Slik kjører du en siste pass Security Audit (og hvorfor det ikke kan vente)

Innholdsfortegnelse:

Slik kjører du en siste pass Security Audit (og hvorfor det ikke kan vente)
Slik kjører du en siste pass Security Audit (og hvorfor det ikke kan vente)
Anonim
Hvis du praktiserer laks passordbehandling og hygiene, er det bare et spørsmål om tid til en av de stadig flere omfattende sikkerhetsbruddene brenner deg. Slutt å være takknemlig du dodged fortiden sikkerheten bryter kuler og rustning deg selv mot fremtiden. Les videre når vi viser deg hvordan du skal kontrollere passordene dine og beskytte deg selv.
Hvis du praktiserer laks passordbehandling og hygiene, er det bare et spørsmål om tid til en av de stadig flere omfattende sikkerhetsbruddene brenner deg. Slutt å være takknemlig du dodged fortiden sikkerheten bryter kuler og rustning deg selv mot fremtiden. Les videre når vi viser deg hvordan du skal kontrollere passordene dine og beskytte deg selv.

Hva er Big Deal og hvorfor er dette saken?

Image
Image

I oktober i år avslørte Adobe at det hadde vært et stort sikkerhetsbrudd som rammet 3 millioner brukere av Adobe.com og Adobe-programvare. Da endret de tallet til 38 millioner. Så, enda mer sjokkerende, da databasen fra hacken ble lekket, kom sikkerhetsforskere som analyserte databasen tilbake og sa at det var mer som 150 millioner kompromitterte brukerkontoer. Denne graden av brukereksponering gir Adobe-brudd i løpingen som en av de verste sikkerhetsbruddene i historien.

Adobe er imidlertid nesten ikke alene på denne fronten; vi åpnet ganske enkelt med deres brudd fordi det er smertelig nylig. I de siste årene alene har det vært dusinvis av massive sikkerhetsbrudd der brukerinformasjon, inkludert passord, er blitt kompromittert.

LinkedIn ble truffet i 2012 (6.46 millioner brukerrekorder kompromittert). Samme år ble eHarmony rammet (1,5 millioner brukeroppføringer) som var Last.fm (6,5 millioner brukerrekord) og Yahoo! (450.000 brukerregistre). Sony Playstation Network ble truffet i 2011 (101 millioner brukerrekorder kompromittert). Gawker Media (morselskapet til nettsteder som Gizmodo og Lifehacker) ble rammet i 2010 (1,3 millioner brukerrekorder kompromittert). Og det er bare eksempler på store brudd som gjorde nyheten!

Privacy Rights Clearinghouse opprettholder en database med sikkerhetsbrudd fra 2005 til i dag. Databasen inneholder et bredt spekter av bruddstyper: kompromitterte kredittkort, stjålet personnummer, stjålne passord og medisinske poster. Databasen, etter offentliggjøring av denne artikkelen, består av 4.033 brudd inneholder 617.937.023 brukerregistre. Ikke alle de hundrevis av millioner av brudd involvert brukerpassord, men millioner av millioner gjorde det.

Så hvorfor betyr det noe? Bortsett fra de åpenbare og umiddelbare sikkerhetsmessige konsekvensene av et brudd, oppstår bruddene på sikkerhetsskade. Hackerne kan umiddelbart begynne å teste loggene og passordene de høster på andre nettsteder.

De fleste er lat med passordene sine, og det er en god sjanse for at hvis noen brukte [email protected] med passordet bob1979, vil det samme login / passordsparet fungere på andre nettsider. Hvis de andre nettstedene er høyere profil (som banknettsteder, eller hvis passordet han brukte på Adobe, låser opp e-postboksen sin), så er det et problem. Når noen har tilgang til din e-postboks, kan de begynne å tilbakestille passordet på andre tjenester og få tilgang til dem også.

Den eneste måten å stoppe denne typen kjedereaksjon fra å forårsake enda flere sikkerhetsproblemer innenfor nettverket av nettsteder og tjenester du bruker er å følge to kardinalregler for god passordhygiene:

  1. E-postpassordet ditt skal være langt, sterkt og helt unikt blant alle dine pålogginger.
  2. Hver login får et langt, sterkt og unikt passord. Ingen passord gjenbruk. Noensinne.

Disse to reglene er takeaway fra alle sikkerhetsveiledningene vi noen gang har delt med deg, inkludert vår nødsituasjon, det har fått hit-the-fan guide. Hvordan gjenopprette etter at passordet ditt er kompromittert.

Nå på dette tidspunktet er du sannsynligvis litt små fordi det er helt sikkert ingen som har perfekt lufttett passordspraksis og sikkerhet. Du er ikke alene hvis passordhygiene mangler. Faktisk er det tid for en bekjennelse.

Jeg har skrevet dusinvis av sikkerhetsartikler, innlegg om sikkerhetsbrudd og andre passordrelaterte innlegg gjennom årene jeg har vært på How-To Geek. Til tross for at jeg nettopp er den typen informert person som burde vite bedre, til tross for å bruke en passordbehandling og genererer sikre passord for hver ny nettside og tjeneste, da jeg kjørte e-posten min via listen over kompromitterte Adobe-pålogginger og matchet det mot det kompromitterte passordet, fortsatt funnet ut at jeg hadde blitt brent.

Jeg laget den Adobe-kontoen for lenge siden da jeg var betydelig mer laks med passordhygiene, og passordet jeg brukte var vanlig på tvers av dusinvis av nettsteder og tjenester som jeg hadde registrert meg med før jeg ble fortrolig med å lage gode passord.

Alt dette kunne ha blitt forhindret hvis jeg hadde fullt utøvd det jeg forkynte og ikke bare opprettet unike og sterke passord, men også reviderte mine gamle passord for å sikre at denne situasjonen aldri skjedde i utgangspunktet. Enten du aldri har forsøkt å være konsekvent og sikker med passordpraksis, eller du bare trenger å sjekke dem over for å sette deg rolig, er en grundig passordrevisjon veien til passordsikkerhet og trygghet. Les videre som vi viser deg hvordan.

Forbereder for din Lastpass Security Utfordring

Du kan manuelt kontrollere passordene dine, men det ville være enormt kjedelig og du ville ikke få noen fordeler med å bruke en god universell passordbehandling. I stedet for å manuelt revidere alt, skal vi ta den enkle og stort sett automatiserte ruten: Vi skal revidere passordene våre ved å ta LastPass Security Challenge.
Du kan manuelt kontrollere passordene dine, men det ville være enormt kjedelig og du ville ikke få noen fordeler med å bruke en god universell passordbehandling. I stedet for å manuelt revidere alt, skal vi ta den enkle og stort sett automatiserte ruten: Vi skal revidere passordene våre ved å ta LastPass Security Challenge.

Denne veiledningen vil ikke dekke oppsett av LastPass, så hvis du ikke allerede har LastPass-systemet oppe, anbefaler vi deg sterkt å sette opp en. Sjekk ut HTG-veiledningen for å komme i gang med LastPass for å komme i gang. Selv om LastPass har oppdatert siden vi skrev veiledningen (grensesnittet er mye finere og bedre strømlinjeformet nå), kan du fortsatt følge trinnene med letthet. Hvis du setter opp LastPass for første gang, må du sørge for å importerealle De lagrede passordene dine fra nettleserne dine, som vårt mål er å revidere hvert enkelt passord du bruker.

Skriv inn alle innlogginger og passord til LastPass:Enten du er helt ny til LastPass eller du ikke har brukt det fullt ut for hver pålogging, er det nå på tide å forsikre deg om at du har skrevet innhver logg inn i LastPass-systemet. Vi kommer til å ekko de rådene vi ga i vår e-postgjenopprettingshjelp for å kammere din e-postboks for påminnelser:

Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Aktiver tofaktorautentisering på LastPass-kontoen din: Dette trinnet er ikke strengt nødvendig for å utføre sikkerhetsrevisjonen, men mens vi har oppmerksomhet, skal vi gjøre alt vi kan for å oppmuntre deg, mens du går rundt i LastPass-kontoen din, for å slå på tofaktorautentisering til Videre sikre ditt LastPass hvelv. (Ikke bare øker det kontosikkerheten din, du får et løft i sikkerhetsrevisjonen din også!)

Å ta LastPass Security Challenge

Nå som du har importert alle passordene dine, er det på tide å skamme deg selv for å skamme deg for ikke å være i 1% av hardcore passord sikkerhetsninja. Gå til LastPass Security Challenge-siden og trykk "Start the Challenge" nederst på siden. Du vil bli bedt om å skrive inn ditt hovedpassord, som vist på skjermbildet ovenfor, og LastPass vil da tilby å sjekke om noen av e-postadressene i hvelvet din var en del av eventuelle brudd det har spilt. Det er ingen god grunn til ikke å dra nytte av dette:
Nå som du har importert alle passordene dine, er det på tide å skamme deg selv for å skamme deg for ikke å være i 1% av hardcore passord sikkerhetsninja. Gå til LastPass Security Challenge-siden og trykk "Start the Challenge" nederst på siden. Du vil bli bedt om å skrive inn ditt hovedpassord, som vist på skjermbildet ovenfor, og LastPass vil da tilby å sjekke om noen av e-postadressene i hvelvet din var en del av eventuelle brudd det har spilt. Det er ingen god grunn til ikke å dra nytte av dette:
Hvis du er heldig, returnerer den en negativ. Hvis du er heldig, får du en popup som dette, spør hvis du vil ha mer informasjon om bruddene, var e-posten din involvert i:
Hvis du er heldig, returnerer den en negativ. Hvis du er heldig, får du en popup som dette, spør hvis du vil ha mer informasjon om bruddene, var e-posten din involvert i:
LastPass vil utstede et enkelt sikkerhetsvarsel for hver forekomst. Hvis du har hatt e-postadressen din lenge, vær forberedt på å bli sjokkert over hvor mange passordbrudd det er blitt sammenflettet. Her er et eksempel på et passordbruddvarsel:
LastPass vil utstede et enkelt sikkerhetsvarsel for hver forekomst. Hvis du har hatt e-postadressen din lenge, vær forberedt på å bli sjokkert over hvor mange passordbrudd det er blitt sammenflettet. Her er et eksempel på et passordbruddvarsel:
Etter popup-vinduene blir du dumpet til hovedpanelet i LastPass Security Challenge. Husk tidligere i veiledningen når jeg snakket om hvordan jeg praktiserer god passordhygiene, men det hadde jeg aldri fått til å oppdatere mange eldre nettsteder og tjenester på riktig måte. Det viser virkelig i poengsummen jeg mottok. Au:
Etter popup-vinduene blir du dumpet til hovedpanelet i LastPass Security Challenge. Husk tidligere i veiledningen når jeg snakket om hvordan jeg praktiserer god passordhygiene, men det hadde jeg aldri fått til å oppdatere mange eldre nettsteder og tjenester på riktig måte. Det viser virkelig i poengsummen jeg mottok. Au:
Det er min score med år verdt av tilfeldige passord blandet inn. Ikke vær for sjokkert hvis poengsummen din er enda lavere hvis du har brukt samme håndfull svake passord om og om igjen. Nå som vi har vår poengsum (imidlertid fantastisk eller skammelig, kan det være), det er på tide å grave inn i dataene. Du kan bruke de hurtige koblingene ved siden av poengprosent eller bare begynne å rulle. Første stopp, la oss sjekke ut de detaljerte resultatene. Vurder dette som en 10.000 fot oversikt over tilstanden til passordene dine:
Det er min score med år verdt av tilfeldige passord blandet inn. Ikke vær for sjokkert hvis poengsummen din er enda lavere hvis du har brukt samme håndfull svake passord om og om igjen. Nå som vi har vår poengsum (imidlertid fantastisk eller skammelig, kan det være), det er på tide å grave inn i dataene. Du kan bruke de hurtige koblingene ved siden av poengprosent eller bare begynne å rulle. Første stopp, la oss sjekke ut de detaljerte resultatene. Vurder dette som en 10.000 fot oversikt over tilstanden til passordene dine:
Mens du bør være oppmerksom på all statistikken her, er de virkelig viktige "Gjennomsnittlig passordstyrke", hvor svak eller sterk er ditt gjennomsnittlige passord, og enda viktigere, "Antall duplikatpassord" og "Antall nettsteder som har dupliserte passord”. For årsaken til mitt revisjon var det 8 dupes på tvers av 43 sider. Klart hadde jeg vært ganske lat å gjenbruke det samme lavverdige passordet på mer enn noen få nettsteder.
Mens du bør være oppmerksom på all statistikken her, er de virkelig viktige "Gjennomsnittlig passordstyrke", hvor svak eller sterk er ditt gjennomsnittlige passord, og enda viktigere, "Antall duplikatpassord" og "Antall nettsteder som har dupliserte passord”. For årsaken til mitt revisjon var det 8 dupes på tvers av 43 sider. Klart hadde jeg vært ganske lat å gjenbruke det samme lavverdige passordet på mer enn noen få nettsteder.

Neste stopp, delen Analyserte områder. Her finner du en veldig konkret nedbrytning av alle dine pålogginger og passord som er organisert ved hjelp av duplikatbruk (hvis du hadde duplikater), unike passord, og til slutt logger inn uten passord lagret i LastPass. Mens du ser over listen, kan du beundre kontrasten mellom passordstyrker. I mitt tilfelle ble en av mine økonomiske innlogginger gitt et 45% passordresultat, mens datteren min Minecraft logg inn ble gitt en perfekt 100% score. Igjen, ouch.

Å fikse din forferdelige sikkerhetsutfordringspoeng

Det er to svært nyttige koblinger bygget rett inn i revisjonslistene. Hvis du klikker på "SHOW", vil det vise deg passordet for dette nettstedet, og hvis du klikker på "Visit Site", kan du hoppe rett til nettsiden, slik at du kan endre passordet. Ikke bare bør hvert duplikat passord endres, men et passord som ble koblet til en konto som ble overtrådt (for eksempel Adobe.com eller LinkedIn), bør bli pensjonert permanent.
Det er to svært nyttige koblinger bygget rett inn i revisjonslistene. Hvis du klikker på "SHOW", vil det vise deg passordet for dette nettstedet, og hvis du klikker på "Visit Site", kan du hoppe rett til nettsiden, slik at du kan endre passordet. Ikke bare bør hvert duplikat passord endres, men et passord som ble koblet til en konto som ble overtrådt (for eksempel Adobe.com eller LinkedIn), bør bli pensjonert permanent.

Avhengig av hvor mange eller få passord du har (og hvor flink du har vært om god passord praksis), kan dette trinnet i prosessen ta deg ti minutter eller hele ettermiddagen. Selv om prosessen med å endre passordene dine vil variere basert på utformingen av nettstedet du oppdaterer, er det noen generelle retningslinjer som følger med (vi bruker vår passordoppdatering på Remember the Milk som et eksempel): Gå til endringssiden for passord. Vanligvis må du skrive inn ditt nåværende passord og deretter generere et nytt passord.

Gjør det ved å klikke på lås-med-sirkulær-pil-logoen.LastPass legger inn i det nye passordsporet (som vist på skjermbildet ovenfor). Se over ditt nye passord og foreta justeringer hvis du ønsker det (for eksempel å forlenge det eller legge til i spesialtegn):
Gjør det ved å klikke på lås-med-sirkulær-pil-logoen.LastPass legger inn i det nye passordsporet (som vist på skjermbildet ovenfor). Se over ditt nye passord og foreta justeringer hvis du ønsker det (for eksempel å forlenge det eller legge til i spesialtegn):
Klikk på "Bruk passord" og bekreft at du vil oppdatere oppføringen du redigerer:
Klikk på "Bruk passord" og bekreft at du vil oppdatere oppføringen du redigerer:
Pass på å bekrefte endringen med nettstedet også. Gjenta prosessen for hvert duplikat og svakt passord i LastPass-hvelvet.
Pass på å bekrefte endringen med nettstedet også. Gjenta prosessen for hvert duplikat og svakt passord i LastPass-hvelvet.

Endelig er det siste du trenger å revidere LastPass Master Password. Gjør det ved å klikke på linken nederst på Utfordringsskjermbildet, merket "Test styrken til LastPass Master Password". Hvis du ikke ser dette:

Image
Image

Du må nullstille LastPass Master Password og øke styrken til du får en fin, positiv, 100% styrkebekreftelse.

Oppsøke resultatene og videre forbedre din LastPass-sikkerhet

Når du har slogget gjennom listen over dupliserte passord, slettet gamle oppføringer og på annen måte ryddet opp og sikret innloggings- / passordlisten, er det på tide å kjøre revisjonen igjen. Nå, for vektlegging, ble poengsummen du ser nedenfor bare tatt opp ved å forbedre passordsikkerheten. (Hvis du aktiverer flere sikkerhetsfunksjoner, for eksempel multifaktorautentisering, får du et løft på rundt 10%).

Ikke verst! Etter å ha eliminert hvert duplikat passord og bringe alle eksisterende passord opp til 90% styrke eller bedre, forbedret det virkelig vår poengsum. Hvis du er nysgjerrig på hvorfor det ikke hoppet til 100%, er det noen faktorer som er på spill, det mest fremtredende er at noen passord aldri kan bli brakt opp til snus etter LastPass-standarder på grunn av dumme retningslinjer på plass av nettsted administratorer. For eksempel er mitt lokale biblioteks påloggingspassord en firesifret pin (som gir 4% på LastPass-sikkerhetsskalaen). De fleste vil ha slike utestengere som i sin liste, og det vil trekke sin score ned.
Ikke verst! Etter å ha eliminert hvert duplikat passord og bringe alle eksisterende passord opp til 90% styrke eller bedre, forbedret det virkelig vår poengsum. Hvis du er nysgjerrig på hvorfor det ikke hoppet til 100%, er det noen faktorer som er på spill, det mest fremtredende er at noen passord aldri kan bli brakt opp til snus etter LastPass-standarder på grunn av dumme retningslinjer på plass av nettsted administratorer. For eksempel er mitt lokale biblioteks påloggingspassord en firesifret pin (som gir 4% på LastPass-sikkerhetsskalaen). De fleste vil ha slike utestengere som i sin liste, og det vil trekke sin score ned.

I slike tilfeller er det viktig å ikke bli motløs, og å bruke detaljert sammenbrudd som en metrisk:

I passordoppdateringsprosessen beskjærte jeg 17 dupliserte / utløste nettsteder, opprettet et unikt passord for hvert nettsted og tjeneste, og brakte antall nettsteder med duplikatpassord ned fra 43 til 0 i prosessen.
I passordoppdateringsprosessen beskjærte jeg 17 dupliserte / utløste nettsteder, opprettet et unikt passord for hvert nettsted og tjeneste, og brakte antall nettsteder med duplikatpassord ned fra 43 til 0 i prosessen.

Det tok bare omtrent en time med alvorlig fokusert tid (12,4% av dem ble brukt til å forbanne webdesignere som lagde passordoppdateringslinker på obskure steder), og alt som trengs for å få meg motivert var et passordbrudd på katastrofale proporsjoner! Jeg lager et notat her, stor suksess.

Nå som du har revidert passordene dine og du er pumpet om å ha en stabil unikt passord, la oss dra nytte av det fremadgående momentumet. Slå opp vår guide til å lage LastPasstil og med sikrere ved å øke passord iterasjoner, begrense innlogginger etter land, og mer. Mellom å utføre revisjonen som vi skisserte her, følger vår LastPass sikkerhetsguide, og slår på tofaktoralgoritmer, du har et kollisikkert passordstyringssystem du kan være stolt av.

Anbefalt:

Slik logger du på en pakke på nettet (slik at du ikke må vente hjemme)

Slik logger du på en pakke på nettet (slik at du ikke må vente hjemme)

Du trenger ikke å vente hjemme for å logge på en pakke - selv om du har en pakke på vei som krever en signatur. UPS og FedEx gir deg begge mulighet til å signere for mange pakker på nettet, og den amerikanske posttjenesten tillater deg også å godkjenne leveranser som kanskje ikke oppstår hvis du ikke var der personlig.

Hvorfor gjenopprette routeren din retter så mange problemer (og hvorfor du må vente 10 sekunder)

Hvorfor gjenopprette routeren din retter så mange problemer (og hvorfor du må vente 10 sekunder)

Internett er nede, men du vet hva du skal gjøre: koble fra ruteren eller modemet, vent ti sekunder og koble det inn igjen. Det er andre natur på dette punktet, men hvorfor virker det egentlig? Og er det noen magi til det ti andre nummeret?

Hvorfor slettede filer kan gjenopprettes, og hvordan du kan forhindre det

Hvorfor slettede filer kan gjenopprettes, og hvordan du kan forhindre det

Når du sletter en fil, slettes den ikke egentlig - den fortsetter eksisterende på harddisken din, selv etter at du har tømt den fra papirkurven. Dette lar deg (og andre personer) gjenopprette filer du har slettet.

Slik sjekker du om TRIM er aktivert for SSD (og aktiver det hvis det ikke er det)

Slik sjekker du om TRIM er aktivert for SSD (og aktiver det hvis det ikke er det)

Windows 7 og over er satt til å aktivere TRIM automatisk på solid state-stasjoner. Du bør ikke bekymre deg for å aktivere TRIM selv. Men hvis du vil dobbeltsjekke at Windows har aktivert TRIM, kan du.

Hvorfor gamle programmer ikke kjører på moderne versjoner av Windows (og hvordan du kan kjøre dem uansett)

Hvorfor gamle programmer ikke kjører på moderne versjoner av Windows (og hvordan du kan kjøre dem uansett)

Windows handler om bakoverkompatibilitet, slik at folk - spesielt bedrifter - kan fortsette å bruke sine viktige applikasjoner på nye versjoner av Windows. Men det er grenser. Jo eldre et program er, jo mer sannsynlig vil det bryte.