Ако практикувате лошо управление на паролата и хигиена, това е само въпрос на време, докато някой от все по-многобройните големи нарушения на сигурността ви изгори. Спрете да бъдете благодарни, че избягахте от предишните куршуми за охрана и стените си срещу бъдещите. Прочетете, докато ви показваме как да проверявате паролите си и да се защитите.
През октомври тази година, Adobe разкри, че е имало сериозен провал в сигурността, който засяга 3 милиона потребители на Adobe.com и Adobe. Тогава те преразгледаха броя на 38 милиона. След това, още по-шокиращо, когато базата данни от хак бе изтекла, изследователите по сигурността, които анализираха базата данни, се върнаха и казаха, че е по-скоро 150 милиона компрометирани потребителски акаунти. Тази степен на потребителска експозиция поставя нарушението на Adobe в бягането като едно от най-лошите нарушения на сигурността в историята.
Adobe обаче едва ли е сам на този фронт; ние просто отворихме с пробив, защото е болезнено наскоро. Само през последните няколко години имаше десетки масови нарушения на сигурността, при които потребителската информация, включително паролите, бяха компрометирани.
LinkedIn беше ударен през 2012 г. (6,46 милиона потребителски записа са компрометирани). През същата година eHarmony беше ударен (1,5 милиона потребителски записи), както и Last.fm (6,5 милиона потребителски записи) и Yahoo! (450 000 потребителски записи). Мрежата на Sony Playstation бе засегната през 2011 г. (101 милиона потребители са компрометирани). Gawker Media (компанията-майка на сайтове като Gizmodo и Lifehacker) беше засегната през 2010 г. (1,3 милиона потребители са компрометирани). И това са само примери за големи нарушения, които направиха новината!
Службата за защита на личните данни поддържа база данни за нарушения на сигурността от 2005 г. до сега. Тяхната база данни включва широк спектър от видове нарушения: компрометирани кредитни карти, откраднати номера на социални осигуровки, откраднати пароли и медицински досиета. Базата данни, от публикуването на тази статия, се състои от 4,033 нарушения съдържащ 617,937,023 потребителски записи, Не всяка една от тези стотици милиони нарушения включваше потребителски пароли, но милиони и милиони от тях направиха.
Защо има значение? Освен очевидните и непосредствени последици от нарушението на сигурността, нарушенията създават съпътстващи щети. Хакерите могат веднага да започнат да тестват влизанията и паролите, които събират на други уеб сайтове.
Повечето хора са мързеливи с паролите си и има шанс, че ако някой използва [email protected] с паролата bob1979, същата двойка влизане / парола ще работи на други уеб сайтове. Ако тези други сайтове са с по-висок профил (като например банкови сайтове или ако паролата, която използва при Adobe, всъщност отключва пощенската си кутия), тогава има проблем. След като някой има достъп до входящата ви поща, те могат да започнат да нулират паролата си на други услуги и да получат достъп до тях.
Единственият начин да спрете този вид верижна реакция да причини още повече проблеми със сигурността в мрежата от уеб сайтове и услуги, които използвате, е да следвате две основни правила за добра хигиена на паролите:
Тези две правила са отнемане на всяко ръководство за сигурност, което някога сме споделили с вас, включително нашето спешно ръководство за това как да се възстанови след вашата имейл парола е компрометирана.
Сега на този етап, вероятно сте се размърда малко, защото, честно казано, едва ли някой има перфектно херметична парола практики и сигурност. Не сте сами, ако липсва вашата хигиена на паролите. Всъщност е време за изповед.
Аз писах десетки статии за сигурността, публикации за нарушения на сигурността и други свързани с парола публикации през годините, в които съм бил в "Как да". Въпреки че е точно такъв вид информиран човек, който трябва да знае по-добре, въпреки че използва парола и генерира сигурни пароли за всеки нов уебсайт и услуга, когато пуснах имейла си чрез списъка с компрометирани влизания в Adobe и го съвпаднах с компрометираната парола, аз все още разбрах, че бях изгорен.
Направих тази сметка в Adobe отдавна, когато бях значително по-слаб с хигиената на паролата си, а паролата, която използвах, беше често срещана десетки на уеб сайтове и услуги, с които бях се регистрирал, преди да стана супер сериозен за създаването на добри пароли.
Всичко това би могло да бъде предотвратено, ако бях упражнявал напълно това, което проповядвах, а не просто създадох уникални и силни пароли, но също одитирани старите ми пароли, за да се гарантира, че това положение никога не се е случило на първо място. Независимо дали никога не сте се опитвали да сте последователни и сигурни с практиките си за парола или просто трябва да ги проверите, за да се облекчите, задълбочен одит на паролите е пътят към сигурността на паролите и спокойствието. Прочетете, докато ви показваме как.
Можете ръчно да проверявате паролите си, но това би било доста досадно и няма да спечелите никакви ползи от използването на добър универсален администратор на пароли. Вместо да проверяваме всичко ръчно, ще вземем лесния и до голяма степен автоматизиран маршрут: ще проверим паролите си, като вземем последното предизвикателство за сигурност.
Това ръководство няма да покрие настройването на LastPass, така че ако нямате вече инсталирана система LastPass, силно ви препоръчваме да я настроите. Разгледайте ръководството на HTG за започване на работа с LastPass, за да започнете.Въпреки че LastPass се актуализира от момента на написването на ръководството (интерфейсът е много по-хубав и по-добре рационализиран сега), лесно можете да следвате стъпките. Ако настройвате LastPass за първи път, уверете се, че сте импортираливсичко съхраняваните от паролите ви пароли, тъй като целта ни е да проверяваме всяка използвана от вас парола.
Въведете всяко влизане и парола в LastPass:Независимо дали сте съвсем нови за LastPass или не сте го използвали напълно за всяко влизане, сега е времето да се уверите, че сте въвеливсеки влезте в системата LastPass. Ще отразим съветите, които дадехме в нашето ръководство за възстановяване на имейли, за да смените електронната си поща за напомняния:
Претърсете имейла си за напомняния за регистрация.Няма да е трудно да си спомните често използваните ви влизания като Facebook и вашата банка, но вероятно има десетки услуги, които може да не забравите, че използвате имейла си, за да влезете. Използвайте търсения на ключови думи като "добре дошли", "нулиране", "възстановяване", "проверка", "парола", "потребителско име", "вход", "профил" и комбинации като " , Отново знаем, че това е катастрофа, но след като сте го направили с мениджър на пароли на ваша страна, имате основен списък на целия си профил и никога няма да ви се налага да го направите отново.
Активирайте удостоверяване с две фактори в профила си в LastPass: Тази стъпка не е абсолютно необходима за извършване на одита на сигурността, но докато имаме вашето внимание, ние ще направим всичко възможно, за да ви насърчим, докато сте нащърбени във вашия акаунт LastPass, за да включите двуфакторното удостоверяване освен това да защитите вашето бистро LastPass. (Не само увеличава сигурността на профила ви, но и ще увеличите резултата от одита за сигурност!)
Сега, след като сте импортирали всичките си пароли, е време да се подсигурите за срама, че не сте в 1% от хардкор нинджи за сигурност на паролите. Посетете страницата LastPass Security Challenge и натиснете "Стартиране на предизвикателството" в долната част на страницата. Ще бъдете подканени да въведете главната си парола, както е показано в екранната снимка по-горе, след което LastPass ще ви предложи да проверите дали някой от имейл адресите, съдържащи се в трезора ви, е част от нарушенията, които е проследила. Няма основание да не се възползвате от това:
Ако имате късмет, той се връща отрицателен. Ако имате късмет, получавате изскачащ прозорец като този с въпрос дали искате повече информация за нарушенията, в които е участвал вашият имейл:
LastPass ще издаде един сигнал за сигурност за всеки случай. Ако сте имали вашият имейл адрес за дълго време, бъдете готови да бъдете шокирани от това колко нарушения на паролата са били заплетени. Ето един пример за известие за нарушаване на паролата:
След изскачащите прозорци ще бъдете изхвърлени в основния панел на LastPass Security Challenge. Помнете по-рано в ръководството, когато говорех за това как в момента практикувам добра хигиена на паролата, но никога не съм успял да актуализирам доста по-стари уеб сайтове и услуги? Това наистина показва в резултата, който получих. Ох:
Това е моят резултат с години, на стойност случайни пароли смесени инча Не бъди твърде шокиран, ако резултатът ви е още по-ниска, ако сте били използвали една и съща шепа слаби пароли отново и отново. Сега, когато имаме нашия резултат (колкото и да е страхотно или срамно да е), е време да се впуснете в данните. Можете да използвате бързите връзки до процента си или просто да започнете да превъртате. Първа спирка, нека разгледаме подробните резултати. Помислете за това с 10 000 крачка общ преглед на състоянието на вашите пароли:
Макар че трябва да обърнете внимание на всички статистически данни тук, наистина важните са "средната сила на паролата", колко слаба или силна е вашата средна парола и още по-важно е "Брой дублирани пароли" и "Брой сайтове, които имат дублирани пароли ". При причината за моя одит имаше 8 души в 43 сайта. Явно бях доста мързелив, използвайки същата ниска парола на повече от няколко сайта.
Следващата спирка, раздела "Анализирани сайтове". Тук ще откриете много конкретна разбивка на всичките ви входни данни и пароли, организирани от дублиране на паролата (ако сте имали дубликати), уникални пароли и накрая влизания без парола, съхранявана в LastPass. Докато разглеждате списъка, се чудете контраста между силата на паролата. В моя случай, един от моите финансови записи получи 45% парола, докато моята дъщеря Minecraft вход беше даден перфектен 100% резултат. Отново, ох.
Има две много полезни връзки, изградени точно в одиторските списъци. Ако кликнете върху "SHOW", тя ще ви покаже паролата за този сайт и ако кликнете върху "Посетете сайта", можете да отидете направо в уеб сайта, за да можете да промените паролата. Не само трябва да се променя всяка дублираща се парола, но паролата, която е била прикрепена към нарушен акаунт (като Adobe.com или LinkedIn), трябва да бъде окончателно оттеглена.
В зависимост от броя или малкото пароли, които имате (и колко усърдни сте били относно добрите практики за пароли), тази стъпка в процеса може да ви отнеме десет минути или целия следобед. Въпреки че процесът на промяна на паролите ви ще варира в зависимост от оформлението на сайта, който актуализирате, ето някои общи указания, които трябва да спазвате (използваме нашата актуализация на паролата в "Запомнете млякото" като пример): Посетете страницата за промяна на паролата , Обикновено ще трябва да въведете текущата си парола и след това да генерирате нова парола.
Направете това, като кликнете върху логото със заключване с кръгова стрелка.LastPass се вмъква в слота за нова парола (както е показано на екрана по-горе). Погледнете новата си парола и направете корекции, ако желаете (като удължаване или добавяне със специални знаци):
Кликнете върху "Използване на парола" и след това потвърдете, че искате да актуализирате данните, които редактирате:
Не забравяйте да потвърдите промяната и с уебсайта. Повторете процеса за всяка дублирана и слаба парола във вашето LastPass хранилище.
И накрая, последното нещо, което трябва да проверите, е вашата LastPass Master Password. Направете така, като кликнете върху връзката в долната част на екрана на Challenge, озаглавена "Изпробвайте силата на моята LastPass главна парола". Ако не виждате това:
Трябва да възстановите основната си парола за LastPass и да увеличите силата, докато не получите хубаво, положително потвърждение от 100%.
След като сте заложили в списъка с дублиращи се пароли, сте изтрили стари записи и по друг начин сте оправили и сте защитени вашия списък за вход / парола, е време отново да извършите одита. Сега, за ударение, резултатът, който виждате по-долу, е възпроизведен единствено чрез подобряване на сигурността на паролите. (Ако активирате допълнителни функции за сигурност, като многофакторно удостоверяване, ще получите тласък от около 10%).
Не е зле! След премахването на всяка дублираща се парола и привеждане на всички съществуващи пароли до 90% или повече, то наистина подобри резултата. Ако сте любопитни защо не скочи до 100%, има няколко фактора, най-важното от които е, че някои пароли никога не могат да бъдат възстановени, за да се преодолеят от стандартите на LastPass, поради наличието на глупави политики на място администратори на сайта. Например, паролата за вход в местната библиотека е четирицифрена щифт (който има 4% от скалата за сигурност LastPass). Повечето хора ще имат някакви отрицателни резултати като тези в списъка си и това ще привлече резултата им.
В такива случаи е важно да не се обезкуражавате и да използвате подробната си разбивка като показател:
В процеса на актуализиране на паролата аз срязах 17 дублирани / изтекли сайтове, създадох уникална парола за всеки сайт и услуга и доведох до броя на сайтовете с дублирани пароли от 43 на 0 в процеса.
Това отне само около един час сериозно фокусирано време (12,4% от които бяха изразходвани проклетите дизайнери на уеб сайтове, които поставиха връзки за обновяване на паролите в неизвестни места) и всичко, което ми беше нужно, за да ме мотивира, беше нарушение на паролата на катастрофални пропорции! Аз правя бележка тук, огромен успех.
Сега, след като одитирахте паролите си и сте изпомпвани от наличието на уникални пароли, нека се възползваме от този напредък. Натиснете нашия наръчник за правене на LastPassдори по-сигурни чрез увеличаване на повторенията на паролите, ограничаване на влизанията по държави и др. Между провеждането на одита, който очертахме тук, следвайки наръчника ни за сигурност на LastPass и включването на двуфакторни алгоритми, ще имате система за управление на паролите, която можете да се гордеете.