Bagaimana Melaksanakan Audit Keselamatan Pas Terakhir (dan Kenapa Ia Tidak Boleh Tunggu)
Sekiranya anda mengamalkan pengurusan kata laluan dan kebersihan yang lemah, ini hanya masalah masa sehingga salah satu pelanggaran keselamatan berskala besar semakin membakar anda. Hentikan bersyukur kerana anda melepaskan peluru pelanggaran keselamatan masa lalu dan perisai diri anda terhadap masa depan. Baca terus seperti yang kami tunjukkan kepada anda bagaimana untuk mengaudit kata laluan anda dan melindungi diri anda.
Apakah Perjanjian Besar dan Mengapa Adakah Perkara ini?
Pada bulan Oktober tahun ini, Adobe mendedahkan bahawa terdapat satu pelanggaran keselamatan utama yang mempengaruhi 3 juta pengguna perisian Adobe.com dan Adobe. Kemudian mereka menyemak semula jumlah tersebut kepada 38 juta. Kemudian, lebih mengejutkan lagi, apabila pangkalan data daripada hack telah dibocorkan, penyelidik keselamatan yang menganalisis pangkalan data kembali dan berkata ia lebih menyukai 150 juta akaun pengguna yang dikompromi. Tahap pendedahan pengguna ini menyebabkan pelanggaran Adobe dalam menjalankan sebagai salah satu pelanggaran keselamatan terburuk dalam sejarah.
Namun, Adobe tidak semata-mata di hadapan ini; kami hanya membuka pelanggaran kerana ia baru-baru ini menyakitkan. Dalam beberapa tahun kebelakangan ini, terdapat beberapa pelanggaran keselamatan besar-besaran di mana maklumat pengguna, termasuk kata laluan, telah dikompromi.
LinkedIn telah dilanda pada tahun 2012 (6.46 juta rekod pengguna telah dikompromi). Pada tahun yang sama, eHarmony telah dilanda (1.5 juta rekod pengguna) seperti Last.fm (6.5 juta rekod pengguna) dan Yahoo! (450,000 rekod pengguna). Rangkaian Sony Playstation telah dilanda pada tahun 2011 (101 juta rekod pengguna dikompromi). Gawker Media (syarikat induk laman-laman seperti Gizmodo dan Lifehacker) telah dilanda pada tahun 2010 (1.3 juta rekod pengguna telah dikompromi). Dan mereka hanyalah contoh pelanggaran besar yang membuat berita itu!
Privacy Rights Clearinghouse mengekalkan pangkalan data pelanggaran keselamatan dari tahun 2005 hingga sekarang. Pangkalan data mereka termasuk pelbagai jenis pelanggaran: kad kredit yang dikompromi, nombor keselamatan sosial dicuri, kata laluan yang dicuri, dan rekod perubatan. Pangkalan data, seperti penerbitan artikel ini, terdiri daripada 4,033 pelanggaran mengandungi Rekod pengguna 617,937,023. Tidak setiap orang daripada ratusan juta pelanggaran itu melibatkan kata laluan pengguna, tetapi berjuta-juta daripada mereka telah melakukannya.
Jadi kenapa penting? Selain daripada implikasi keselamatan yang jelas dan segera pelanggaran, pelanggaran membuat kerosakan cagaran. Penggodam boleh segera menguji login dan kata laluan yang mereka tuai di laman web lain.
Kebanyakan orang malas dengan kata laluan mereka, dan ada peluang yang baik jika seseorang menggunakan [email protected] dengan kata laluan bob1979, bahawa pasangan login / kata laluan yang sama akan berfungsi di laman web lain. Jika laman web yang lain adalah profil yang lebih tinggi (seperti laman perbankan atau jika kata laluan yang dia gunakan di Adobe sebenarnya membuka kunci peti masuk e-melnya), maka ada masalah. Apabila seseorang mempunyai akses ke peti masuk e-mel anda, mereka boleh memulakan kata laluan semula pada perkhidmatan lain dan mendapatkan akses kepada mereka juga.
Satu-satunya cara untuk menghentikan tindak balas rantaian semacam ini daripada menyebabkan lebih banyak masalah keselamatan dalam rangkaian laman web dan perkhidmatan yang anda gunakan adalah mengikuti dua peraturan kardinal kebersihan kata laluan yang baik:
- Kata laluan e-mel anda harus panjang, kuat, dan benar-benar unik di antara semua log masuk anda.
- Setiap log masuk mendapat kata laluan yang panjang, kuat, dan unik. Tiada kata laluan digunakan semula. Pernah.
Kedua-dua peraturan ini adalah takeaway dari setiap panduan keselamatan yang pernah kami kongsi dengan anda, termasuk kecemasan kami panduan peminat yang mempunyai peminat Bagaimana Memulihkan Selepas Kata Laluan E-mel Anda Dikompromikan.
Kini, pada masa ini, anda mungkin menggeram sedikit kerana, terus terang, tidak ada sesiapa yang mempunyai amalan kata laluan dan keselamatan kata laluan yang sempurna. Anda tidak bersendirian jika kebersihan kata laluan anda kurang. Malah, sudah tiba masanya untuk pengakuan.
Saya telah menulis berpuluh-puluh artikel keselamatan, siaran tentang pelanggaran keselamatan, dan siaran berkaitan kata laluan yang lain selama bertahun-tahun saya berada di How-To Geek. Walaupun tepat jenis orang yang tahu yang harus tahu lebih baik, walaupun menggunakan pengurus kata laluan dan menghasilkan kata laluan yang selamat untuk setiap laman web dan perkhidmatan baru, ketika saya menjalankan email saya melalui daftar masuk Adobe yang dikompromikan dan menyesuaikannya dengan kata laluan yang dikompromikan, saya masih mendapati bahawa saya mendapat dibakar.
Saya membuat akaun Adobe lama dahulu apabila saya jauh lebih lemah dengan kebersihan kata laluan saya, dan kata laluan yang saya gunakan adalah biasa di seluruh berpuluh-puluh laman web dan perkhidmatan yang saya telah mendaftar sebelum saya mendapat perhatian serius tentang membuat kata laluan yang baik.
Kesemuanya itu dapat dicegah jika saya mengamalkan sepenuhnya apa yang saya khotbah dan bukan hanya mencipta kata laluan unik dan kuat tetapi juga diaudit kata laluan lama saya untuk memastikan keadaan ini tidak pernah berlaku di tempat pertama. Sama ada anda tidak pernah berusaha untuk menjadi konsisten dan selamat dengan amalan kata laluan anda atau anda hanya perlu menyemaknya untuk meletakkan diri anda dengan mudah, audit kata laluan yang menyeluruh adalah laluan kepada keselamatan kata laluan dan ketenangan fikiran. Bacalah seperti yang kami tunjukkan kepada anda bagaimana.
Bersedia untuk Cabaran Keselamatan Lastpass Anda
Anda boleh mengaudit kata laluan anda secara manual, tetapi itu akan menjadi sangat membosankan dan anda tidak akan mendapat manfaat daripada menggunakan pengurus kata laluan sejagat yang baik. Daripada secara manual mengaudit segala-galanya, kami akan mengambil laluan mudah dan sebahagian besarnya: kami akan mengaudit kata laluan kami dengan mengambil Cabaran Keamanan LastPass.
Panduan ini tidak akan melindungi penubuhan LastPass, jadi jika anda tidak mempunyai sistem LastPass dan berjalan, kami sangat menggalakkan anda untuk menetapkannya. Lihat Panduan HTG untuk Bermula dengan LastPass untuk bermula. Walaupun LastPass telah dikemas kini sejak kami menulis panduan (antara muka yang lebih cantik dan lebih baik sekarang), anda masih boleh mengikuti langkah dengan mudah. Jika anda membuat LastPass buat kali pertama, pastikan anda mengimport semua kata laluan anda yang disimpan dari pelayar anda, kerana matlamat kami adalah untuk mengaudit setiap kata laluan tunggal yang anda gunakan.
Masukkan setiap log masuk dan kata laluan ke LastPass: Sama ada anda baru ke LastPass atau anda belum menggunakan sepenuhnya untuk setiap log masuk, kini adalah masa untuk memastikan anda telah memasukkan setiap log masuk ke sistem LastPass. Kami akan merakamkan nasihat yang kami berikan dalam panduan pemulihan e-mel kami untuk menyikat peti masuk e-mel anda untuk peringatan:
Cari e-mel anda untuk peringatan pendaftaran. Ia tidak akan sukar untuk mengingati log masuk yang sering digunakan seperti Facebook dan bank anda tetapi ada kemungkinan berpuluh-puluh perkhidmatan keluar yang mungkin anda tidak ingat bahawa anda menggunakan e-mel anda untuk log masuk. Gunakan carian kata kunci seperti "selamat datang ke", "reset", "pemulihan", "mengesahkan", "kata laluan", "nama pengguna", "masuk", "akaun" dan kombinasi di sana seperti "reset password" atau "verify account" . Sekali lagi, kami tahu ini adalah kerumitan, tetapi sebaik sahaja anda melakukan ini dengan pengurus kata laluan di sebelah anda, anda mempunyai senarai induk semua akaun anda dan anda tidak perlu melakukan kata kunci berburu ini lagi.
Dayakan pengesahan dua faktor pada akaun LastPass anda: Langkah ini tidak diperlukan untuk menjalankan audit keselamatan, tetapi semasa kami mendapat perhatian anda, kami akan melakukan segala yang kami dapat untuk menggalakkan anda, semasa anda memasuki akaun LastPass anda, untuk menghidupkan pengesahan dua faktor teruskan peti besi LastPass anda. (Tidak hanya meningkatkan keselamatan akaun anda, anda akan mendapat peningkatan dalam skor audit keselamatan anda juga!)
Mengambil Cabaran Keselamatan LastPass
Sekarang bahawa anda telah mengimport semua kata laluan anda, sudah tiba masanya untuk menjaga diri anda kerana rasa malu tidak berada di 1% dari ninjas keselamatan kata laluan tegar. Lawati halaman Challenge Security Lastpage dan tekan "Start the Challenge" di bahagian bawah halaman. Anda akan diminta untuk memasukkan kata laluan induk anda, seperti yang dilihat dalam tangkapan skrin di atas, dan kemudian LastPass akan menawarkan untuk memeriksa sama ada mana-mana alamat e-mel yang terkandung dalam peti besi anda adalah sebahagian daripada pelanggaran yang telah dikesan. Tidak ada sebab yang baik untuk tidak memanfaatkan ini:
Jika anda bernasib baik, ia akan mengembalikan negatif. Jika anda bernasib baik, anda akan mendapat pop timbul seperti ini bertanya jika anda mahukan lebih banyak maklumat tentang pelanggaran email anda terlibat dalam:
LastPass akan mengeluarkan satu amaran keselamatan untuk setiap contoh. Sekiranya anda mempunyai alamat e-mel anda untuk masa yang lama, bersiaplah untuk terkejut dengan berapa banyak kata laluan yang melanggarnya. Ini adalah contoh notis pelanggaran kata laluan:
Selepas pop timbul, anda akan dibuang ke dalam panel utama LastPass Security Challenge. Ingat sebelum ini dalam panduan apabila saya bercakap mengenai bagaimana saya kini mengamalkan kebersihan kata laluan yang baik tetapi saya tidak pernah mendapat perhatian untuk mengemas kini banyak laman web dan perkhidmatan yang lebih lama? Ia benar-benar menunjukkan dalam skor yang saya terima. Aduh:
Itulah skor saya dengan kata laluan rawak tahun bercampur. Jangan terlalu terkejut sekiranya skor anda lebih rendah jika anda telah menggunakan kata laluan lemah yang sama berulang kali. Sekarang kita mempunyai skor kami (namun hebat atau memalukan), sudah tiba masanya untuk menggali data. Anda boleh menggunakan pautan cepat di samping peratusan skor anda atau hanya mula menatal. Berhenti pertama, mari kita periksa keputusan terperinci. Pertimbangkan ini gambaran keseluruhan 10,000 kaki dari kata laluan anda:
Walaupun anda perlu memberi perhatian kepada semua statistik di sini, yang benar-benar penting ialah "Kekuatan kata laluan purata", betapa lemah atau kuat kata laluan purata anda dan, lebih penting lagi, "Bilangan kata laluan pendua" dan "Bilangan laman web yang mempunyai kata laluan pendua ". Atas sebab audit saya, terdapat 8 dupes di seluruh 43 tapak. Jelas sekali saya telah agak malas menggunakan semula kata laluan kelas rendah yang sama pada lebih daripada beberapa laman web.
Perhentian seterusnya, bahagian Tapak Analisis. Di sini anda akan menemui semua log masuk dan kata laluan anda yang teratur dengan menggunakan kata laluan pendua (jika anda mempunyai pendua), kata laluan yang unik, dan akhirnya, log masuk tanpa kata laluan yang disimpan di LastPass. Semasa anda melihat senarai, kagum dengan perbezaan antara kekuatan kata laluan. Dalam kes saya, salah satu daripada catatan kewangan saya diberi Skor Kata Laluan 45% manakala log masuk Minecraft anak perempuan saya diberi skor 100% sempurna. Sekali lagi, ada.
Memperbaiki Skor Cabaran Keamanan Anda yang Teruk
Terdapat dua pautan yang amat berguna yang dibina ke dalam senarai audit. Jika anda mengklik "SHOW" ia akan menunjukkan kata laluan untuk laman web tersebut dan jika anda mengklik "Visit Site", anda boleh melompat ke laman web supaya anda boleh menukar kata laluan. Bukan sahaja setiap kata laluan pendua akan diubah, tetapi sebarang kata laluan yang dilampirkan ke akaun yang dilanggar (seperti Adobe.com atau LinkedIn) harus bersara secara kekal.
Bergantung kepada berapa banyak atau sedikit kata laluan yang anda miliki (dan bagaimana anda rajin tentang amalan kata laluan yang baik), langkah ini mungkin membawa anda sepuluh minit atau sepanjang hari. Walaupun proses menukar kata laluan anda akan berbeza-beza berdasarkan susun atur laman web yang sedang dikemas kini, berikut adalah beberapa garis panduan umum untuk diikuti (kami menggunakan kemas kini kata laluan kami di Remember the Milk sebagai contoh): Lawati halaman perubahan kata laluan . Biasanya anda perlu memasukkan kata laluan semasa anda dan kemudian menghasilkan kata laluan baru.
Lakukan dengan mengklik logo kunci-dengan-pusingan-panah. LastPass memasuki slot kata laluan baru (seperti yang dilihat dalam tangkapan skrin di atas). Lihat kata laluan baru anda dan buat penyesuaian jika anda inginkan (seperti memanjangkannya atau menambah aksara khas):
Klik "Gunakan Kata Laluan" dan kemudian sahkan anda ingin mengemas kini entri yang anda edit:
Pastikan untuk mengesahkan perubahan dengan laman web juga. Ulangi proses untuk setiap kata laluan duplikat dan lemah dalam peti besi LastPass anda.
Akhirnya, perkara terakhir yang anda perlukan untuk mengaudit adalah Kata Laluan Master LastPass anda. Lakukan dengan mengklik pautan di bahagian bawah skrin Cabaran bertanda "Menguji kekuatan kata laluan Master LastPass saya". Sekiranya anda tidak melihatnya:
Anda perlu menetapkan semula Kata Laluan Master LastPass anda dan meningkatkan kekuatan sehingga anda menerima pengesahan kekuatan 100% yang baik, positif dan positif.
Mengukur Keputusan dan Tambahan Meningkatkan Keselamatan LastPass Anda
Selepas anda menyumbat melalui senarai kata laluan pendua, entri lama yang dihapus, dan sebaliknya merapikan dan menjamin senarai log masuk / kata laluan anda, sudah tiba masanya untuk menjalankan audit lagi. Sekarang, untuk penekanan, skor yang anda lihat di bawah ini dibawa semata-mata dengan meningkatkan keselamatan kata laluan. (Jika anda mendayakan ciri keselamatan tambahan, seperti pengesahan multi-faktor, anda akan menerima rangsangan sekitar 10%).
Boleh tahan! Selepas menghapuskan setiap kata laluan pendua dan membawa semua kata laluan sedia ada sehingga 90% kekuatan atau lebih baik, ia benar-benar meningkatkan skor kami. Sekiranya anda ingin tahu mengapa ia tidak melompat ke 100%, terdapat beberapa faktor yang bermain, yang paling menonjol ialah beberapa kata laluan tidak boleh dibangkitkan oleh piawaian LastPass kerana dasar-dasar bodoh di tempat oleh pentadbir tapak. Sebagai contoh, kata laluan log masuk perpustakaan saya adalah pin digit empat (yang mencatat 4% pada skala keselamatan LastPass). Kebanyakan orang akan mempunyai semacam outliers seperti itu dalam senarai mereka dan yang akan menyeret skor mereka ke bawah.
Dalam kes sedemikian, adalah penting untuk tidak berkecil hati, dan menggunakan pecahan terperinci sebagai metrik:
Dalam proses pengemaskinian kata laluan, saya memotong 17 tapak pendua / tamat tempoh, mencipta kata laluan unik untuk setiap laman web dan perkhidmatan, dan membawa bilangan tapak dengan kata laluan pendua turun dari 43 hingga 0 dalam proses.
Ia hanya mengambil kira satu jam masa fokus yang serius (12.4% daripadanya dibelanjakan untuk mengutuk pereka laman web yang memasukkan pautan kemas kini kata laluan di tempat yang tidak jelas), dan semua yang diperlukan untuk membuat saya bermotivasi adalah kata laluan pelanggaran proporsi malapetaka! Saya membuat nota di sini, kejayaan besar.
Sekarang bahawa anda telah mengaudit kata laluan anda dan anda dipompa tentang mempunyai kata laluan unik yang stabil, mari kita mengambil keuntungan dari momentum ke hadapan itu. Tekan panduan kami untuk membuat LastPass walaupun lebih selamat dengan meningkatkan lelaran kata laluan, menyekat log masuk mengikut negara, dan banyak lagi. Antara menjalankan audit yang kami jelaskan di sini, mengikuti panduan Keselamatan LastPass kami, dan menghidupkan algoritma dua faktor, anda akan mempunyai sistem pengurusan kata laluan keselamatan yang boleh dibanggakan.