Last Pass -turvallisuustarkastuksen suorittaminen (ja miksi se ei voi odottaa)
Jos käytät lohkoa salasanan hallintaa ja hygieniaa, se on vain ajan kysymys, kunnes yksi yhä useammista laajamittaisista tietoturvaloukkauksista polttaa sinut. Älä enää ole kiitollisia, kun ohitit aiemmat turvallisuusrikkomerkit ja panssarit itseäsi tulevia vastaan. Lue, kun näytämme, miten voit tarkistaa salasanasi ja suojata itseäsi.
Mikä Big Deal ja miksi tämä asia on?
Tämän vuoden lokakuussa Adobe paljasti, että oli tapahtunut suuri turvallisuusrikkomus, joka vaikutti 3 miljoonaan Adobe.com- ja Adobe-ohjelmiston käyttäjään. Sitten he tarkistivat numeron 38 miljoonaan. Sitten vieläkin järkyttävämmin, kun tietokannasta hakattiin, tietokannan analysoivat tietoturvatutkijat tulivat takaisin ja sanoivat, että se on enemmän kuin 150 miljoonaa euroa käyttäjätunnuksia. Tämä käyttäjäaltistuksen aste asettaa Adobe-rikkomuksen käynnissä yhdeksi historian pahimmista turvallisuusrikkomuksista.
Adobe on tuskin yksin tässä asiassa; avasimme yksinkertaisesti niiden rikkomisen vuoksi, koska se on tuskallisesti tuore. Pelkästään viime vuosina on ollut kymmeniä massiivisia turvallisuusrikkomuksia, joissa käyttäjätietoja, myös salasanoja, on vaarannettu.
LinkedIn osui vuonna 2012 (6,46 miljoonaa käyttäjätietoa vaarantui). Samana vuonna eHarmony osui (1,5 miljoonaa käyttäjätietoa) kuten Last.fm (6,5 miljoonaa käyttäjätietoa) ja Yahoo! (450 000 käyttäjätietoa). Sony Playstation Network osui vuonna 2011 (101 miljoonaa käyttäjätietoa vaarantui). Gawker Media (Gizmodon ja Lifehackerin kaltaisten sivustojen emoyhtiö) osui vuonna 2010 (1,3 miljoonaa käyttäjätietoa vaarantui). Nämä ovat vain esimerkkejä suurista rikkomuksista, jotka tekivät uutisia!
Privacy Rights Clearinghouse ylläpitää tietokannan tietoturvaloukkauksista vuodesta 2005 nykyiseen. Niiden tietokanta sisältää laajan valikoiman rikkomustyyppejä: vaarantuneet luottokortit, varastetut sosiaaliturvatunnukset, varastetut salasanat ja lääketieteelliset tiedot. Tietokanta koostuu tämän artikkelin julkaisemisesta alkaen 4,033 rikkomusta sisältävät 617 937 023 käyttäjän kirjaa. Ei jokainen niistä sadoista miljoonista rikkomuksista sisälsi käyttäjän salasanoja, mutta miljoonat miljoonat heistä tekivät.
Miksi se merkitsee? Rikkomuksen ilmeisten ja välittömien turvallisuusvaikutusten lisäksi rikkomukset aiheuttavat vakavia vahinkoja. Hakkerit voivat heti aloittaa muiden verkkosivustojen keräämien kirjautumisten ja salasanojen testaamisen.
Useimmat ihmiset ovat laiskoja salasanojensa kanssa, ja on hyvä mahdollisuus, että jos joku käyttää [email protected] salasanalla bob1979, sama kirjautumistunnus / salasana toimii muilla verkkosivuilla. Jos nämä muut sivustot ovat korkeammalla profiililla (kuten pankkisivustoilla tai jos salasana, jota hän käytti Adobeissa, avaa sähköpostiviestinsä), on ongelma. Kun joku on saanut sähköpostiosoitteesi käyttöönsä, he voivat aloittaa salasanan palauttamisen muihin palveluihin ja saada ne myös käyttöönsä.
Ainoa tapa pysäyttää tällainen ketjureaktio aiheuttaa vieläkin suurempia turvallisuusongelmia verkkosivustojen ja palveluiden verkossa on noudattaa kahta hyvän salasanahygienian perussääntöä:
- Sähköpostisalasanasi tulisi olla pitkä, vahva ja täysin yksilöllinen kaikkien kirjautumiesi joukossa.
- Joka kirjautumisella on pitkä, vahva ja yksilöllinen salasana. Ei salasanan uudelleenkäyttöä. Koskaan.
Nämä kaksi sääntöä ovat takaisinotto jokaisesta turvallisuusoppaasta, jota olemme koskaan jakaneet kanssasi, mukaan lukien hätätilanteemme, joilla on hätätilanne. Miten palauttaa sähköpostiosoitteesi salasanan jälkeen.
Nyt tässä vaiheessa olet todennäköisesti hämmentynyt hieman, koska rehellisesti sanottuna tuskin kenelläkään on täysin ilmatiiviitä salasanoja ja turvallisuutta. Et ole yksin, jos salasanahygieniasi puuttuu. Itse asiassa on aika tunnustukselle.
Olen kirjoittanut kymmeniä tietoturva-artikkeleita, viestejä tietoturvaloukkauksista ja muista salasanaan liittyvistä tehtävistä vuosien varrella, jonka olen ollut How-To Geekissa. Huolimatta siitä, että hän on juuri sellainen tietoinen henkilö, jonka pitäisi tietää paremmin, vaikka käytät salasanahallinta ja luodaan suojattuja salasanoja jokaiselle uudelle verkkosivustolle ja palvelulle, kun käytin sähköpostiviestiä vaarantuneiden Adobe-kirjautumisten luettelon kautta ja sovitin sen vaarantuneeseen salasanaan. vielä selvisi, että olen saanut polttaa.
Tein tämän Adoben tilin jo kauan sitten, kun olin merkittävästi löysempi salasanahygienian kanssa, ja käytin salasanani tavalliseen tapaan kymmeniä Web-sivustojen ja palveluiden, jotka olin allekirjoittanut ennen kuin sain erittäin vakavia tietoja hyvien salasanojen tekemisestä.
Kaikki tämä olisi voitu estää, jos käytän täysin sitä, mitä saarnoin, eikä vain luonut ainutlaatuisia ja vahvoja salasanoja myös Tarkistin vanhoja salasanojani varmistaakseni, että tämä tilanne ei koskaan tapahtunut ensiksi. Onko et ole koskaan edes yrittänyt olla johdonmukainen ja turvallinen salasanan käytäntöjen kanssa tai sinun tarvitsee vain tarkistaa ne, jotta saat itsellesi itsesi, perusteellinen salasanan tarkastus on polku salasanan turvallisuuteen ja mielenrauhaan. Lue, kun näytämme, miten.
Lastpass-turvallisuushaasteesi valmistelu
Voit tarkistaa salasanasi manuaalisesti, mutta se olisi valtavan ikävä ja et saa mitään hyviä yleisiä salasanojen hallintaa. Sen sijaan, että kaikki tarkastettaisiin manuaalisesti, aiomme ottaa helpon ja pitkälti automatisoidun reitin: aiomme tarkistaa salasanamme ottamalla LastPass Security Challenge.
Tämä opas ei kata LastPass-ohjelman määrittämistä, joten jos sinulla ei ole vielä LastPass-järjestelmää, sinun kannattaa asettaa se. Tutustu HTP-oppaaseen, jolla pääset alkuun LastPassilla. Vaikka LastPass on päivittänyt sen, kun kirjoitimme oppaan (käyttöliittymä on paljon kauniimpi ja nykyistä paremmin virtaviivainen), voit silti seurata ohjeita helposti. Jos asetat LastPassin ensimmäistä kertaa, muista tuoda ne kaikki tallennetut salasanat selaimilta, sillä tavoitteena on tarkastaa jokainen käyttämäsi salasana.
Anna kaikki käyttäjätunnukset ja salasanat LastPassiin: Riippumatta siitä, oletko uusi LastPass tai et ole käyttänyt sitä täysin jokaiselle kirjautumiselle, nyt on aika varmistaa, että olet kirjoittanut sen joka kirjaudu sisään LastPass-järjestelmään. Toistamme sähköpostin palautusoppaassamme antamamme neuvot, jotta voit yhdistää postilaatikkoosi muistutuksia:
Hae sähköpostiosoitteestasi ilmoituksia muistutuksista. Ei ole vaikea muistaa usein käytettyjä kirjautumistietoja, kuten Facebookia ja pankkiasi, mutta on todennäköisesti kymmeniä kustannuksia, joita et ehkä edes muista, että käytät sähköpostiisi kirjautumalla sisään. Käytä avainsanahakuja, kuten "tervetuloa", "nollaus", "palautus", "tarkista", "salasana", "käyttäjätunnus", "kirjaudu", "tili" ja niiden yhdistelmiä, kuten "palauta salasana" tai "tarkista tili" . Jälleen tiedämme, että tämä on hässäkkä, mutta kun olet tehnyt tämän salasananhallinnalla puolestasi, sinulla on päälistasi kaikista tilistäsi, eikä sinun tarvitse koskaan tehdä tätä avainsanaa uudelleen.
Ota kaksitekijätodennus käyttöön LastPass-tililläsi: Tämä vaihe ei ole ehdottomasti välttämätön tietoturvatarkastuksen suorittamiseksi, mutta vaikka olemme huomanneet, aiomme tehdä kaikkemme, jotta rohkaisit sinua ottamaan kaksitekijän todentamisen käyttöön viimeisimmässä tilissäsi varmista edelleen LastPass-holvisi. (Se ei ainoastaan lisää tilisi tietoturvaa, vaan saat myös parannuksen tietoturvatarkastustuloksessasi!)
LastPass Security Challengen ottaminen
Nyt kun olet tuonut kaikki salasanasi, on aika ajaa itsesi häpeäksi siitä, että et ole 1%: ssa hardcore-salasanojen turva-ninjoja. Käy LastPass Security Challenge -sivulla ja paina “Aloita haaste” sivun alareunassa. Sinua kehotetaan antamaan pääsalasana, kuten yllä olevassa kuvassa näkyy, ja sitten LastPass tarjoaa mahdollisuuden tarkistaa, onko joku holvisi sisältämästä sähköpostiosoitteesta osa mitä se on havainnut. Ei ole mitään syytä olla hyödyntämättä tätä:
Jos olet onnekas, se palauttaa negatiivisen. Jos olet onnekas, näyttöön tulee tällainen ponnahdusikkuna, jossa kysytään, haluatko lisätietoja sähköpostiviestisi rikkomuksista:
LastPass antaa yhden turvahälytyksen jokaiselle instanssille. Jos sinulla on ollut sähköpostiosoitteesi pitkään aikaan, olkaa valmiita järkyttymään siitä, kuinka monta salasanarikkomusta se on sekoittanut. Tässä on esimerkki salasanan rikkomisesta:
Ponnahdusikkunoiden jälkeen sinut viedään LastPass Security Challengen pääpaneeliin. Muista aikaisemmin oppaassa, kun puhuin siitä, miten käytän parhaillaan hyvää salasanahygieniaa, mutta etten koskaan saanut noin päivittääksesi paljon vanhempia verkkosivustoja ja palvelua? Se näkyy todella saamassani pisteessä. Auts:
Se on minun pisteeni vuosien arvoista satunnaisia salasanoja sekoittamalla. Älä ole liian järkyttynyt, jos pisteet on vielä pienempi, jos olet käyttänyt samaa kourallista heikkoa salasanaa uudestaan ja uudestaan. Nyt kun meillä on pisteet (kuitenkin mahtava tai häpeällinen se voi olla), on aika kaivaa tietoihin. Voit käyttää pisteiden prosenttiosuuden vieressä olevia pikalinkkejä tai aloittaa vierityksen. Ensimmäinen pysäkki, tarkista yksityiskohtaiset tulokset. Harkitse tätä 10 000 jalka yleiskatsaus salasanojesi tilaan:
Vaikka sinun pitäisi kiinnittää huomiota kaikkiin tilastoihin, todella tärkeät ovat "Keskimääräinen salasanan vahvuus", kuinka heikko tai vahva keskimääräinen salasanasi on, ja mikä vielä tärkeämpää, "Päällekkäisten salasanojen lukumäärä" ja "Niiden sivustojen lukumäärä, joilla on päällekkäisiä salasanoja ”. Tarkastukseni taustalla oli 43 pistettä kahdeksan pistettä. Selvästikin olin ollut melko laiska uudelleenkäytettäessä samaa matalan luokan salasanaa useammassa kuin muutamassa sivustossa.
Seuraava pysäkki, Analysoidut sivustot -osa. Täältä löydät hyvin konkreettisen katkeamisen kaikista salasanoista, jotka on järjestetty kaksoiskoodilla (jos sinulla on kaksoiskappaleita), yksilöllisiä salasanoja, ja lopulta kirjautuu ilman salasanaa, joka on tallennettu LastPassiin. Kun katsot luetteloa, ihaile salasanan vahvuuksien välistä kontrastia. Minun tapauksessani yksi taloudellisista kirjautumistunnuksistani sai 45%: n salasanan pistemäärän, kun tyttäreni Minecraft-kirjautumiseen annettiin täydellinen 100%: n pistemäärä. Jälleen.
Vahva turvallisuushaasteesi pisteet
Tilintarkastusluetteloon on rakennettu kaksi hyvin hyödyllistä linkkiä. Jos napsautat "NÄYTÄ", se näyttää salasanan kyseiselle sivustolle ja jos napsautat "Käy sivustolla", voit hypätä oikealle sivustolle, jotta voit vaihtaa salasanan. Jokaisen kaksoiskoodin vaihtamista ei pitäisi tehdä, mutta mikä tahansa salasanaa, joka oli liitetty rikkoutuneeseen tiliin (kuten Adobe.com tai LinkedIn), on poistettava pysyvästi.
Riippuen siitä, kuinka monta tai vähän salasanoja sinulla on (ja kuinka ahkerasti olet käyttänyt hyvää salasanaa), tämä prosessin vaihe saattaa viedä sinut kymmenen minuuttia tai koko iltapäivän. Vaikka salasanojen muuttamisprosessi vaihtelee päivitettävän sivuston ulkoasun mukaan, tässä on muutamia yleisiä ohjeita, joita on noudatettava (käytämme salasanan päivitystä kohdassa Muista maitoa esimerkkinä): Käy salasanan vaihtosivulla . Tyypillisesti sinun täytyy syöttää nykyinen salasana ja luoda sitten uusi salasana.
Tee se klikkaamalla lukko-ympyrän nuolen logoa. LastPass lisää uuden salasanan paikkaan (kuten yllä olevassa kuvassa näkyy). Tarkastele uutta salasanaa ja tee muutoksia, jos haluat (esimerkiksi pidentää tai lisätä erikoismerkkejä):
Napsauta ”Käytä salasanaa” ja vahvista sitten, että haluat päivittää muokkaamasi merkinnän:
Varmista, että muutos vahvistetaan myös verkkosivustolla. Toista prosessi jokaista LastPass-holvin kaksois- ja heikkoa salasanaa varten.
Lopuksi viimeinen asia, jota sinun täytyy tarkastaa, on LastPass-pääsalasana. Tee niin napsauttamalla Challenge-näytön alareunassa olevaa linkkiä, jonka nimi on “Testaa LastPass-pääsalasanan vahvuus”. Jos et näe tätä:
Sinun täytyy palauttaa LastPass-pääsalasanasi ja lisätä voimaa, kunnes saat mukavan, positiivisen, 100%: n vahvuusvahvistuksen.
Tulosten selvittäminen ja LastPass-suojauksen edelleen parantaminen
Kun olet ohittanut kopioidun salasanan luettelon, poistanut vanhat merkinnät ja muutoin varautunut ja suojattu kirjautumis- / salasanaluettelosi, on aika suorittaa tarkastus uudelleen. Nyt, kun painotat, alla näkyvä pisteet tuotiin esiin vain parantamalla salasanan turvallisuutta. (Jos otat käyttöön lisää suojausominaisuuksia, kuten monitekijätodennuksen, saat noin 10%: n vahvistuksen.
Ei paha! Kun olet poistanut kaikki kaksoiskoodit ja tuonut kaikki olemassa olevat salasanat jopa 90%: iin tai parempaan, se parani pisteet. Jos olet kiinnostunut siitä, miksi se ei hyppää 100%: iin, on olemassa muutamia tekijöitä, joista merkittävin on se, että joitakin salasanoja ei voi koskaan tuoda nuuskan alle LastPass-standardien takia, koska sivuston ylläpitäjät. Paikallisen kirjaston kirjautumistunnus on esimerkiksi nelinumeroinen PIN-koodi (joka on 4% LastPass-suojausasteesta). Useimmilla ihmisillä on luettelossaan jonkinlainen outlier, joka vetää pisteet alas.
Tällöin on tärkeää, että et saa lannistua, ja käytä yksityiskohtaista erittelyä mittarina:
Salasanan päivitysprosessissa karsin 17 päällekkäistä / vanhentunutta sivustoa, luotiin jokaiselle sivustolle ja palvelulle ainutlaatuinen salasana ja tuonut sivustojen lukumäärän kahtena salasanana 43: sta 0: een prosessissa.
Se kesti vain noin tunnin vakavasti keskittynyttä aikaa (12,4% käytettiin kirouksen web-sivustojen suunnittelijoille, jotka laittoivat salasanan päivityslinkit epäselviin paikkoihin), ja kaikki, mitä tarvitsin, jotta saisin motivoitua, oli katastrofaalisten mittasuhteiden salasanan rikkominen! Panen merkille täällä suuren menestyksen.
Nyt kun olet tarkistanut salasanasi ja olet pumpannut noin, että sinulla on ainutlaatuinen salasana, hyödynnämme tätä eteenpäin siirtymistä. Osallistu ohjeenne tekemiseen LastPassista jopa turvallisempi lisäämällä salasanojen iteraatioita, rajoittamalla sisäänkirjautumista maittain ja paljon muuta. Tässä tarkastelemamme tarkastuksen suorittamisen jälkeen, kun noudatamme LastPass-tietoturvaohjetta, ja ottamalla käyttöön kaksifaktoriset algoritmit, sinulla on luodinkestävä salasanan hallintajärjestelmä, jonka voit olla ylpeä.