Mi a Big Deal és miért van ez a kérdés?
Az idén októberben az Adobe felfedte, hogy jelentős biztonsági hiba történt, amely az Adobe.com és Adobe szoftverek 3 millió felhasználóját érintette. Ezután a számot 38 millióra módosították. Aztán még sokkolóbb módon, amikor a hack adatbázisából kiszivárgott, az adatbázis elemzését végző biztonsági kutatók visszajöttek, és azt mondták, 150 millió veszélyeztetett felhasználói fiókok. Ez a felhasználói beavatkozás mértéke miatt az Adobe sérti a futást, mint a történelem egyik legrosszabb biztonsági sérelmét.
Az Adobe azonban alig van egyedül ezen a fronton; egyszerűen megnyitottuk a jogsértést, mert fájdalmasan új keletű. Az elmúlt néhány évben több tucatnyi hatalmas biztonsági sérülést szenvedtek el, ahol a felhasználói adatok, beleértve a jelszavakat is veszélyeztették.
A LinkedIn-t 2012-ben sújtotta (6,46 millió felhasználói rekord veszélybe került). Ugyanebben az évben az eHarmony (1.5 millió felhasználói rekord) találat volt, a Last.fm (6.5 millió felhasználói rekord) és a Yahoo! (450 000 felhasználói rekord). 2011-ben a Sony Playstation Network-t sújtotta (101 millió felhasználói rekord veszélybe került). A Gawker Media (az olyan helyek anyavállalata, mint a Gizmodo és a Lifehacker) 2010-ben érte el (1,3 millió felhasználói rekord sérült). És ezek csak példák a nagy sérelmekre, amelyek miatt a hír!
A Privacy Rights Clearinghouse 2005-től napjainkig biztonsági adatbázist tart fenn. Adatbázisuk széles körű jogsértéstípusokat tartalmaz: kártékony hitelkártyák, lopott társadalombiztosítási számok, ellopott jelszavak és orvosi feljegyzések. Az adatbázis, e cikk közzétételétől kezdve, tartalmaz 4,033 megsértés tartalmazó 617,937,023 felhasználói adat. Nem mindegyik több százmillió jogsértésből állt a felhasználói jelszavak, de milliók millióit.
Tehát miért számít? A jogsértés nyilvánvaló és azonnali biztonsági vonatkozásain kívül a jogsértések kárt okoznak. A hackerek azonnal elkezdhetik tesztelni azokat a bejelentkezéseket és jelszavakat, amelyeket más webhelyeken betakarítanak.
A legtöbb ember lusta a jelszavával, és jó esély van arra, hogy ha valaki a [email protected] címet használja a bob1979 jelszóval, akkor ugyanaz a bejelentkezési / jelszópár más webhelyeknél is működni fog. Ha ezek a webhelyek magasabb profilúak (pl. Banki oldalak, vagy ha az Adobe által használt jelszó valóban feloldja e-mail postafiókját), akkor van probléma. Miután valaki hozzáférést kapott az e-mail üzenetekhez, elkezdheti a jelszó helyreállítását más szolgáltatásokban, és hozzájuthat hozzájuk.
Az egyetlen módja annak, hogy ezt a láncreakciót megakadályozzuk, hogy még több biztonsági problémát okozzon a weboldalak és az Ön által használt szolgáltatások hálózatában, kövesse két jó jelszavas higiénia alapját:
- Az e-mail jelszavának hosszúnak, erősnek és teljesen egyedinek kell lennie az összes bejelentkezésben.
- Minden A bejelentkezés hosszú, erős és egyedi jelszót eredményez. Nincs jelszó újbóli felhasználása. Valaha.
Ez a két szabály minden olyan biztonsági útmutató elszállása, amelyet valaha is megosztottunk veled, beleértve a vészhelyzeti útmutatót is, hogy megtalálja a visszaszerzést miután az e-mail jelszó kompromisszumot kapott.
Most ezen a ponton valószínűleg kicsit rángatsz, mert őszintén szólva szinte senki sem rendelkezik tökéletesen légmentes jelszóval és biztonsággal. Nem vagy egyedül, ha hiányzik a jelszavas higiénia. Valójában itt az ideje a vallomásnak.
Több tucat biztonsági cikket írtam, a biztonsági sérelmekről szóló hozzászólásokat és egyéb jelszavas bejegyzéseket írtam a How-To Geek évek során. Annak ellenére, hogy éppen olyan informált személy, aki jobban meg kellene ismernie a jelszókezelőt, és biztonságos jelszavakat kellett létrehoznia minden új weboldal és szolgáltatás számára, mikor az e-maileket a kompromittált Adobe bejelentkezési listáján keresztül rendeztem, és megfeleltem a feltört jelszóval szemben. még mindig kiderült, hogy égettem.
Régóta csináltam ezt az Adobe-fiókot, amikor a jelszavas higiéniai szempontból sokkal lazább voltam, és az általam használt jelszó általános volt Több tucat a weboldalakat és szolgáltatásokat, amelyeket feliratkoztam, mielőtt szuper komolyan vettem volna a jó jelszavakat.
Mindezt meg lehetett volna akadályozni, ha teljesen gyakorolhattam azt, amit prédikáltam, és nem csak egyedi és erős jelszavakat hoztam létre, hanem is ellenőrzött régi jelszavamat, hogy ez a helyzet soha nem történt meg először. Akár soha nem is próbálta konzisztens és biztonságos a jelszóval kapcsolatos gyakorlataival, vagy egyszerűen csak ellenőriznie kell őket, hogy könnyű legyen, alapos jelszavas ellenőrzés a jelszavas biztonság és a nyugalom útja. Olvass tovább, ahogy megmutatom, hogyan.
Felkészülés a legutóbbi biztonsági kihívásra
Ez az útmutató nem foglalkozik a LastPass beállításával, így ha még nem rendelkezik LastPass rendszerrel, akkor javasoljuk, hogy állítson be egyet. Tekintse meg a HTTP Útmutató a LastPass használatának megkezdéséhez. Bár a LastPass frissítette az útmutatót (az interfész sokkal szebb és jobb áramvonalas), még mindig könnyedén követheti a lépéseket. Ha először állítja be a LastPass-ot, győződjön meg róla, hogy importálminden a tárolt jelszavakat a böngészőktől, mivel a célunk az, hogy ellenőrizzük minden egyes használt jelszavát.
Adja meg a bejelentkezéshez és a jelszóhoz a LastPass-ot:Függetlenül attól, hogy teljesen új vagy a LastPass-ra, vagy nem használta teljes mértékben minden bejelentkezéshez, itt az ideje annak meggyőződniminden jelentkezzen be a LastPass rendszerbe. Meg fogjuk ismételni az e-mail-helyreállítási útmutatóban megadott tanácsokat az e-mail üzenetek befűzéséhez az emlékeztetők számára:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Kétfaktoros hitelesítés engedélyezése a LastPass-fiókodon: Ez a lépés nem feltétlenül szükséges a biztonsági ellenőrzés elvégzéséhez, de mihelyt figyeljük magunkat, mindent megteszünk, hogy ösztönözzük Önt, miközben a LastPass-fiókodban roppant, hogy bekapcsolja a kétütemű hitelesítést tovább védi LastPass boltozatát. (Nemcsak növeli fiókja biztonságát, hanem a biztonsági ellenőrzési ponton is lendületet kap!)
A LastPass Security Challenge megvitatása
A LastPass egyetlen biztonsági riasztást ad ki minden egyes példányhoz. Ha régóta rendelkezel az e-mail címed, készen állsz arra, hogy megdöbbentse, hogy hány jelszót szenvedett el. A következő példa egy jelszóval kapcsolatos figyelmeztetésről:
Következő megálló, az Elemzett webhelyek rész. Itt találsz egy nagyon konkrét lebontást minden bejelentkezésedről és jelszavadról, amelyet kettős jelszavas használat (ha vannak másolatok), egyedi jelszavakat, végül a LastPass-ban tárolt jelszó nélküli bejelentkezéseket. Amíg a listán átnézed, csodálkozz a jelszó erősségei között. Az én esetemben az egyik pénzügyi bejelentkezésemhez 45% -os jelszó pontszámot kaptam, míg a lányom Minecraft bejelentkezési adata tökéletes 100% -os pontszámot kapott. Ismét.
A szörnyű biztonsági kihívás pontszámának rögzítése
Attól függően, hogy hány vagy annál kevesebb jelszó van (és mennyire szorgalmasak a jó jelszóval kapcsolatos gyakorlatokról), ez a lépés akár tíz percet is igénybe vehet, akár egész délután. Bár a jelszavak megváltoztatásának folyamata a frissített webhely elrendezésének függvényében változik, itt van néhány általános iránymutatás (a jelszavas frissítést a Remember the Milk példán keresztül használjuk): Látogasson el a jelszóváltási oldalra. Általában meg kell adnia az aktuális jelszavát, majd új jelszót kell generálnia.
Győződjön meg róla, hogy a változást megerősíti a weboldalon is. Ismételje meg a folyamatot minden egyes ismétlődő és gyenge jelszóért a LastPass boltozatában.
Végül az utolsó, amit ellenőrizni kell a LastPass Master Password. Ehhez kattintson a Kihívás képernyő alján található linkre, melynek címe: "A LastPass Master Password erőssége". Ha nem látja ezt:
Az eredmények elemzése és a LastPass Security továbbfejlesztése
Miután elhúzta az ismétlődő jelszavak listáját, törölte a régi bejegyzéseket, és egyébként letöltötte és rögzítette bejelentkezési / jelszó-listáját, itt az ideje, hogy ismét futtassa az ellenőrzést. Most, hangsúlyozva, az alábbiakban látható pontszám csak a jelszavas védelem javításával jött létre. (Ha további biztonsági szolgáltatásokat engedélyez, például a többfunkciós hitelesítést, akkor körülbelül 10% -os emelést kap).
Ilyen esetekben fontos, hogy ne szenvedjenek eleget, és a részletes részletezést metrika formájában használhassa:
Mindössze egy órányi, komolyan összpontosított időnek volt kitéve (12,4% -át olyan webes tervezők káromkodásával költötték, akik homályos helyeken jelszóval frissítik a linkeket), és mindaz, ami motivált lett volna, a katasztrofális arányok jelszavas megsértése volt. Itt jegyzetelek, óriási sikert.
Most, hogy ellenőrizted a jelszavadat, és szivattyúztál, hogy stabil az egyedi jelszavak, használjuk ki ezt a lendületet. Legyél fel útmutatót a LastPass elkészítéséhezmég biztonságosabb a jelszó-iterációk növelésével, a bejelentkezések korlátozásával országonként és így tovább. Az általunk vázolt ellenőrzések között, a LastPass biztonsági útmutatója alapján, és a kétfaktoros algoritmusok bekapcsolásával egy golyóálló jelszókezelő rendszerrel büszkélkedhet.