuni saate kena, positiivse 100% tugevuse kinnituse.

Tulemuste ülevaatamine ja teie LastPassi turvalisuse edasine suurendamine

Kui olete loendis duplikaadi paroolide nimekirja, kustutanud vanad sissekanded ja muidu seadistanud ja turvalisenud oma sisselogimis- / parooliloendi, on aeg uuesti kontrollida. Nüüd, rõhuasetuse puhul näitas allpool olevat tulemust ainult paroolide turvalisuse parandamine. (Kui lubate täiendavaid turvafunktsioone, nagu mitmeteguri autentimine, saate tõuke umbes 10% võrra).

Pole paha! Pärast iga duplikaadi parooli kaotamist ja kõikide praeguste paroolide (kuni 90% tugevuse või paremaks muutmine) parandamine parandas meie tulemust. Kui olete huvitav, miks see 100% -lt ei tõusnud, on mängul mõned tegurid, millest kõige olulisem on see, et mõned paroolid ei pruugi LastPassi standardite järgi nuuskida, kuna saidi administraatorid. Näiteks minu kohaliku raamatukogu sisselogimisparool on neljakohaline pistik (mille tulemus on LastPassi turvalisuse skaalal 4%). Enamikul inimestel on nende nimekirjas mingisugused väljavoolud, mis tõmbavad nende skoori alla.

Sellistel juhtudel on oluline mitte ennetada ja kasutada üksikasjalikku jaotust meetrina:

Paroolide uuendamise protsessis ma kärpisin 17 duplikaadi / aegunud saidid, loonud igale saidile ja teenusele unikaalse parooli ja tõi paralleelparoolide arvu alla 43-lt 0-le.

See kulus umbes tund aega tõsiselt keskendunud ajastust (12,4% sellest kulutati veebisaitide kujundajatele, kes panid salasõna värskendamise lingid varjatud kohtadesse), ja kõik, mis mulle motiveeritud võeti, oli katastroofiliste proportsioonide salasõna rikkumine! Ma teen siin märkuse, suurt edu.

Nüüd, kui olete oma paroolid auditeerinud ja olete pumbanud unikaalsete paroolide stabiilsena, võtame ära selle edasiliikumise. Viige oma LastPassi koostamise juhendisseisegi turvalisemaks, suurendades salasõna kordamist, piirates sisselogimisandmed riikide kaupa ja palju muud. Siin kirjeldatud auditi läbiviimisega, järgides meie LastPassi turvavahendit ja lülitades sisse kahefaktorilised algoritmid, on sulle kuulikindlate paroolijuhtimissüsteem, mille üle uhked võite olla.