If-Koubou

Jak uruchomić audyt bezpieczeństwa Last Pass (i dlaczego nie może czekać)

Jak uruchomić audyt bezpieczeństwa Last Pass (i dlaczego nie może czekać) (Jak)

Jeśli ćwiczysz łagodne zarządzanie hasłami i higieną, to tylko kwestia czasu, kiedy jeden z coraz liczniejszych naruszeń bezpieczeństwa na dużą skalę poparzy cię. Przestań być wdzięczny, że uniknąłeś zabezpieczeń i zbroisz się przeciwko przyszłym. Czytaj dalej, bo pokazujemy, jak kontrolować hasła i chronić się.

Co to jest Big Deal i dlaczego to się liczy?

W październiku tego roku Adobe ujawniło, że doszło do poważnego naruszenia bezpieczeństwa, które dotknęło 3 miliony użytkowników oprogramowania Adobe.com i Adobe. Następnie zmienili liczbę na 38 milionów. Następnie, jeszcze szokująco, gdy baza danych z hackingu została ujawniona, analitycy bezpieczeństwa, którzy przeanalizowali bazę danych, wrócili i powiedzieli, że to bardziej przypomina 150 milionów skompromitowane konta użytkowników. Ten stopień narażenia użytkownika powoduje, że naruszenie Adobe w działaniu jest jednym z najgorszych naruszeń bezpieczeństwa w historii.

Adobe nie jest jednak sam na tym froncie; po prostu otworzyliśmy się z ich naruszeniem, ponieważ jest to boleśnie niedawne. W ciągu ostatnich kilku lat doszło do kilkudziesięciu masowych naruszeń bezpieczeństwa, w których ujawniono informacje o użytkownikach, w tym hasła.

LinkedIn trafił w 2012 r. (Zrekompensowano 6,46 mln wpisów użytkowników). W tym samym roku trafił eHarmony (1,5 miliona rekordów użytkownika), podobnie jak Last.fm (6,5 miliona rekordów użytkownika) i Yahoo! (450 000 wpisów użytkownika). Sony Playstation Network trafiło w 2011 r. (101 milionów rekordów użytkowników zostało naruszonych). Gawker Media (firma macierzysta takich serwisów, jak Gizmodo i Lifehacker) została trafiona w 2010 roku (zrekompensowano 1,3 miliona rekordów użytkowników). I to tylko przykłady dużych naruszeń, które sprawiły, że wieści!

Privacy Rights Clearinghouse prowadzi bazę danych o naruszeniach bezpieczeństwa od 2005 roku do chwili obecnej. Ich baza danych obejmuje szeroki zakres typów naruszenia: zagrożone karty kredytowe, skradzione numery ubezpieczenia społecznego, skradzione hasła i dokumentacja medyczna. Baza danych, w momencie publikacji tego artykułu, składa się z 4033 naruszenia zawierający 617,937,023 wpisów użytkownika. Nie każdy z setek milionów naruszeń dotyczył haseł użytkowników, ale robili to miliony.

Dlaczego to ma znaczenie? Pomijając oczywiste i natychmiastowe implikacje naruszenia bezpieczeństwa, naruszenia stanowią dodatkową szkodę. Hakerzy mogą natychmiast rozpocząć testowanie loginów i haseł, które zbierają na innych stronach internetowych.

Większość ludzi jest leniwych ze swoimi hasłami i istnieje duża szansa, że ​​jeśli ktoś użyje [email protected] z hasłem bob1979, ta sama para login / hasło zadziała na innych stronach internetowych. Jeśli te inne witryny mają wyższy profil (takie jak strony bankowe lub jeśli hasło użyte w programie Adobe faktycznie odblokowuje jego skrzynkę odbiorczą), wystąpił problem. Gdy ktoś uzyska dostęp do skrzynki odbiorczej poczty e-mail, może rozpocząć resetowanie hasła w innych usługach i uzyskiwać do nich dostęp.

Jedynym sposobem na powstrzymanie tego rodzaju reakcji łańcuchowej przed powodowaniem jeszcze większych problemów bezpieczeństwa w sieci witryn internetowych i usług, z których korzystasz, jest przestrzeganie dwóch podstawowych zasad dobrej higieny haseł:

  1. Twoje hasło e-mail powinno być długie, silne i całkowicie unikalne wśród wszystkich twoich loginów.
  2. Każdy login otrzymuje długie, mocne i niepowtarzalne hasło. Brak ponownego użycia hasła.Zawsze.

Te dwie reguły są odskocznią od każdego przewodnika bezpieczeństwa, który kiedykolwiek wam udostępniliśmy, w tym naszego przewodnika po nagłych wypadkach, który ma przewodnik Hit-the-fan "How to Recover" po tym, jak Twoje hasło do e-maila zostało zaszkodzone.

W tym momencie prawdopodobnie trochę się wijesz, bo, szczerze, prawie nikt nie ma perfekcyjnie highterskich praktyk i bezpieczeństwa. Nie jesteś sam, jeśli nie masz higieny hasła. W rzeczywistości czas na spowiedź.

Napisałem dziesiątki artykułów dotyczących bezpieczeństwa, postów dotyczących naruszeń bezpieczeństwa i innych postów dotyczących haseł, które pojawiły się w trakcie mojego How-To Geek. Pomimo tego, że jest to dokładnie taka osoba, która powinna wiedzieć lepiej, mimo że korzystała z menedżera haseł i generowała bezpieczne hasła dla każdej nowej witryny i usługi, kiedy prowadziłam moją skrzynkę e-mail przez listę zhakowanych loginów i pasowała do skompromitowanego hasła, wciąż się dowiedziałem, że zostałem spalony.

Zrobiłem to konto Adobe dawno temu, gdy byłem znacznie lżejszy w kwestii higieny haseł, a używane przeze mnie hasło było powszechne dziesiątki stron i usług, z którymi się zarejestrowałem, zanim zrobiłem wszystko, co w mojej mocy, aby tworzyć dobre hasła.

Wszystko to można byłoby uniknąć, gdybym w pełni praktykował to, co głosiłem, a nie tylko tworzył unikalne i silne hasła, ale również skontrolowałem moje stare hasła, aby upewnić się, że ta sytuacja nigdy się nie zdarzyła. Niezależnie od tego, czy nigdy nie próbowaliście być konsekwentni i bezpieczni przy pomocy praktyk dotyczących haseł, czy po prostu musicie je sprawdzić, aby się uspokoić, dokładny audyt hasła jest drogą do zabezpieczenia haseł i spokoju ducha. Czytaj dalej, ponieważ pokażemy Ci, jak to zrobić.

Przygotowanie do Twojego ostatniego wyzwania bezpieczeństwa

Możesz ręcznie kontrolować swoje hasła, ale byłoby to ogromnie nużące i nie zyskałbyś żadnej korzyści z używania dobrego uniwersalnego menedżera haseł. Zamiast ręcznie kontrolować wszystko, przejdziemy na łatwą i w dużej mierze zautomatyzowaną trasę: sprawdzimy nasze hasła, biorąc udział w LastPass Security Challenge.

Ten przewodnik nie obejmie konfigurowania LastPass, więc jeśli nie masz jeszcze uruchomionego systemu LastPass, zdecydowanie zachęcamy do jego skonfigurowania. Aby rozpocząć, zapoznaj się z przewodnikiem HTG Getting Started with LastPass.Chociaż LastPass został zaktualizowany od czasu, gdy napisaliśmy przewodnik (interfejs jest teraz znacznie ładniejszy i lepiej usprawniony), możesz z łatwością wykonywać te kroki. Jeśli konfigurujesz LastPass po raz pierwszy, upewnij się, że importujeszwszystko przechowywane hasła z przeglądarek, ponieważ naszym celem jest kontrola każdego hasła, którego używasz.

Wprowadź każdy login i hasło do LastPass:Niezależnie od tego, czy jesteś nowicjuszem w LastPass, czy nie używasz go w pełni do każdego logowania, teraz jest czas, aby upewnić się, że wszedłeśkażdy zaloguj się do systemu LastPass. Zamierzamy powtórzyć porady, które otrzymaliśmy w naszym przewodniku odzyskiwania poczty e-mail na temat przeczesywania skrzynki odbiorczej wiadomości e-mail dla przypomnień:

Wyszukaj w e-mailu przypomnienia o rejestracji.Nie będzie trudno zapamiętać często używane loginy, takie jak Facebook i Twój bank, ale prawdopodobnie istnieją dziesiątki usług nakładkowych, z których możesz nie pamiętać, że logujesz się przy użyciu poczty e-mail. Używaj wyszukiwania słów kluczowych, takich jak "witaj w", "resetuj", "odzyskiwanie", "weryfikuj", "hasło", "nazwa użytkownika", "login", "konto" i ich kombinacji, takich jak "zresetować hasło" lub "zweryfikować konto" . Ponownie wiemy, że jest to uciążliwe, ale kiedy już to zrobisz z menedżerem haseł u swojego boku, masz główną listę wszystkich swoich kont i już nigdy nie będziesz musiał robić tego wyszukiwania słów kluczowych.

Włącz uwierzytelnianie dwuskładnikowe na swoim koncie LastPass: Ten krok nie jest absolutnie konieczny do przeprowadzenia audytu bezpieczeństwa, ale gdy zwrócimy twoją uwagę, zrobimy wszystko, co w naszej mocy, aby cię zachęcić, podczas gdy będziesz się marudzić na swoim koncie LastPass, aby włączyć uwierzytelnianie dwuskładnikowe do dodatkowo zabezpieczyć skarbiec LastPass. (Nie tylko zwiększa to bezpieczeństwo Twojego konta, ale także zwiększy wynik kontroli bezpieczeństwa!)

Biorąc wyzwanie LastPass Security Challenge

Po zaimportowaniu wszystkich haseł nadszedł czas, aby przygotować się na wstyd, że nie jesteś w 1% hardkorowych ninja z hasłem bezpieczeństwa. Odwiedź stronę LastPass Security Challenge i naciśnij "Rozpocznij wyzwanie" u dołu strony. Zostaniesz poproszony o podanie hasła głównego, jak widać na powyższym zrzucie ekranu, a następnie LastPass zaoferuje sprawdzenie, czy któryś z adresów e-mail zawartych w Twoim skarbcu był częścią wszelkich naruszeń, które wykrył. Nie ma żadnego powodu, aby nie skorzystać z tego:

Jeśli masz szczęście, zwraca wartość ujemną. Jeśli masz szczęście, pojawi się wyskakujące okienko z pytaniem, czy chcesz uzyskać więcej informacji o naruszeniach, w których uczestniczył Twój e-mail:

LastPass wyda pojedynczy alert bezpieczeństwa dla każdej instancji. Jeśli masz długi adres e-mail, przygotuj się na zszokowanie ilością naruszeń haseł, które zostały zaplątane. Oto przykład zawiadomienia o naruszeniu haseł:

Po wyskakujących okienkach zostaniesz przeniesiony do głównego panelu LastPass Security Challenge. Pamiętasz wcześniej w przewodniku, kiedy mówiłem o tym, jak obecnie ćwiczę dobrą higienę haseł, ale nigdy nie doszłam do tego, aby właściwie aktualizować wiele starszych stron i serwisów? To naprawdę pokazuje w otrzymanym wyniku. Ouch:

To jest mój wynik z wymieszanymi losowo liczbami losowymi haseł. Nie bądź zbyt zaskoczony, jeśli twój wynik jest jeszcze niższy, jeśli używasz tej samej garści słabych haseł w kółko. Teraz, gdy mamy już swój wynik (jakkolwiek może to być niesamowite lub wstydliwe), nadszedł czas, aby zagłębić się w dane. Możesz skorzystać z szybkich linków obok swojego wyniku procentowego lub po prostu rozpocząć przewijanie. Pierwszy przystanek, sprawdźmy szczegółowe wyniki. Rozważ to przegląd stanu haseł na 10 000 stóp:

Podczas, gdy powinieneś zwrócić uwagę na wszystkie statystyki tutaj, naprawdę ważne są "Średnia siła hasła", jak słabe lub silne jest twoje średnie hasło, a jeszcze ważniejsze, "Liczba duplikatów haseł" i "Liczba witryn z duplikatami haseł" ". W wyniku mojej kontroli było 8 duplikatów na 43 stronach. Najwyraźniej byłem dość leniwy, używając tego samego niskiego poziomu hasła na więcej niż kilku stronach.

Następny przystanek, sekcja Analizowane witryny. Tutaj znajdziesz bardzo konkretne rozbicie wszystkich logowań i haseł zorganizowanych przez duplikowanie haseł (jeśli masz duplikaty), unikalne hasła i wreszcie loginy bez hasła zapisanego w LastPass. Podczas przeglądania listy podziwiaj kontrast między mocami haseł. W moim przypadku jedno z moich logowań finansowych uzyskało 45% wyniku hasła, a login mojej córki Minecrafta otrzymał doskonały wynik 100%. Znowu, ouch.

Naprawienie swojego strasznego wyniku testu bezpieczeństwa

W wykazie audytu znajdują się dwa bardzo przydatne linki. Jeśli klikniesz "POKAŻ", pokaże ci on hasło do tej strony i jeśli klikniesz "Odwiedź stronę", możesz przejść bezpośrednio do strony internetowej, aby zmienić hasło. Nie tylko każde podwójne hasło powinno zostać zmienione, ale każde hasło dołączone do konta, które zostało naruszone (takie jak Adobe.com lub LinkedIn) powinno zostać na stałe wycofane.

W zależności od tego, ile masz kilku haseł (i jak pracowitego przestrzegasz zasad dobrych haseł), ten etap procesu może zająć ci dziesięć minut lub całe popołudnie. Chociaż proces zmiany haseł będzie się różnić w zależności od układu aktualizowanej witryny, poniżej znajdziesz kilka ogólnych wskazówek (na przykład korzystamy z naszej aktualizacji hasła w Zapamiętaj mleko): Odwiedź stronę zmiany hasła . Zazwyczaj musisz podać swoje obecne hasło, a następnie wygenerować nowe hasło.

Zrób to klikając na logo z zamkiem z okrągłym strzałką.LastPass wstawia się do nowego slotu hasła (jak widać na powyższym zrzucie ekranu). Przejrzyj swoje nowe hasło i dostosuj je, jeśli chcesz (np. Wydłużając je lub dodając znaki specjalne):

Kliknij "Użyj hasła", a następnie potwierdź, że chcesz zaktualizować wpis, który edytujesz:

Pamiętaj, aby potwierdzić zmianę również na stronie internetowej. Powtórz proces dla każdego duplikatu i słabego hasła w skarbcu LastPass.

Ostatnią rzeczą, którą musisz sprawdzić, jest hasło do hasła LastPass. Zrób to, klikając link na dole ekranu Wyzwania oznaczony "Sprawdź siłę mojego hasła LastPass Master". Jeśli tego nie widzisz:

Musisz zresetować hasło LastPass Master i zwiększyć siłę, aż otrzymasz pozytywne, pozytywne potwierdzenie 100% siły.

Przeglądanie wyników i dalsze wzmacnianie zabezpieczenia LastPass

Po przebiciu się przez listę duplikatów haseł, usunięciu starych wpisów oraz w inny sposób uporządkowaniu i zabezpieczeniu listy logowania / hasła, nadszedł czas na ponowne uruchomienie audytu. Teraz, dla podkreślenia, wynik, który widzisz poniżej, został podniesiony wyłącznie poprzez poprawę bezpieczeństwa haseł. (Jeśli włączysz dodatkowe funkcje bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe, otrzymasz zwiększenie o około 10%).

Nie jest zły! Po usunięciu wszystkich zduplikowanych haseł i podniesieniu wszystkich istniejących haseł do 90% lub więcej, naprawdę poprawiliśmy nasz wynik. Jeśli zastanawiasz się, dlaczego nie przeskoczył do 100%, jest kilka czynników, z których najważniejszym jest to, że niektóre hasła nie mogą zostać zaabsorbowane przez standardy LastPass, ze względu na głupie zasady stosowane przez administratorzy witryny. Na przykład hasło do mojej lokalnej biblioteki to czterocyfrowy kod PIN (który wynosi 4% w skali bezpieczeństwa LastPass). Większość ludzi będzie miała na liście takie wartości odstające, które spowodują spadek wyniku.

W takich przypadkach ważne jest, aby nie zniechęcać się i używać szczegółowego podziału jako metryki:

W procesie aktualizacji hasła usunąłem 17 powielonych / wygasłych witryn, utworzyłem unikatowe hasło dla każdej witryny i usługi oraz zmniejszyłem liczbę witryn z powielonymi hasłami z 43 do 0 w procesie.

Zajęło to tylko godzinę z mocno skoncentrowanym czasem (12,4% z nich spędził przeklinając projektantów stron internetowych, którzy umieszczali linki do aktualizacji haseł w miejscach niejasnych), a wszystko, co potrzebowałem, aby zmotywować mnie do naruszenia haseł o katastrofalnych proporcjach! Robię tu notatkę, ogromny sukces.

Po skontrolowaniu haseł i napompowaniu ich stabilnością unikatowych haseł, wykorzystajmy ten moment. Hit nasz przewodnik po tworzeniu LastPassparzysty bardziej bezpieczne dzięki zwiększaniu liczby powtórzeń haseł, ograniczaniu logowania według krajów i nie tylko. Pomiędzy prowadzeniem audytu, który tutaj nakreśliliśmy, postępując zgodnie z naszym przewodnikiem bezpieczeństwa LastPass i włączając algorytmy dwuczynnikowe, otrzymasz kuloodporny system zarządzania hasłami, z którego możesz być dumny.