Domača » kako » Kako zagnati varnostno preverjanje z zadnjim prehodom (in zakaj ne more čakati)

    Kako zagnati varnostno preverjanje z zadnjim prehodom (in zakaj ne more čakati)

    Če uporabljate ohlapno upravljanje gesel in higieno, je le vprašanje časa, kdaj vas bo zažgala ena izmed vedno številnejših kršitev varnosti. Prenehajte biti hvaležni, ker ste se izogibali preteklim krogom varnosti in se oklepali proti prihodnjim. Preberite o tem, kako vam bomo pokazali, kako preveriti gesla in se zaščititi.

    Kaj je velik in zakaj je to pomembno?

    Oktobra letos je Adobe razkril, da je prišlo do velike kršitve varnosti, ki je prizadela 3 milijone uporabnikov programske opreme Adobe.com in Adobe. Potem so število popravili na 38 milijonov. Potem pa je še bolj presenetljivo, da je prišlo do uhajanja podatkovne zbirke iz haka, varnostni raziskovalci, ki so analizirali bazo podatkov, so se vrnili in rekli, da je bolj podobno 150 milijonov ogroženi uporabniški računi. Ta stopnja izpostavljenosti uporabnika postavlja Adobeovo kršitev v tek kot eno izmed najhujših kršitev varnosti v zgodovini.

    Adobe na tem področju komajda ni sam; preprosto smo se začeli z njihovo kršitvijo, ker je boleče nedavno. Samo v zadnjih nekaj letih je bilo veliko množičnih kršitev varnosti, kjer so bile ogrožene uporabniške informacije, vključno z gesli.

    LinkedIn je bil dosežen leta 2012 (ogroženih je bilo 6,46 milijona zapisov uporabnikov). Istega leta je zadel eHarmony (1,5 milijona zapisov uporabnikov), kot je bil last.fm (6,5 milijona zapisov uporabnikov) in Yahoo! (450.000 zapisov uporabnikov). Sony Playstation Network je bil dosežen leta 2011 (101 milijon uporabnikov je ogrožen). Gawker Media (matična družba spletnih mest, kot sta Gizmodo in Lifehacker) je bila prizadeta v letu 2010 (1,3 milijona zapisov uporabnikov je ogroženih). In to so le primeri velikih kršitev, zaradi katerih so bile novice!

    Clearinghouse za pravice zasebnosti vzdržuje zbirko podatkov o kršitvah varnosti od leta 2005 do danes. Njihova zbirka podatkov vključuje široko paleto vrst kršitev: ogrožene kreditne kartice, ukradene številke socialnega zavarovanja, ukradena gesla in zdravstvene kartoteke. Zbirka podatkov je od objave tega člena sestavljena iz 4,033 kršitev vsebujejo 617.937.023 zapisov uporabnikov. Vsak izmed teh sto milijonov kršitev ni vključeval uporabniških gesel, vendar jih je na milijone.

    Zakaj je torej pomembno? Razen očitnih in takojšnjih varnostnih posledic kršitve, kršitve ustvarjajo stransko škodo. Hekerji lahko takoj začnejo testirati prijave in gesla, ki jih zbirajo na drugih spletnih straneh.

    Večina ljudi je lena s svojimi gesli, in obstaja velika verjetnost, da če nekdo uporablja [email protected] z geslom bob1979, da bo isti par za prijavo / geslo delal na drugih spletnih straneh. Če so te druge spletne strani višjega profila (kot so bančne strani ali če geslo, ki ga je uporabil pri Adobe, dejansko odklenejo svoj e-poštni nabiralnik), potem obstaja težava. Ko ima nekdo dostop do vaše prejete pošte, lahko začne ponastavljati geslo za druge storitve in dostop do njih.

    Edini način za zaustavitev takšne verižne reakcije, ki povzroča še več varnostnih težav v omrežju spletnih mest in storitev, ki jih uporabljate, je, da sledite osnovnim pravilom dobre higiene gesel:

    1. Vaše geslo mora biti dolgo, močno in popolnoma edinstveno med vsemi prijavami.
    2. Vsak prijava dobi dolgo, močno in edinstveno geslo. Ni ponovne uporabe gesla. Kdaj.

    Ta dva pravila so takeaway iz vsakega varnostnega vodnika, ki smo jih kdaj delili z vami, vključno z našo pomoč za nujne primere, ki jo je imel-hit-the-fan Kako obnoviti, ko je vaše geslo ogroženo.

    Zdaj, na tej točki, ste verjetno squirming malo, ker, odkrito povedano, komaj kdo ima popolnoma nepredušno gesla praks in varnosti. Niste sami, če vam manjka higiena gesla. Pravzaprav je čas za priznanje.

    Napisal sem na desetine varnostnih člankov, objav o kršitvah varnosti in drugih delovnih mestih, povezanih z geslom, skozi leta, ko sem bil na How-To Geek. Kljub temu, da je prav takšna obveščena oseba, ki bi morala vedeti bolje, kljub uporabi upravitelja gesel in ustvarjanju varnih gesel za vsako novo spletno mesto in storitev, ko sem e-poštno sporočilo vodil prek seznama ogroženih prijav za Adobe in ga primerjal z ogroženim geslom Še vedno sem ugotovil, da sem opečen.

    Ta račun Adobe sem ustvaril že zdavnaj, ko sem bil bistveno bolj ohlapen glede higiene gesel, in geslo, ki sem ga uporabil, je bilo običajno desetine spletnih mest in storitev, s katerimi sem se prijavil, preden sem postal zelo resen glede dobrega gesla.

    Vse to bi lahko preprečili, če bi v celoti izkoristil tisto, kar sem pridigal, in ne samo ustvaril edinstvenih in močnih gesel, ampak prav tako revidiral moja stara gesla, da bi zagotovil, da se ta situacija nikoli ni zgodila. Ne glede na to, ali niste nikoli poskušali biti dosledni in varni s svojimi praksami v zvezi z gesli, ali pa jih morate preprosto preveriti, da se boste sprostili, je temeljita revizija gesel pot do varnosti gesel in miru. Preberite, ko vam pokažemo, kako.

    Priprava na varnostni izziv Lastpass

    Gesla lahko ročno pregledate, toda to bi bilo zelo dolgočasno in ne boste pridobili nobene prednosti uporabe dobrega univerzalnega upravljalnika gesel. Namesto ročnega revidiranja vsega, bomo vzeli enostavno in večinoma avtomatizirano pot: pregledali bomo gesla z uporabo varnostnega izziva LastPass.

    Ta priročnik ne bo zajemal nastavitve programa LastPass, zato, če še ne uporabljate sistema LastPass, vam priporočamo, da ga nastavite. Oglejte si vodnik HTG za začetek uporabe programa LastPass. Čeprav se je LastPass posodobil, ker smo napisali vodnik (vmesnik je zdaj precej lepši in bolj racionaliziran), lahko še vedno sledite korakom z lahkoto. Če nastavite LastPass prvič, poskrbite za uvoz vse shranjenih gesel od vaših brskalnikov, saj je naš cilj pregledati vsako geslo, ki ga uporabljate.

    Vnesite vsa uporabniška imena in gesla v LastPass: Ne glede na to, ali ste za podjetje LastPass povsem novo ali ga ne uporabljate v celoti za vsako prijavo, je zdaj čas, da preverite, ali ste ga vnesli vsak prijavite se v sistem LastPass. Ponavljali bomo nasvete, ki smo jih dali v našem vodniku za obnovitev e-pošte, da bomo lahko prebrali vašo prejeto pošto za opomnike:

    V e-poštnem sporočilu poiščite opomnike za registracijo. To ne bo težko zapomniti svoje pogosto uporabljene prijave, kot so Facebook in vašo banko, vendar je verjetno na desetine izdatkov storitev, ki morda ne boste niti zapomniti, da uporabljate vaš email za prijavo. Uporabite iskanja po ključnih besedah, kot so »dobrodošli«, »ponastavitev«, »obnovitev«, »preverjanje«, »geslo«, »uporabniško ime«, »prijava«, »račun« in kombinacije, kot je »ponastavitev gesla« ali »preverjanje računa« . Še enkrat, vemo, da je to težava, vendar ko to storite z upraviteljem gesel, imate glavni seznam celotnega računa in nikoli več vam ne bo treba ponoviti te ključne besede..

    Omogočite preverjanje pristnosti v dveh faktorjih na vašem računu LastPass: Ta korak ni nujno potreben za izvedbo varnostne presoje, vendar vam bomo, medtem ko ste pozorni, naredili vse, kar je v naši moči, da vas, medtem ko ste na vašem računu LastPass, spodbujate, da vklopite preverjanje pristnosti z dvema faktorjema na še dodatno zaščitite svoj trezor LastPass. (Ne samo, da poveča varnost vašega računa, temveč boste tudi povečali svoj rezultat za presojo varnosti!)

    Vzemite LastPass varnostni izziv

    Zdaj, ko ste uvozili vsa gesla, je čas, da se pripravite na sramoto, ker niste v 1% hardcore varnostnih ninj. Obiščite stran LastPass Security Challenge in pritisnite “Start the Challenge” na dnu strani. Boste morali vnesti svoje glavno geslo, kot je prikazano na zgornji sliki zaslona, ​​nato pa bo LastPass ponudil, da preveri, ali so kateri koli e-poštni naslovi v vašem trezorju del kakršnih koli kršitev, ki jih je sledil. Ni razloga, da tega ne izkoristite:

    Če imate srečo, se vrne negativno. Če imate srečo, se prikaže pojavno okno, ki vas bo vprašalo, ali želite več informacij o kršitvah vašega e-poštnega sporočila:

    LastPass bo izdal eno varnostno opozorilo za vsak primerek. Če ste imeli svoj e-poštni naslov že dolgo časa, bodite pripravljeni na to, da vas bo šokiral, koliko gesel je bilo vpletenih v geslo. Tukaj je primer obvestila o kršitvi gesla:

    Po pojavnih oknih boste vrženi v glavno ploščo varnostnega izziva LastPass. Ne pozabite prej v priročniku, ko sem govoril o tem, kako trenutno delam dobro higieno gesel, ampak da nikoli nisem prišel do pravilnega posodabljanja veliko starejših spletnih mest in storitev? To se res kaže v rezultatu, ki sem ga prejel. Ouch:

    To je moj rezultat, v katerem so mešana leta naključnih gesel. Ne bodite preveč šokirani, če je vaš rezultat še nižji, če ste znova in znova uporabljali enako število šibkih gesel. Zdaj, ko imamo svoj rezultat (ne glede na to, kako strašno ali sramotno je), je čas, da se poglobimo v podatke. Uporabite lahko hitre povezave poleg vašega odstotka rezultatov ali pa se samo začnete pomikati. Najprej se ustavite, poglejmo podrobne rezultate. Razmislite o 10 000-kratnem pregledu stanja gesel:

    Medtem ko bi morali biti pozorni na vse statistične podatke tukaj, so resnično pomembni »povprečna moč gesla«, kako šibko ali močno je vaše povprečno geslo in, še bolj pomembno, »število podvojenih gesel« in »število mest, ki imajo dvojna gesla« “. V zvezi z mojo revizijo je bilo 8 ponaredkov na 43 lokacijah. Očitno sem bil precej len, da sem uporabil isto nizko stopnjo gesla na več kot nekaj spletnih mestih.

    Naslednja postaja, razdelek Analyzed Sites. Tukaj boste našli zelo konkretno razčlenitev vseh vaših prijav in gesel, ki jih organizira uporaba dvojnih gesel (če ste imeli dvojnike), unikatna gesla in končno, prijave brez gesla, ki so shranjene v LastPass. Med pregledovanjem seznama se čudite kontrastu med močjo gesla. V mojem primeru je bila eni od mojih finančnih prijav dodeljena 45% gesla, medtem ko je bila moji hčerki Minecraft prijavljena popolna ocena 100%. Spet, jaz.

    Popravljanje vašega groznega rezultata varnostnega izziva

    Obstajata dve zelo uporabni povezavi, ki sta vgrajeni neposredno v seznam revizij. Če kliknete »PRIKAŽI«, bo prikazano geslo za to spletno mesto in če kliknete »Obišči spletno stran«, lahko skočite desno na spletno stran, tako da lahko spremenite geslo. Ne samo, da je treba spremeniti vsa podvojena gesla, ampak tudi geslo, ki je bilo povezano z računom, ki je bil kršen (na primer Adobe.com ali LinkedIn), trajno umakniti..

    Odvisno od tega, koliko ali nekaj gesel imate (in kako ste si prizadevali za dobre prakse v zvezi z gesli), lahko ta korak postopka traja deset minut ali celo popoldne. Čeprav se bo postopek spreminjanja gesel razlikoval glede na postavitev spletnega mesta, ki ga posodabljate, je tukaj nekaj splošnih smernic, ki jih lahko uporabite (na primer uporabite posodobitev gesla na spletišču Remember the Milk): obiščite stran za spremembo gesla . Običajno boste morali vnesti svoje trenutno geslo in nato ustvariti novo geslo.

    To storite s klikom na logotip puščice za zaklepanje s krožno. LastPass vstavi v novo režo za geslo (kot je prikazano na zgornji sliki). Poiščite novo geslo in prilagodite, če želite (kot je podaljšanje ali dodajanje posebnih znakov):

    Kliknite »Uporabi geslo« in nato potrdite, da želite posodobiti vnos, ki ga urejate:

    Poskrbite tudi za potrditev spremembe na spletni strani. Postopek ponovite za vsako podvojeno in šibko geslo v trezorju LastPass.

    Nazadnje, zadnja stvar, ki jo potrebujete za revizijo, je vaše LastPass glavno geslo. To storite tako, da kliknete povezavo na dnu zaslona Challenge z oznako »Preizkusite moč mojega glavnega gesla LastPass«. Če tega ne vidite:

    Ponastaviti morate svoje glavno geslo LastPass in povečati moč, dokler ne prejmete lepo, pozitivno, 100-odstotno potrditev.

    Pregled rezultatov in nadaljnje izboljšanje vaše varnosti LastPass

    Ko ste začrtali seznam podvojenih gesel, izbrisanih starih vnosov in drugače uredili in zaščitili svoj seznam za prijavo / geslo, je čas, da znova opravite revizijo. Zdaj, za poudarek, je rezultat, ki ga vidite spodaj, predstavljen samo z izboljšanjem varnosti gesel. (Če omogočite dodatne varnostne funkcije, kot je večfaktorsko preverjanje pristnosti, boste prejeli povečanje za približno 10%).

    Ni slabo! Po odstranitvi vsakega podvojenega gesla in vse obstoječe gesla do 90% moči ali boljše, je resnično izboljšal naš rezultat. Če ste radovedni, zakaj ni skočil na 100%, je v igri nekaj dejavnikov, med katerimi je najpomembnejše, da nekaterih gesel nikoli ne morete prenesti s pomočjo standardov LastPass zaradi neumnih pravil, ki jih uveljavljajo skrbniki spletnih mest. Geslo za prijavo moje lokalne knjižnice je na primer štirimestni pin (ki dosega 4% na varnostni lestvici LastPass). Večina ljudi bo imela na svojem seznamu nekakšen outliers, ki bo svoj rezultat povlekla navzdol.

    V takih primerih je pomembno, da se ne obupujete in uporabite podrobno razčlenitev kot meritev:

    V postopku posodabljanja gesla sem obrezal 17 podvojenih / poteklih spletnih mest, ustvaril edinstveno geslo za vsako spletno mesto in storitev ter zmanjšal število mest z dvojnimi gesli s 43 na 0 v postopku.

    Trajalo je le eno uro resno osredotočenega časa (od tega je bilo 12,4% porabljenih za preklinjanje oblikovalcev spletnih strani, ki povezujejo posodobitve gesla na nejasnih mestih), in vse, kar je bilo potrebno, da sem dobil motivacijo, je bila kršitev katastrofalnih razsežnosti! Tukaj sem zapisal, velik uspeh.


    Zdaj, ko ste revidirali svoja gesla in ste črpali, da imate stabilno unikatno geslo, izkoristimo prednosti tega zagonskega zagona. Hit naš vodnik za izdelavo LastPass celo varnejši s povečevanjem števila ponovitev gesel, omejevanjem prijave po državah in še več. Med izvajanjem revizije, ki smo jo opisali tukaj, po našem varnostnem priročniku LastPass in vklopu algoritmov z dvema faktorjema, boste imeli sistem za upravljanje z neprebojnimi gesli, na katerega ste lahko ponosni..