Úvodná » ako » Ako spustiť bezpečnostný audit posledného prechodu (a prečo to nemôže čakať)

    Ako spustiť bezpečnostný audit posledného prechodu (a prečo to nemôže čakať)

    Ak praktikujete laxné spravovanie hesiel a hygienu, je to len otázka času, kým vám niekto nespája jedno z čoraz väčších početných bezpečnostných bremien. Prestaň byť vďačný, že ste sa vyhýbali minulým bezpečnostným poruchám a streľbe proti budúcim. Čítajte ďalej, pretože vám ukážeme, ako overiť svoje heslá a chrániť sa.

    Aký je veľký úrok a prečo sa to týka??

    V októbri tohto roku spoločnosť Adobe odhalila, že došlo k závažnému narušeniu bezpečnosti, ktoré postihlo 3 milióny používateľov softvéru Adobe.com a Adobe. Potom zrevidovali číslo na 38 miliónov. Potom, ešte viac šokujúco, keď bola z databázy z hackerov uniknutá, výskumníci v oblasti bezpečnosti, ktorí analyzovali databázu, sa vrátili a povedali, že je to skôr 150 miliónov ohrozených používateľských účtov. Tento stupeň vystavenia používateľov spôsobuje porušenie pravidiel Adobe v prevádzke ako jeden z najhorších narušení bezpečnosti v histórii.

    Avšak Adobe na tejto fronte nie je sám; jednoducho sme otvorili s ich porušením, pretože je to bolestivo nedávne. Len v posledných niekoľkých rokoch došlo k desiatkam obrovských bezpečnostných porušení, keď boli ohrozené informácie o používateľoch vrátane hesiel.

    LinkedIn bol zasiahnutý v roku 2012 (6,46 milióna užívateľských záznamov bolo ohrozených). V tom istom roku bola eHarmony zasiahnutá (1,5 milióna používateľských záznamov) ako aj Last.fm (6,5 milióna užívateľských záznamov) a Yahoo! (450 000 používateľských záznamov). Sieť Sony Playstation bola zasiahnutá v roku 2011 (101 miliónov používateľských záznamov bolo ohrozených). Spoločnosť Gawker Media (materská spoločnosť stránok ako Gizmodo a Lifehacker) bola zasiahnutá v roku 2010 (1,3 milióna užívateľských záznamov bolo ohrozených). A to sú len príklady veľkých narušení, ktoré priniesli správy!

    Spoločnosť Clearinghouse Privacy Rights udržiava databázu narušenia bezpečnosti od roku 2005 do súčasnosti. Ich databáza zahŕňa širokú škálu typov porušení: kompromisné kreditné karty, odcudzené čísla sociálneho poistenia, odcudzené heslá a zdravotné záznamy. Databáza sa od uverejnenia tohto článku skladá z 4 033 narušení obsahujúce 617,937,023 používateľských záznamov. Nie každý z týchto stoviek miliónov narušení zahŕňal používateľské heslá, ale milióny a milióny z nich robili.

    Tak prečo na tom záleží? Okrem zjavných a okamžitých bezpečnostných dôsledkov porušenia porušenia spôsobujú vedľajšie škody. Hackeri môžu okamžite začať testovať prihlasovacie údaje a heslá, ktoré zozbierajú na iných webových stránkach.

    Väčšina ľudí je lenivá svojimi heslami a existuje veľká šanca, že ak by niekto používal [email protected] s heslom bob1979, že rovnaký prihlasovací / heslo pár bude pracovať na iných webových stránkach. Ak sú tieto iné webové stránky s vyšším profilom (napríklad bankové stránky alebo ak heslo, ktoré používa spoločnosť Adobe, skutočne odomkne svoju e-mailovú schránku), je tu problém. Keď niekto má prístup do vašej e-mailovej schránky, môže začať obnoviť heslo na iných službách a získať prístup k nim.

    Jediný spôsob, ako zastaviť tento druh reťazovej reakcie spôsobiť ešte viac bezpečnostných problémov v rámci siete webových stránok a služieb, ktoré používate, je nasledovať dve základné pravidlá správnej hygieny hesiel:

    1. Heslo vášho e-mailu by malo byť dlhé, silné a úplne jedinečné medzi všetkými vašimi prihlasovacími údajmi.
    2. každý prihlásenie dostane dlhé, silné a jedinečné heslo. Nepoužívajte opakované používanie hesla. niekedy.

    Tieto dve pravidlá sú únikom z každého bezpečnostného sprievodcu, s ktorým sme sa s vami podelili, vrátane našej núdzovej príručky Ako sa obnoviť po vašom e-mailovom hesle je kompromisné.

    Teraz sa v tomto momente trochu skrížujete, pretože úprimne povedané, takmer niekto má dokonale vzduchotesné heslo a bezpečnostné postupy. Nie ste sám, ak chýba vaša hygiena hesiel. V skutočnosti je čas na priznanie.

    Napísal som desiatky bezpečnostných článkov, príspevkov o porušeniach bezpečnosti a ďalších príspevkov súvisiacich s heslom v priebehu rokov, počas ktorých som bol na stránke How-To Geek. Napriek tomu, že som presne ten druh informovanej osoby, ktorá by mala vedieť lepšie, napriek tomu, že používala správcu hesiel a generovala bezpečné heslá pre každú novú webovú stránku a službu, keď som spustil svoj e-mail prostredníctvom zoznamu ohrozených prihlasovacích údajov od spoločnosti Adobe a porovnával som ho s kompromitovaným heslom, stále som zistil, že som spálil.

    Urobil som tento účet Adobe už dávno, keď som bol omnoho viac laxný s mojou heslom, a heslo, ktoré som použil, bolo spoločné naprieč veľa webových stránok a služieb, s ktorými som sa prihlásil skôr, ako som sa dostal veľmi vážne na to, aby som vytvoril dobré heslá.

    To všetko bolo možné zabrániť, keby som plne praktizoval to, čo som kázal, a nie len vytvoriť jedinečné a silné heslá, ale tiež auditoval moje staré heslá, aby sa zaistila, že sa táto situácia nikdy nestala na prvom mieste. Či už ste sa ani nepokúšali, aby ste boli konzistentní a bezpeční svojimi praxami v oblasti hesiel, alebo stačí skontrolovať ich, aby ste sa utišili, dôkladný audit heslom je cesta k bezpečnosti heslom a pokoja. Čítajte ďalej, ako vám ukážeme, ako.

    Príprava na Vašu Lastpass Security Challenge

    Mohli by ste manuálne skontrolovať vaše heslá, ale to by bolo obrovské únavné a nemali by ste získať žiadne výhody z používania dobrého univerzálneho správcu hesiel. Namiesto toho, aby sme manuálne vykonali všetko, urobíme jednoduchú a veľmi automatizovanú trasu: budeme kontrolovať naše heslá tým, že prijmeme LastPass Security Challenge.

    Táto príručka nebude zahŕňať nastavenie programu LastPass, takže ak ešte nemáte systém LastPass, dôrazne odporúčame, aby ste si ho nastavili. Ak chcete začať, pozrite sa na Príručku HTG na začiatok programu LastPass. Napriek tomu, že program LastPass bol aktualizovaný od chvíle, keď sme napísali sprievodcu (rozhranie je oveľa hezšie a lepšie zjednodušené), stále môžete postupovať s krokmi. Ak nastavujete LastPass prvýkrát, nezabudnite importovať všetko vaše uložené heslá z vašich prehliadačov, pretože naším cieľom je overiť každé jednotlivé heslo, ktoré používate.

    Zadajte každé prihlasovacie meno a heslo do LastPass: Či už ste úplne nový na LastPass, alebo ho ste úplne nepoužívali pre každé prihlásenie, teraz je čas, aby ste sa uistili, že ste zadali každý prihlásenie do systému LastPass. Odporúčame vám, aby sme vám odpovedali na odporúčanie, ktoré sme vám poskytli v našom sprievodcovi pre obnovu e-mailov, ktorý vám umožní pripomenúť,

    Vyhľadajte svoju e-mailovú adresu pre pripomienky pri registrácii. Nebude ťažké si zapamätať svoje často používané prihlasovacie údaje, ako je Facebook a vaša banka, ale pravdepodobne sú tu desiatky výdavkových služieb, ktoré si ani nezabudnete, že používate svoj email na prihlásenie. Použite vyhľadávanie kľúčových slov ako "uvítanie", "reset", "obnovenie", "overiť", "heslo", "používateľské meno", "prihlásenie", "účet" , Znova vieme, že ide o problém, ale akonáhle to urobíte s manažérom hesiel na vašej strane, máte hlavný zoznam všetkých svojich účtov a nikdy nebudete musieť toto kľúčové slovo znova.

    Povolenie dvojfaktorovej autentifikácie na vašom účte LastPass: Tento krok nie je bezpodmienečne potrebný na vykonanie bezpečnostného auditu, ale keď budeme mať vašu pozornosť, budeme robiť všetko, čo je v našich silách, aby sme vás povzbudili, kým sa chystáte do svojho účtu LastPass, aby ste zapli dvojfaktorovú autentifikáciu ďalej zabezpečte vaňu LastPass. (Nielen, že sa zvýši bezpečnosť vášho účtu, ale aj vďaka skóre kontroly zabezpečenia sa zvýšite!)

    Vykonanie Challenge LastPass Security

    Teraz, keď ste importovali všetky svoje heslá, je čas, aby ste sa pripravili na hanbu toho, že ste nie sú v 1% ninjov s hardcore heslom. Navštívte stránku LastPass Security Challenge a stlačte "Spustiť výzvu" v spodnej časti stránky. Budete vyzvaní, aby ste zadali hlavné heslo, ako je vidieť na snímke obrazovky vyššie, a potom spoločnosť LastPass ponúkne skontrolovať, či niektorá z e-mailových adries obsiahnutých vo vašom trezore bola súčasťou porušenia, ktoré sledovala. Nie je dôvod na to, aby ste to nevyužili:

    Ak máte šťastie, vráti sa negatívne. Ak máte šťastie, získate takýto pop-up, s ktorým sa pýtate, či chcete získať viac informácií o porušeniach, ktoré váš e-mail obsahoval:

    LastPass vydá pre každú inštanciu jediné upozornenie na bezpečnosť. Ak ste už dlho mali svoju e-mailovú adresu, buďte pripravení na to, koľko prekročení hesiel bolo zamotané. Tu je príklad oznámenia o narušení hesla:

    Po vyskakovacích oknách sa dostanete do hlavného panelu programu LastPass Security Challenge. Pamätajte si skôr v sprievodcovi, keď som hovoril o tom, ako v súčasnosti praktizujem dobrú hygienu hesiel, ale že som sa nikdy nedostal okolo k správnej aktualizácii mnohých starších webových stránok a služieb? To naozaj ukazuje v skóre som dostal. Ouch:

    To je moje skóre s rokmi v hodnote náhodné heslá zmiešané palcov Nenechajte sa príliš šokovať, ak vaše skóre je ešte nižšie, ak ste používali rovnaké hŕstka slabých hesiel znova a znova. Teraz, keď máme svoje skóre (akokoľvek to je úžasné alebo hanebné, môže to byť), je načase kopať do údajov. Môžete použiť rýchle odkazy vedľa vášho percentuálneho skóre alebo len začať rolovanie. Prvá zastávka, poďme sa pozrieť na podrobné výsledky. Zvážte to 10 000 stôp prehľad stavu vašich hesiel:

    Zatiaľ čo by ste mali venovať pozornosť všetkým štatistikám, skutočne dôležité sú "Priemerná hodnota hesla", ako slabé alebo silné je vaše priemerné heslo, a ešte dôležitejšie je "Počet duplicitných hesiel" a "Počet stránok s duplicitnými heslami ". Pri príčinách môjho auditu bolo na 43 lokalitách 8 stránok. Samozrejme, že som bol dosť lenivý, že používam rovnako nízke heslo na viac ako niekoľkých miestach.

    Ďalšia zastávka, sekcia Analyzované lokality. Tu nájdete veľmi konkrétny rozpis všetkých prihlásení a hesiel usporiadaných duplicitným použitím hesla (ak ste mali duplikáty), unikátnymi heslami a nakoniec prihlásením bez hesla uloženého v LastPasse. Zatiaľ čo sa pozeráte nad zoznamom, obdivujte kontrast medzi silou hesla. V mojom prípade bolo jedno z mojich finančných prihlásení získané skóre 45% hesiel, zatiaľ čo prihlásenie mojej dcéry Minecraft dostalo perfektné 100% skóre. Opäť platí.

    Stanovenie vášho hrozného bezpečnostného skóre

    Existujú dva veľmi užitočné odkazy priamo do zoznamu auditov. Ak kliknete na položku "SHOW", zobrazí sa vám heslo pre danú lokalitu a kliknutím na tlačidlo "Navštíviť stránku" môžete preskočiť priamo na webovú stránku, aby ste mohli zmeniť heslo. Nielenže by malo dôjsť k zmene každého duplicitného hesla, ale každé heslo, ktoré bolo priradené k účtu, ktorý bol porušený (napríklad Adobe.com alebo LinkedIn), by mal byť trvalo vyradený.

    V závislosti od toho, koľko alebo málo hesiel máte (a ako dôkladne ste sa zaoberali správnou praxou v oblasti hesiel), tento krok procesu môže trvať desať minút alebo celé popoludnie. Hoci proces zmeny hesla sa bude líšiť v závislosti od rozloženia stránok, ktoré aktualizujete, je tu niekoľko všeobecných pravidiel, ktoré je potrebné dodržiavať (používame aktualizáciu hesla v časti Pamätať si mlieko ako príklad): Navštívte stránku na zmenu hesla , Obvykle bude potrebné zadať vaše aktuálne heslo a potom vygenerovať nové heslo.

    Urobte tak kliknutím na logo s kruhovou šípkou. LastPass sa vloží do nového slotu na heslo (ako je vidieť na snímke obrazovky vyššie). Pozrite sa na nové heslo a vykonajte úpravy, ak si želáte (napríklad predĺženie alebo pridanie špeciálnych znakov):

    Kliknite na tlačidlo "Použiť heslo" a potvrďte, že chcete aktualizovať záznam, ktorý upravujete:

    Nezabudnite potvrdiť zmenu aj na webových stránkach. Opakujte proces pre každé duplicitné a slabé heslo v vačke LastPass.

    Napokon posledná vec, ktorú potrebujete na audit, je vaše LastPass Master Password. Urobte tak kliknutím na odkaz v spodnej časti obrazovky Challenge s označením "Vyskúšajte silu môjho LastPass Master Password". Ak to nevidíte:

    Musíte obnoviť svoje LastPass Master Password a zvýšiť silu, kým nedostanete príjemné, pozitívne 100% potvrdenie o sile.

    Preskúmanie výsledkov a ďalšie zvýšenie bezpečnosti LastPass

    Po prechode cez zoznam duplicitných hesiel, odstránení starých položiek a inak upratovanie a zabezpečenie vášho zoznamu prihlásení / hesiel, je čas znovu spustiť audit. Teraz, na dôraz, skóre, ktoré vidíte nižšie, bolo vychované iba zlepšením zabezpečenia hesla. (Ak povolíte ďalšie bezpečnostné funkcie, napríklad multifaktorové overovanie, dostanete zvýšenie o približne 10%).

    Nie zlé! Po odstránení všetkých duplicitných hesiel a privedení všetkých existujúcich hesiel až o 90% alebo viac, skutočne zlepšilo naše skóre. Ak ste zvedaví, prečo sa nezvýšil na 100%, existuje niekoľko faktorov, z ktorých najdôležitejšie je, že niektoré heslá nikdy nemôžu byť vyvedené do šnúrky podľa noriem LastPass kvôli hlúpej politike, ktorú zaviedli správcovia stránok. Meno prihlasovacieho hesla mojej miestnej knižnice je napríklad štvormiestny kolík (ktorý dosahuje 4% v stupnici bezpečnosti LastPass). Väčšina ľudí bude mať na svojom zozname nejaké oddiely, ktoré ich prenesú do skóre.

    V takýchto prípadoch je dôležité, aby ste sa neodrádzali a aby ste použili podrobný rozpis ako metrika:

    V procese aktualizácie hesla som prerezal 17 lokalít s duplikátom / vypršal, vytvoril som jedinečné heslo pre každú stránku a službu a priniesol počet stránok s duplicitnými heslami zo 43 na 0 v procese.

    Trvalo to len asi hodinu vážne zameraného času (12,4% z nich bolo stráviť prekliatím dizajnérov webových stránok, ktorí vložili odkazy na aktualizáciu hesiel na temných miestach) a všetko, čo bolo potrebné, aby som sa dostal do mojej motivácie, bolo porušenie hesla katastrofických rozmerov! Tu poznám poznámku, obrovský úspech.


    Teraz, keď ste skontrolovali vaše heslá a ste vyčerpaní, že ste mali stabilné unikátne heslá, využite túto výhodu. Stlačte náš sprievodca pre vytvorenie LastPassu i bezpečnejšie tým, že zvyšujú počet opakovaní hesiel, obmedzujú prihlasovacie údaje podľa krajín a ďalšie. Medzi spustením auditu, ktorý sme tu načrtli, po našom bezpečnostnom sprievodcovi LastPass a zapnutím dvojfaktorových algoritmov, budete mať systém na ochranu pred nepriateľmi, ktorý si môžete byť pyšní.