Hva er Big Deal og hvorfor er dette saken?
I oktober i år avslørte Adobe at det hadde vært et stort sikkerhetsbrudd som rammet 3 millioner brukere av Adobe.com og Adobe-programvare. Da endret de tallet til 38 millioner. Så, enda mer sjokkerende, da databasen fra hacken ble lekket, kom sikkerhetsforskere som analyserte databasen tilbake og sa at det var mer som 150 millioner kompromitterte brukerkontoer. Denne graden av brukereksponering gir Adobe-brudd i løpingen som en av de verste sikkerhetsbruddene i historien.
Adobe er imidlertid nesten ikke alene på denne fronten; vi åpnet ganske enkelt med deres brudd fordi det er smertelig nylig. I de siste årene alene har det vært dusinvis av massive sikkerhetsbrudd der brukerinformasjon, inkludert passord, er blitt kompromittert.
LinkedIn ble truffet i 2012 (6.46 millioner brukerrekorder kompromittert). Samme år ble eHarmony rammet (1,5 millioner brukeroppføringer) som var Last.fm (6,5 millioner brukerrekord) og Yahoo! (450.000 brukerregistre). Sony Playstation Network ble truffet i 2011 (101 millioner brukerrekorder kompromittert). Gawker Media (morselskapet til nettsteder som Gizmodo og Lifehacker) ble rammet i 2010 (1,3 millioner brukerrekorder kompromittert). Og det er bare eksempler på store brudd som gjorde nyheten!
Privacy Rights Clearinghouse opprettholder en database med sikkerhetsbrudd fra 2005 til i dag. Databasen inneholder et bredt spekter av bruddstyper: kompromitterte kredittkort, stjålet personnummer, stjålne passord og medisinske poster. Databasen, etter offentliggjøring av denne artikkelen, består av 4.033 brudd inneholder 617.937.023 brukerregistre. Ikke alle de hundrevis av millioner av brudd involvert brukerpassord, men millioner av millioner gjorde det.
Så hvorfor betyr det noe? Bortsett fra de åpenbare og umiddelbare sikkerhetsmessige konsekvensene av et brudd, oppstår bruddene på sikkerhetsskade. Hackerne kan umiddelbart begynne å teste loggene og passordene de høster på andre nettsteder.
De fleste er lat med passordene sine, og det er en god sjanse for at hvis noen brukte [email protected] med passordet bob1979, vil det samme login / passordsparet fungere på andre nettsider. Hvis de andre nettstedene er høyere profil (som banknettsteder, eller hvis passordet han brukte på Adobe, låser opp e-postboksen sin), så er det et problem. Når noen har tilgang til din e-postboks, kan de begynne å tilbakestille passordet på andre tjenester og få tilgang til dem også.
Den eneste måten å stoppe denne typen kjedereaksjon fra å forårsake enda flere sikkerhetsproblemer innenfor nettverket av nettsteder og tjenester du bruker er å følge to kardinalregler for god passordhygiene:
- E-postpassordet ditt skal være langt, sterkt og helt unikt blant alle dine pålogginger.
- Hver login får et langt, sterkt og unikt passord. Ingen passord gjenbruk. Noensinne.
Disse to reglene er takeaway fra alle sikkerhetsveiledningene vi noen gang har delt med deg, inkludert vår nødsituasjon, det har fått hit-the-fan guide. Hvordan gjenopprette etter at passordet ditt er kompromittert.
Nå på dette tidspunktet er du sannsynligvis litt små fordi det er helt sikkert ingen som har perfekt lufttett passordspraksis og sikkerhet. Du er ikke alene hvis passordhygiene mangler. Faktisk er det tid for en bekjennelse.
Jeg har skrevet dusinvis av sikkerhetsartikler, innlegg om sikkerhetsbrudd og andre passordrelaterte innlegg gjennom årene jeg har vært på How-To Geek. Til tross for at jeg nettopp er den typen informert person som burde vite bedre, til tross for å bruke en passordbehandling og genererer sikre passord for hver ny nettside og tjeneste, da jeg kjørte e-posten min via listen over kompromitterte Adobe-pålogginger og matchet det mot det kompromitterte passordet, fortsatt funnet ut at jeg hadde blitt brent.
Jeg laget den Adobe-kontoen for lenge siden da jeg var betydelig mer laks med passordhygiene, og passordet jeg brukte var vanlig på tvers av dusinvis av nettsteder og tjenester som jeg hadde registrert meg med før jeg ble fortrolig med å lage gode passord.
Alt dette kunne ha blitt forhindret hvis jeg hadde fullt utøvd det jeg forkynte og ikke bare opprettet unike og sterke passord, men også reviderte mine gamle passord for å sikre at denne situasjonen aldri skjedde i utgangspunktet. Enten du aldri har forsøkt å være konsekvent og sikker med passordpraksis, eller du bare trenger å sjekke dem over for å sette deg rolig, er en grundig passordrevisjon veien til passordsikkerhet og trygghet. Les videre som vi viser deg hvordan.
Forbereder for din Lastpass Security Utfordring
Denne veiledningen vil ikke dekke oppsett av LastPass, så hvis du ikke allerede har LastPass-systemet oppe, anbefaler vi deg sterkt å sette opp en. Sjekk ut HTG-veiledningen for å komme i gang med LastPass for å komme i gang. Selv om LastPass har oppdatert siden vi skrev veiledningen (grensesnittet er mye finere og bedre strømlinjeformet nå), kan du fortsatt følge trinnene med letthet. Hvis du setter opp LastPass for første gang, må du sørge for å importerealle De lagrede passordene dine fra nettleserne dine, som vårt mål er å revidere hvert enkelt passord du bruker.
Skriv inn alle innlogginger og passord til LastPass:Enten du er helt ny til LastPass eller du ikke har brukt det fullt ut for hver pålogging, er det nå på tide å forsikre deg om at du har skrevet innhver logg inn i LastPass-systemet. Vi kommer til å ekko de rådene vi ga i vår e-postgjenopprettingshjelp for å kammere din e-postboks for påminnelser:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Aktiver tofaktorautentisering på LastPass-kontoen din: Dette trinnet er ikke strengt nødvendig for å utføre sikkerhetsrevisjonen, men mens vi har oppmerksomhet, skal vi gjøre alt vi kan for å oppmuntre deg, mens du går rundt i LastPass-kontoen din, for å slå på tofaktorautentisering til Videre sikre ditt LastPass hvelv. (Ikke bare øker det kontosikkerheten din, du får et løft i sikkerhetsrevisjonen din også!)
Å ta LastPass Security Challenge
Neste stopp, delen Analyserte områder. Her finner du en veldig konkret nedbrytning av alle dine pålogginger og passord som er organisert ved hjelp av duplikatbruk (hvis du hadde duplikater), unike passord, og til slutt logger inn uten passord lagret i LastPass. Mens du ser over listen, kan du beundre kontrasten mellom passordstyrker. I mitt tilfelle ble en av mine økonomiske innlogginger gitt et 45% passordresultat, mens datteren min Minecraft logg inn ble gitt en perfekt 100% score. Igjen, ouch.
Å fikse din forferdelige sikkerhetsutfordringspoeng
Avhengig av hvor mange eller få passord du har (og hvor flink du har vært om god passord praksis), kan dette trinnet i prosessen ta deg ti minutter eller hele ettermiddagen. Selv om prosessen med å endre passordene dine vil variere basert på utformingen av nettstedet du oppdaterer, er det noen generelle retningslinjer som følger med (vi bruker vår passordoppdatering på Remember the Milk som et eksempel): Gå til endringssiden for passord. Vanligvis må du skrive inn ditt nåværende passord og deretter generere et nytt passord.
Endelig er det siste du trenger å revidere LastPass Master Password. Gjør det ved å klikke på linken nederst på Utfordringsskjermbildet, merket "Test styrken til LastPass Master Password". Hvis du ikke ser dette:
Du må nullstille LastPass Master Password og øke styrken til du får en fin, positiv, 100% styrkebekreftelse.
Oppsøke resultatene og videre forbedre din LastPass-sikkerhet
Når du har slogget gjennom listen over dupliserte passord, slettet gamle oppføringer og på annen måte ryddet opp og sikret innloggings- / passordlisten, er det på tide å kjøre revisjonen igjen. Nå, for vektlegging, ble poengsummen du ser nedenfor bare tatt opp ved å forbedre passordsikkerheten. (Hvis du aktiverer flere sikkerhetsfunksjoner, for eksempel multifaktorautentisering, får du et løft på rundt 10%).
I slike tilfeller er det viktig å ikke bli motløs, og å bruke detaljert sammenbrudd som en metrisk:
Det tok bare omtrent en time med alvorlig fokusert tid (12,4% av dem ble brukt til å forbanne webdesignere som lagde passordoppdateringslinker på obskure steder), og alt som trengs for å få meg motivert var et passordbrudd på katastrofale proporsjoner! Jeg lager et notat her, stor suksess.
Nå som du har revidert passordene dine og du er pumpet om å ha en stabil unikt passord, la oss dra nytte av det fremadgående momentumet. Slå opp vår guide til å lage LastPasstil og med sikrere ved å øke passord iterasjoner, begrense innlogginger etter land, og mer. Mellom å utføre revisjonen som vi skisserte her, følger vår LastPass sikkerhetsguide, og slår på tofaktoralgoritmer, du har et kollisikkert passordstyringssystem du kan være stolt av.