Kako pokrenuti zadnju sigurnosnu reviziju (i zašto ne može čekati)

2024 Autor: Geoffrey Carr | [email protected]. Zadnja promjena: 2023-12-17 10:57

Ako vježbate lazu za upravljanje lozinkama i higijenu, samo je pitanje vremena dok vam ne opada jedna od sve brojnijih sigurnosnih kršenja. Nemojte biti zahvalni što ste izbjegli prošlost sigurnosnih kršenja metaka i oklopa protiv budućih. Pročitajte kako vam pokazujemo kako provjeravati vaše lozinke i zaštititi se.

Koji je veliki posao i zašto je to pitanje?

U listopadu ove godine, Adobe je otkrio da je došlo do velike povrede sigurnosti koja je utjecala na 3 milijuna korisnika Adobe.com i Adobe softvera. Tada su promijenili broj na 38 milijuna. Zatim, još više šokantno, kada je baza podataka iz hack je procurila, sigurnosni istraživači koji su analizirali bazu podataka vratio i rekao da je više kao 150 milijuna ugrožena korisničkih računa. Ovaj stupanj izloženosti korisnika predstavlja kršenje programa Adobe kao jedan od najgorih sigurnosnih kršenja povijesti.

Ipak, Adobe je jedva sam na ovoj fronti; jednostavno smo otvorili s njihovim povredama jer je bolno nedavno. Samo posljednjih nekoliko godina došlo je do desetaka masovnih sigurnosnih kršenja u kojima su informacije korisnika, uključujući lozinke, ugrožene.

LinkedIn je pogodio 2012 (6,46 milijuna korisničkih zapisa ugroženih). Iste godine, eHarmony je pogođen (1,5 milijuna korisničkih zapisa) kao i Last.fm (6,5 milijuna korisničkih zapisa) i Yahoo! (450.000 korisničkih zapisa). Mreža Playstation tvrtke Sony pogodila je 2011. (101 milijuna kompromitiranih korisnika). Gawker Media (matična tvrtka web stranica kao što su Gizmodo i Lifehacker) pogođena je 2010. godine (1,3 milijuna korisničkih zapisa ugroženo). A to su samo primjeri velikih povreda koje su donijele vijesti!

Privatni pravobraniteljstvo održava bazu podataka o kršenjima sigurnosti od 2005. do danas. Njihova baza podataka uključuje širok raspon vrsta kršenja: ugrožene kreditne kartice, ukradene brojeve socijalnog osiguranja, ukradene lozinke i medicinske zapise. Baza podataka, od objavljivanja ovog članka, sastoji se od 4.033 prekršaja koji sadrži 617.937.023 korisničkih zapisa, Nisu svaka od tih stotina milijuna prekršaja uključivala korisničke lozinke, ali milijuni od njih su učinili milijune.

Pa zašto je to važno? Osim očitih i neposrednih sigurnosnih posljedica prekršaja, kršenja stvaraju kolateralnu štetu. Hackeri mogu odmah početi testirati prijave i zaporke koje žele na drugim web stranicama.

Većina ljudi lijen je svojim lozinkama i ima dobre šanse da ako netko koristi [email protected] lozinku bob1979, taj isti login / lozinka par će raditi na drugim web stranicama. Ako su te druge web stranice veći profil (kao što su bankarske web stranice ili ako lozinka koju je koristio u Adobeu zapravo otključava njegovu pristiglu poštu), postoji problem. Kada netko ima pristup vašem pristigloj pošti, oni mogu početi resetirati zaporku na drugim uslugama i dobiti im pristup.

Jedini način za zaustavljanje ove vrste lančane reakcije da uzrokuje još više sigurnosnih problema unutar mreže web stranica i usluga koje koristite je slijediti dva kardinala pravila dobre higijene lozinke:

Vaša zaporka e-pošte trebala bi biti duga, jaka i potpuno jedinstvena među svim vašim prijavama.
Svaki prijava dobiva dugu, snažnu i jedinstvenu zaporku. Ponovno korištenje lozinke. Ikad.

Ta dva pravila su odstupanja od svakog sigurnosnog vodiča koji smo ikada podijelili s vama, uključujući i naš hitni vodič koji ima hit-the-fan vodič Kako se oporaviti nakon što je vašu lozinku e-pošte kompromitirano.

Sada, u ovom trenutku, vjerojatno se malo namršti jer, iskreno, gotovo da nitko nema savršeno hermetičan lozinku i sigurnost. Niste sami ako vam nedostaje higijena lozinke. Zapravo, vrijeme je za priznanje.

Napisao sam desetke sigurnosnih članaka, postova o sigurnosnim kršenjima i drugim zapisima vezanim uz lozinku tijekom godina u How-To Geeku. Unatoč tome što je upravo takva informirana osoba koja bi trebala bolje znati, unatoč upravitelju zaporki i generiranju sigurnih zaporki za svaku novu web stranicu i uslugu, kada sam pokrenuo moju e-poštu putem popisa kompromitiranih Adobe prijava i podudarala se s kompromitiranom lozinkom. i dalje su otkrili da sam spalio.

Napravio sam taj Adobe račun davno kada sam bio znatno slabiji od higijene lozinke, a lozinka koju sam koristila bila je uobičajena desetine web stranica i usluga s kojima sam se prijavio prije nego što sam dobio super ozbiljno u izradi dobrih zaporki.

Sve se to moglo spriječiti ako bih u potpunosti prakticirala ono što sam propovijedao, a ne samo stvorio jedinstvene i jake lozinke, ali također revidirala moje stare lozinke kako bi se osiguralo da se takva situacija nikada nije dogodila na prvom mjestu. Bilo da nikada nisi ni pokušao biti dosljedan i siguran u praktičnoj praksi lozinke ili samo trebate ih provjeriti da biste se lakše oporavili, temeljita revizija lozinke predstavlja put do sigurnosti lozinkom i mir uma. Čitajte dalje kako vam pokazujemo kako.

Priprema za vaš sigurnosni izazov za posljednji put

Možete ručno provjeravati zaporke, ali to bi bilo iznimno dosadno i ne biste imali koristi od korištenja dobrog univerzalnog upravitelja zaporki. Umjesto ručne revizije svega, mi ćemo uzeti jednostavan i uglavnom automatizirani put: provjerit ćemo naše lozinke uzimajući LastPass Security Challenge.

Ovaj vodič neće pokriti postavljanje LastPass-a, tako da ako već nemate sustav LastPassa, pokrenite ga, snažno vam savjetujemo da ga postavite. Da biste započeli, pogledajte HTG Vodič za početak korištenja programa LastPass. Iako je LastPass ažuriran od kada smo napisali vodič (sučelje je puno ljepše i bolje stručno sada), i dalje možete lako pratiti korake. Ako postavljate LastPass po prvi put, svakako uvezitesvi Vaše pohranjene lozinke s vaših preglednika jer nam je cilj reviziju svake pojedine lozinke koju koristite.

Unesite svaku prijavu i zaporku u LastPass:Bilo da ste potpuno novi na LastPassu ili ga niste koristili za svaku prijavu, sada je vrijeme da provjerite jeste li unijelisvaki prijavite se na LastPass sustav. Mi ćemo odjeknuti savjete koje smo dali u našem vodiču za oporavak e-pošte za češljanje e-pošte u pristigloj pošti za podsjetnike:


Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Omogućite autentifikaciju s dva faktora na svojem LastPass računu: Ovaj korak nije strogo neophodan za provođenje sigurnosne revizije, ali dok vas imamo pažnju, učinit ćemo sve što možemo kako bismo vas potaknuli dok se nalazite na svom LastPass računu da biste uključili provjeru autentičnosti s dva faktora dodatno osigurajte vaš LastPass trezor. (Ne samo da povećava vašu sigurnost računa, također ćete dobiti poticaj u rezultatima sigurnosne revizije!)

Uzimanje LastPass Security Challengea

Sada kada ste uvezli sve svoje lozinke, vrijeme je da se potaknete zbog srama da niste bili u 1% najsnažnije sigurnosne lozinke. Posjetite stranicu LastPass Security Challenge i pritisnite "Pokreni izazov" pri dnu stranice. Od vas će biti zatraženo da unesete glavnu lozinku, kao što se vidi gore na snimci zaslona, a zatim LastPass će ponuditi provjeru je li bilo koja od adresa e-pošte sadržana u vašem trezoru bila dio svih kršenja koje je pratio. Nema razloga da ne iskoristite ovo:

Ako ste sretni, vraća negativan. Ako ste sretni, dobit ćete ovakav skočni prozor s upitom želite li više informacija o kršenjima u kojima ste sudjelovali e-pošta:

LastPass će izdati jedno sigurnosno upozorenje za svaki slučaj. Ako ste već dugo imali adresu e-pošte, budite spremni biti zaprepašteni koliko je lozinke kršilo. U nastavku je naveden primjer obavijesti o kršenju zaporke:

Nakon skočnih prozora, bacit ćete se na glavnu ploču LastPass Security Challengea. Sjetite se ranije u vodiču kada sam razgovarao o tome kako trenutačno radim u dobroj higijeni lozinke, ali da nikad nisam stekao pravilno ažuriranje puno starijih web stranica i usluga? To stvarno pokazuje u rezultat sam dobio. Joj:

To je moja ocjena s godinama u kojima su se usredotočile slučajne zaporke. Nemojte se previše šokirati ako je vaš rezultat niži ako ste koristili iste šanse slabe lozinke iznova i iznova. Sada kada imamo svoj rezultat (koliko god to bilo strašno ili sramno), vrijeme je da iskoristimo podatke. Možete koristiti brze veze uz postotak bodova ili jednostavno početi pomicati. Prvo zaustavite, provjerimo detaljne rezultate. Razmislite o ovom pregledu stanja vaših zaporki od 10.000 stopa:

Iako biste trebali obratiti pažnju na sve statistike ovdje, najvažnije su "Prosječna snaga lozinke", koliko je slaba ili jaka vaša prosječna lozinka i, još važnije, "Broj dupliciranih lozinki" i "Broj web stranica koje imaju duplicirane lozinke”. U svrhu moje revizije, bilo je 8 prepreka na 43 mjesta. Jasno sam bio prilično lijen ponovno korištenje iste low-grade lozinku na više od nekoliko mjesta.

Sljedeća stanica, odjeljak Analizirane web lokacije. Ovdje ćete naći vrlo konkretno razbijanje svih vaših prijava i lozinki koje su organizirane dupliciranim korištenjem lozinke (ako ste imali duplikate), jedinstvenih lozinki i, konačno, prijava bez lozinke pohranjene u LastPassu. Dok gledate preko popisa, divite se razlikama između jakosti lozinke. U mom slučaju, jedan od mojih financijskih prijava dobio je 45% lozinke, dok je moje kćeri Minecraft prijavu dobila savršenu 100% rezultat. Opet, ouch.

Učvršćivanje vaše strašne ocjene sigurnosti

Postoje dvije vrlo korisne veze koje su ugrađene u popis revizije. Ako kliknete "SHOW", pokazat će vam lozinku za tu web lokaciju i ako kliknete "Posjeti web stranicu", možete skočiti na web stranicu tako da možete promijeniti lozinku. Ne bi li se trebalo mijenjati svaka duplikata lozinka, ali bilo koja zaporka koja je bila priključena na kršeni račun (kao što je Adobe.com ili LinkedIn) treba trajno oduzeti.

Ovisno o tome koliko je ili nekoliko zaporki koje imate (i koliko ste marljivo u vezi s dobrim praksama zaporke), ovaj korak procesa može potrajati deset minuta ili cijelo poslijepodne. Iako će se postupak promjene lozinke razlikovati ovisno o izgledu web lokacije koju ažurira, evo nekoliko općih smjernica koje slijedite (kao primjer koristimo ažuriranje lozinke na Zapamti Mlijeko): posjetite stranicu za promjenu zaporke, Uobičajeno ćete morati unijeti trenutnu zaporku i generirati novu lozinku.

Učinite to tako da kliknete na logotip sa zaključavanjem okvira sa okruglom strelicom.LastPass se umetne u novi utor lozinke (kao što je vidljivo na slici iznad). Potražite novu zaporku i izvršite prilagodbe ako želite (kao što je produljenje ili dodavanje posebnih znakova):

Kliknite "Upotrijebi lozinku" i potvrdite da želite ažurirati unos koji uređujete:

Obavezno potvrdite i promjenu s web-lokacijom. Ponovite postupak za svaku dupliciranu i slabu lozinku u trezoru LastPass.

Konačno, posljednja stvar koju trebate provjeriti je vaša LastPass Master Password. Učinite to tako da kliknete vezu pri dnu zaslona Izazov, s oznakom "Ispitajte snagu moje Last Pass Master Password". Ako ne vidite ovo:

Morate resetirati svoju LastPass Master lozinku i povećati snagu dok ne dobijete lijepu, pozitivnu potvrdu od 100%.

Istraživanje rezultata i daljnje jačanje LastPass sigurnosti

Nakon što ste utrošili popis dvostrukih zaporki, izbrisane stare unose i na drugi način postavili i osigurali popis za prijavu / zaporku, vrijeme je da ponovno pokrenete reviziju. Sada, za naglasak, rezultat koji vidite u nastavku je podignut isključivo poboljšanjem sigurnosti lozinke. (Ako omogućite dodatne sigurnosne značajke, kao što je autentifikacija više faktora, dobit ćete povećanje od oko 10%).

Nije loše! Nakon uklanjanja svih dvostrukih zaporki i dovođenja svih postojećih zaporki do 90% snage ili bolje, to je stvarno poboljšalo naš rezultat. Ako ste znatiželjan zašto se nije skočio na 100%, postoji nekoliko čimbenika u igri, od kojih je najistaknutiji da neke lozinke nikad ne mogu biti dovedene do smrti prema LastPass standardima zbog glupih pravila koje administratori web mjesta. Na primjer, lozinka za prijavu moje lokalne knjižnice je četveroznamenkasti PIN (što zauzima 4% na LastPass sigurnosnoj skali). Većina ljudi će imati neku vrstu takvog outliera kao na popisu i to će povući svoj rezultat dolje.

U takvim slučajevima važno je da se ne obeshrabrite i upotrijebite detaljan kvar kao mjerni podatak:

U procesu ažuriranja lozinke obrezao sam 17 kopiranih / istekla web mjesta, stvorio jedinstvenu lozinku za svaku web stranicu i uslugu i doveo broj mjesta s dupliciranim zaporkama od 43 do 0 u tom procesu.

Trebalo je samo sat vremena ozbiljno usredotočenog vremena (od čega je 12,4% potrošeno proklinjivanje web dizajnera koji su postavili veze za ažuriranje lozinke na nejasnim mjestima), a sve što je trebalo da me motivirate bila je kršenje lozinke katastrofalnih razmjera! Zapamtite ovdje, ogroman uspjeh.

Sada kada ste revidirali svoje lozinke, a vi ste pumpan da imate stabilnu jedinstvenu lozinku, iskoristimo taj zamah naprijed. Udarite naš vodič za izradu LastPass-ačak sigurnijima povećanjem ponavljanja zaporke, ograničavanjem prijava po zemlji i drugima. Između vođenja revizije koji smo ovdje naveli, slijedeći naš LastPass sigurnosni vodič i uključivanje algoritama s dva faktora, imat ćete sustav za upravljanje lozinkom bez oklopa s kojim se možete ponositi.