Koji je veliki posao i zašto je to pitanje?
U listopadu ove godine, Adobe je otkrio da je došlo do velike povrede sigurnosti koja je utjecala na 3 milijuna korisnika Adobe.com i Adobe softvera. Tada su promijenili broj na 38 milijuna. Zatim, još više šokantno, kada je baza podataka iz hack je procurila, sigurnosni istraživači koji su analizirali bazu podataka vratio i rekao da je više kao 150 milijuna ugrožena korisničkih računa. Ovaj stupanj izloženosti korisnika predstavlja kršenje programa Adobe kao jedan od najgorih sigurnosnih kršenja povijesti.
Ipak, Adobe je jedva sam na ovoj fronti; jednostavno smo otvorili s njihovim povredama jer je bolno nedavno. Samo posljednjih nekoliko godina došlo je do desetaka masovnih sigurnosnih kršenja u kojima su informacije korisnika, uključujući lozinke, ugrožene.
LinkedIn je pogodio 2012 (6,46 milijuna korisničkih zapisa ugroženih). Iste godine, eHarmony je pogođen (1,5 milijuna korisničkih zapisa) kao i Last.fm (6,5 milijuna korisničkih zapisa) i Yahoo! (450.000 korisničkih zapisa). Mreža Playstation tvrtke Sony pogodila je 2011. (101 milijuna kompromitiranih korisnika). Gawker Media (matična tvrtka web stranica kao što su Gizmodo i Lifehacker) pogođena je 2010. godine (1,3 milijuna korisničkih zapisa ugroženo). A to su samo primjeri velikih povreda koje su donijele vijesti!
Privatni pravobraniteljstvo održava bazu podataka o kršenjima sigurnosti od 2005. do danas. Njihova baza podataka uključuje širok raspon vrsta kršenja: ugrožene kreditne kartice, ukradene brojeve socijalnog osiguranja, ukradene lozinke i medicinske zapise. Baza podataka, od objavljivanja ovog članka, sastoji se od 4.033 prekršaja koji sadrži 617.937.023 korisničkih zapisa, Nisu svaka od tih stotina milijuna prekršaja uključivala korisničke lozinke, ali milijuni od njih su učinili milijune.
Pa zašto je to važno? Osim očitih i neposrednih sigurnosnih posljedica prekršaja, kršenja stvaraju kolateralnu štetu. Hackeri mogu odmah početi testirati prijave i zaporke koje žele na drugim web stranicama.
Većina ljudi lijen je svojim lozinkama i ima dobre šanse da ako netko koristi [email protected] lozinku bob1979, taj isti login / lozinka par će raditi na drugim web stranicama. Ako su te druge web stranice veći profil (kao što su bankarske web stranice ili ako lozinka koju je koristio u Adobeu zapravo otključava njegovu pristiglu poštu), postoji problem. Kada netko ima pristup vašem pristigloj pošti, oni mogu početi resetirati zaporku na drugim uslugama i dobiti im pristup.
Jedini način za zaustavljanje ove vrste lančane reakcije da uzrokuje još više sigurnosnih problema unutar mreže web stranica i usluga koje koristite je slijediti dva kardinala pravila dobre higijene lozinke:
- Vaša zaporka e-pošte trebala bi biti duga, jaka i potpuno jedinstvena među svim vašim prijavama.
- Svaki prijava dobiva dugu, snažnu i jedinstvenu zaporku. Ponovno korištenje lozinke. Ikad.
Ta dva pravila su odstupanja od svakog sigurnosnog vodiča koji smo ikada podijelili s vama, uključujući i naš hitni vodič koji ima hit-the-fan vodič Kako se oporaviti nakon što je vašu lozinku e-pošte kompromitirano.
Sada, u ovom trenutku, vjerojatno se malo namršti jer, iskreno, gotovo da nitko nema savršeno hermetičan lozinku i sigurnost. Niste sami ako vam nedostaje higijena lozinke. Zapravo, vrijeme je za priznanje.
Napisao sam desetke sigurnosnih članaka, postova o sigurnosnim kršenjima i drugim zapisima vezanim uz lozinku tijekom godina u How-To Geeku. Unatoč tome što je upravo takva informirana osoba koja bi trebala bolje znati, unatoč upravitelju zaporki i generiranju sigurnih zaporki za svaku novu web stranicu i uslugu, kada sam pokrenuo moju e-poštu putem popisa kompromitiranih Adobe prijava i podudarala se s kompromitiranom lozinkom. i dalje su otkrili da sam spalio.
Napravio sam taj Adobe račun davno kada sam bio znatno slabiji od higijene lozinke, a lozinka koju sam koristila bila je uobičajena desetine web stranica i usluga s kojima sam se prijavio prije nego što sam dobio super ozbiljno u izradi dobrih zaporki.
Sve se to moglo spriječiti ako bih u potpunosti prakticirala ono što sam propovijedao, a ne samo stvorio jedinstvene i jake lozinke, ali također revidirala moje stare lozinke kako bi se osiguralo da se takva situacija nikada nije dogodila na prvom mjestu. Bilo da nikada nisi ni pokušao biti dosljedan i siguran u praktičnoj praksi lozinke ili samo trebate ih provjeriti da biste se lakše oporavili, temeljita revizija lozinke predstavlja put do sigurnosti lozinkom i mir uma. Čitajte dalje kako vam pokazujemo kako.
Priprema za vaš sigurnosni izazov za posljednji put
Ovaj vodič neće pokriti postavljanje LastPass-a, tako da ako već nemate sustav LastPassa, pokrenite ga, snažno vam savjetujemo da ga postavite. Da biste započeli, pogledajte HTG Vodič za početak korištenja programa LastPass. Iako je LastPass ažuriran od kada smo napisali vodič (sučelje je puno ljepše i bolje stručno sada), i dalje možete lako pratiti korake. Ako postavljate LastPass po prvi put, svakako uvezitesvi Vaše pohranjene lozinke s vaših preglednika jer nam je cilj reviziju svake pojedine lozinke koju koristite.
Unesite svaku prijavu i zaporku u LastPass:Bilo da ste potpuno novi na LastPassu ili ga niste koristili za svaku prijavu, sada je vrijeme da provjerite jeste li unijelisvaki prijavite se na LastPass sustav. Mi ćemo odjeknuti savjete koje smo dali u našem vodiču za oporavak e-pošte za češljanje e-pošte u pristigloj pošti za podsjetnike:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Omogućite autentifikaciju s dva faktora na svojem LastPass računu: Ovaj korak nije strogo neophodan za provođenje sigurnosne revizije, ali dok vas imamo pažnju, učinit ćemo sve što možemo kako bismo vas potaknuli dok se nalazite na svom LastPass računu da biste uključili provjeru autentičnosti s dva faktora dodatno osigurajte vaš LastPass trezor. (Ne samo da povećava vašu sigurnost računa, također ćete dobiti poticaj u rezultatima sigurnosne revizije!)
Uzimanje LastPass Security Challengea
LastPass će izdati jedno sigurnosno upozorenje za svaki slučaj. Ako ste već dugo imali adresu e-pošte, budite spremni biti zaprepašteni koliko je lozinke kršilo. U nastavku je naveden primjer obavijesti o kršenju zaporke:
Sljedeća stanica, odjeljak Analizirane web lokacije. Ovdje ćete naći vrlo konkretno razbijanje svih vaših prijava i lozinki koje su organizirane dupliciranim korištenjem lozinke (ako ste imali duplikate), jedinstvenih lozinki i, konačno, prijava bez lozinke pohranjene u LastPassu. Dok gledate preko popisa, divite se razlikama između jakosti lozinke. U mom slučaju, jedan od mojih financijskih prijava dobio je 45% lozinke, dok je moje kćeri Minecraft prijavu dobila savršenu 100% rezultat. Opet, ouch.
Učvršćivanje vaše strašne ocjene sigurnosti
Ovisno o tome koliko je ili nekoliko zaporki koje imate (i koliko ste marljivo u vezi s dobrim praksama zaporke), ovaj korak procesa može potrajati deset minuta ili cijelo poslijepodne. Iako će se postupak promjene lozinke razlikovati ovisno o izgledu web lokacije koju ažurira, evo nekoliko općih smjernica koje slijedite (kao primjer koristimo ažuriranje lozinke na Zapamti Mlijeko): posjetite stranicu za promjenu zaporke, Uobičajeno ćete morati unijeti trenutnu zaporku i generirati novu lozinku.
Konačno, posljednja stvar koju trebate provjeriti je vaša LastPass Master Password. Učinite to tako da kliknete vezu pri dnu zaslona Izazov, s oznakom "Ispitajte snagu moje Last Pass Master Password". Ako ne vidite ovo:
Istraživanje rezultata i daljnje jačanje LastPass sigurnosti
Nakon što ste utrošili popis dvostrukih zaporki, izbrisane stare unose i na drugi način postavili i osigurali popis za prijavu / zaporku, vrijeme je da ponovno pokrenete reviziju. Sada, za naglasak, rezultat koji vidite u nastavku je podignut isključivo poboljšanjem sigurnosti lozinke. (Ako omogućite dodatne sigurnosne značajke, kao što je autentifikacija više faktora, dobit ćete povećanje od oko 10%).
U takvim slučajevima važno je da se ne obeshrabrite i upotrijebite detaljan kvar kao mjerni podatak:
Trebalo je samo sat vremena ozbiljno usredotočenog vremena (od čega je 12,4% potrošeno proklinjivanje web dizajnera koji su postavili veze za ažuriranje lozinke na nejasnim mjestima), a sve što je trebalo da me motivirate bila je kršenje lozinke katastrofalnih razmjera! Zapamtite ovdje, ogroman uspjeh.
Sada kada ste revidirali svoje lozinke, a vi ste pumpan da imate stabilnu jedinstvenu lozinku, iskoristimo taj zamah naprijed. Udarite naš vodič za izradu LastPass-ačak sigurnijima povećanjem ponavljanja zaporke, ograničavanjem prijava po zemlji i drugima. Između vođenja revizije koji smo ovdje naveli, slijedeći naš LastPass sigurnosni vodič i uključivanje algoritama s dva faktora, imat ćete sustav za upravljanje lozinkom bez oklopa s kojim se možete ponositi.