Як запустити аудит безпеки для останньої передачі (і чому не можна чекати)

Якщо ви практикуєте слабке керування паролями та гігієну, це лише питання часу, коли один з дедалі більших масштабних порушень безпеки не спалить вас. Перестаньте бути вдячними, ви ухилилися від минулих кулі безпеки та обладували себе проти майбутніх. Прочитайте, як ми покажемо вам, як перевірити паролі та захистити себе.

Що таке велика справа і чому це має значення?

У жовтні цього року Adobe виявила, що відбулося серйозне порушення безпеки, яке торкнулося 3 мільйонів користувачів програм Adobe.com і Adobe. Потім вони переглянули число до 38 мільйонів. Тоді, ще більш вражаюче, коли база даних з хака була просочена, дослідники безпеки, які проаналізували базу даних, повернулися і сказали, що це більше схоже на 150 мільйонів скомпрометовані облікові записи користувачів. Цей ступінь впливу користувача ставить Adobe порушення в роботі як один з найгірших порушень безпеки в історії.

Однак на цьому фронті Adobe навряд чи одна; ми просто відкрили їх порушення, тому що це болісно нове. Тільки за останні кілька років було багато десятків серйозних порушень безпеки, де були скомпрометовані дані користувача, включаючи паролі.

LinkedIn потрапив у 2012 році (6,46 мільйонів записів користувачів скомпрометовані). У тому ж році eHarmony потрапив (1,5 мільйона записів користувачів), як було Last.fm (6,5 мільйонів записів користувачів) та Yahoo! (450 000 записів користувачів). Мережа Sony Playstation потрапила в 2011 році (101 мільйон записів користувачів скомпрометовано). Gawker Media (материнська компанія таких сайтів, як Gizmodo і Lifehacker) потрапила в 2010 році (1,3 млн. Записів користувачів скомпрометовані). І це лише приклади великих порушень, які зробили цю новину!

Центр захисту прав на конфіденційність підтримує базу даних про порушення безпеки з 2005 року по теперішній час. Їх база даних включає широкий спектр типів порушень: скомпрометовані кредитні картки, викрадені номери соціального страхування, викрадені паролі та медичні записи. База даних, на момент публікації цієї статті, складається з 4 033 порушень містить 617 937 023 записів користувачів. Не кожен з цих сотень мільйонів порушень займався паролями користувачів, але мільйони з них зробили це.

Так чому ж це має значення? Окрім очевидних і безпосередніх наслідків порушення безпеки, порушення створюють побічний збиток. Хакери можуть негайно почати тестування логінів та паролів, які вони збирають на інших веб-сайтах.

Більшість людей ледачі зі своїми паролями, і є хороший шанс, що якщо хтось використовує [email protected] з паролем bob1979, то одна й пара паролів входу / пароля буде працювати на інших веб-сайтах. Якщо ці інші веб-сайти мають більш високий профіль (наприклад, банківські сайти або якщо пароль, який він використовував у Adobe, фактично розблокує свою електронну скриньку), є проблема. Коли хтось має доступ до папки вхідних повідомлень електронної пошти, вони можуть почати скидання пароля на інші служби та отримати доступ до них.

Єдиний спосіб зупинити таку ланцюгову реакцію, викликавши ще більше проблем безпеки в мережі веб-сайтів і послуг, які ви використовуєте, - це дотримуватися двох основних правил гарної гігієни паролів:

1. Ваш пароль електронної пошти має бути довгим, міцним і абсолютно унікальним серед усіх ваших входів.
2. Кожен Логін отримує довгий, сильний і унікальний пароль. Немає повторного використання пароля. Ніколи.

Ці два правила є винос з кожного керівництва безпеки ми коли-небудь поділили з вами, включаючи наш надзвичайний it-has-hit-the-вентилятор довідник Як відновити після вашого email пароль скомпрометований.

Тепер на цьому етапі ви, напевно, трохи збиваєтеся, тому що, відверто кажучи, навряд чи хто-небудь має ідеальну безпеку та безпеку. Ви не самотні, якщо у вас немає гігієни пароля. Насправді, час для визнання.

Я написав десятки статей про безпеку, повідомлення про порушення безпеки та інші повідомлення, пов'язані з паролем, протягом яких років я працював у How-To Geek. Незважаючи на те, що це була саме така інформована людина, яка повинна краще знати, незважаючи на використання менеджера паролів і створення безпечних паролів для кожного нового веб-сайту та служби, коли я запускав електронну пошту через список порушених логінів Adobe і відповідав їй проти скомпрометованого пароля, Досі з'ясувалося, що я згорів.

Я зробив цей обліковий запис Adobe дуже давно, коли був значно меншим з гігієною пароля, і пароль, який я використовував, був звичайним для всіх десятки веб-сайтів і служб, з якими я зареєструвався, перш ніж я отримав серйозну думку про створення хороших паролів.

Все це можна було б запобігти, якби я повністю практикував те, що я проповідував, а не просто створював унікальні та міцні паролі, але також перевірив мої старі паролі, щоб гарантувати, що така ситуація ніколи не сталася. Незалежно від того, чи ніколи ви навіть не намагалися бути послідовними та захищеними за допомогою паролів, або просто потрібно перевірити їх, щоб зробити себе легким, ретельний аудит пароля - це шлях до захисту паролів і душевного спокою. Читайте далі, як ми покажемо вам, як це зробити.

Підготовка до вашого виклику безпеки Lastpass

Ви можете вручну перевірити ваші паролі, але це було б надзвичайно втомлює, і ви не отримаєте жодних переваг від використання хорошого універсального менеджера паролів. Замість того, щоб вручну перевіряти все, ми збираємося зробити легкий і в значній мірі автоматизований маршрут: ми збираємося перевірити наші паролі, взявши LastPass Security Challenge.

Це керівництво не охоплює налаштування LastPass, тому, якщо у вас немає системи LastPass і працює, ми настійно рекомендуємо встановити її. Ознайомтеся з Посібником з початку роботи з LastPass для HTG. Хоча LastPass оновився, оскільки ми написали посібник (інтерфейс набагато красивіший і краще впорядкований зараз), ви все ще можете легко виконувати кроки. Якщо ви налаштуєте LastPass вперше, не забудьте імпортувати все збережені вами паролі з веб-переглядачів, оскільки наша мета полягає в тому, щоб перевірити кожен пароль, який ви використовуєте.

Введіть кожний логін і пароль в LastPass: Незалежно від того, чи ви є новим для користувача LastPass, або ви його не використовували повністю для кожного входу, тепер настав час переконатися, що ви ввійшли кожен увійти до системи LastPass. Ми збираємося повторити поради, які ми дали в нашому керівництві по відновленню електронної пошти, щоб розібрати папку вхідних повідомлень електронної пошти для нагадувань:

Знайдіть нагадування про реєстрацію в електронній пошті. Це не буде важко запам'ятати ваші часто використовувані логіни, як Facebook і ваш банк, але, ймовірно, існують десятки послуг, які ви можете навіть не пам'ятати, що ви використовуєте свою електронну пошту для входу. Використовуйте пошуки ключових слів, наприклад, "ласкаво просимо до", "скинути", "відновити", "перевірити", "пароль", "ім'я користувача", "вхід", "обліковий запис" та комбінації, наприклад, "скинути пароль" або "підтвердити обліковий запис" . Знову ж таки, ми знаємо, що це клопоту, але як тільки ви зробите це з менеджером паролів на вашій стороні, у вас є головний список усього вашого облікового запису, і вам ніколи не доведеться повторно виконувати це полювання за ключовими словами..

Увімкнути двофакторну аутентифікацію в обліковому записі LastPass: Цей крок не є суто необхідним для проведення аудиту безпеки, але в той час, як ми маємо вашу увагу, ми зробимо все можливе, щоб заохотити вас, у той час як ви обманюєте свій обліковий запис LastPass, щоб увімкнути двофакторну аутентифікацію додатково захистіть свій сховище LastPass. (Це не тільки підвищує рівень безпеки Вашого облікового запису, але й Ви отримаєте підвищену оцінку аудиту безпеки!)

Взявши LastPass Security Challenge

Тепер, коли ви імпортували всі ваші паролі, прийшов час підготувати себе за ганьбу, що не входили до 1% жорстких паролів безпеки. Відвідайте сторінку виклику безпеки LastPass і натисніть "Почати виклик" у нижній частині сторінки. Вам буде запропоновано ввести основний пароль, як показано на знімку вгорі, а потім LastPass запропонує перевірити, чи є які-небудь адреси електронної пошти, що містяться у вашому сховищі, частиною будь-яких порушень, які він відстежував. Немає жодних підстав не користуватися цим:

Якщо вам пощастить, він повертає негатив. Якщо вам пощастить, ви отримаєте спливаюче вікно з таким запитом, якщо ви бажаєте отримати додаткову інформацію про порушення, до яких було залучено вашу електронну пошту:

LastPass видасть єдине попередження безпеки для кожного примірника. Якщо ви мали свою адресу електронної пошти протягом тривалого часу, будьте готові бути шоковані тим, скільки порушень паролів було заплутано. Ось приклад повідомлення про порушення пароля:

Після спливаючих вікон ви потрапите в основну панель виклику безпеки LastPass. Пам'ятайте раніше в посібнику, коли я говорив про те, як я в даний час практику гарної гігієни пароля, але що я ніколи не отримав навколо належним чином оновлення багато старих веб-сайтів і послуг? Це дійсно показує у рахунку я отримав. Ой:

Це мій рахунок з багаторічним значенням випадкових паролів змішаних дюйма Не будьте занадто шоковані, якщо ваш рахунок ще нижче, якщо ви використовуєте ж жменька слабких паролів знову і знову. Тепер, коли ми маємо нашу оцінку (як би не було приголомшливою або ганебною), прийшов час заглибитися в дані. Ви можете скористатися швидкими посиланнями біля вашого відсотка балів або просто почати прокрутку. Перша зупинка, давайте перевіримо детальні результати. Розгляньте це 10 000 футів огляд стану ваших паролів:

Хоча ви повинні звернути увагу на всі статистичні дані тут, дійсно важливими є «Середня міцність пароля», наскільки слабким або сильним є ваш середній пароль і, що ще важливіше, «Кількість дубльованих паролів» і «Кількість сайтів, які мають дублікати паролів». ”. У моїй аудиторській перевірці було виявлено 8 обробок по 43 сайтах. Очевидно, я був досить ледачий повторне використання того ж низького ступеня пароль на більш ніж на декількох сайтах.

Наступна зупинка, розділ Аналізовані сайти. Тут ви знайдете дуже конкретне розбиття всіх ваших логінів і паролів, організованих за допомогою дублікатів паролів (якщо у вас є дублікати), унікальних паролів і, нарешті, логінів без пароля, що зберігаються в LastPass. Переглядаючи список, дивуйтеся контрасту між сильними параметрами пароля. У моєму випадку, один з моїх фінансових логінів отримав 45% пароля, а вхід до Minecraft моєї дочки отримав ідеальний бал на 100%. Знову ж таки.

Виправлення Вашої Страшної Оцінки Безпеки

Є два дуже корисних посилань, вбудованих безпосередньо в списки аудиту. Якщо натиснути кнопку "ВІДОБРАЖЕННЯ", він покаже вам пароль для цього сайту, і якщо ви натиснете кнопку "Відвідати сайт", ви зможете перейти прямо на веб-сайт, щоб ви могли змінити пароль. Не тільки змінювати кожен пароль, але будь-який пароль, який був приєднаний до порушеного облікового запису (наприклад, Adobe.com або LinkedIn), потрібно вилучити назавжди.

Залежно від кількості або декількох паролів, які ви маєте (і того, як ви старанно працюєте з паролями), цей крок процесу може зайняти десять хвилин або цілий день. Незважаючи на те, що процес зміни паролів буде змінюватися залежно від розміщення сайту, який ви оновлюєте, ось деякі загальні вказівки, які слід дотримуватися (наприклад, ми використовуємо оновлення пароля на сайті Remember the Milk): відвідайте сторінку зміни пароля . Зазвичай потрібно ввести поточний пароль, а потім створити новий пароль.

Зробіть це, натиснувши на логотип стрілки з круговою стрілкою. LastPass вставляє в новий слот пароля (як видно на знімку вгорі). Перегляньте новий пароль і внесіть корективи, якщо бажаєте (наприклад, подовжити його або додати спеціальними символами):

Натисніть "Використовувати пароль", а потім підтвердьте, що ви хочете оновити запис, який ви редагуєте:

Переконайтеся в тому, щоб підтвердити зміни на веб-сайті. Повторіть цей процес для кожного дублікату і слабкого пароля в сховищі LastPass.

Нарешті, останнє, що вам потрібно провести аудит, це ваш Master Last Password. Зробіть це, натиснувши посилання в нижній частині екрана Challenge, позначеного як "Перевірити силу мого пароля LastPass Master". Якщо ви не бачите цього:

Вам потрібно скинути ваш пароль MasterPass Master і збільшити силу, доки не отримаєте хороше, позитивне, 100% підтвердження сили.

Огляд результатів та подальше вдосконалення системи безпеки LastPass

Після того, як ви пропустили список дубльованих паролів, видалених старих записів і в іншому випадку прибрали і захистили свій список входу / пароля, настав час знову запустити аудит. Тепер, щоб наголосити, оцінка, яку ви бачите нижче, була висвітлена виключно за рахунок поліпшення безпеки паролів. (Якщо ввімкнути додаткові функції безпеки, наприклад, багатофакторну аутентифікацію, ви отримаєте приріст приблизно на 10%).

Непогано! Після усунення кожного дубльованого пароля та приведення всіх існуючих паролів до 90% чи краще, це дійсно покращило наш бал. Якщо вам цікаво, чому він не перейшов до 100%, є декілька факторів, найважливішим з яких є те, що деякі паролі ніколи не можуть бути підняті до стандартів LastPass, тому що нерозумна політика на місці адміністраторів сайтів. Наприклад, пароль для входу в мою локальну бібліотеку - це чотиризначний PIN-код (який складає 4% від шкали безпеки LastPass). Більшість людей матиме певний випадок, подібний до цього у своєму списку, і це перетягне їхній рахунок.

У таких випадках важливо не знеохочуватися і використовувати деталізовану розбивку як показник:

У процесі оновлення пароля я обрізав 17 дубльованих / минулих сайтів, створив унікальний пароль для кожного сайту та служби, а також зменшив кількість сайтів із дублюючими паролями з 43 до 0.

Це зайняло лише годину серйозного фокусування часу (12,4% з яких було витрачено на проклинання дизайнерів веб-сайтів, які ставлять посилання на оновлення пароля в незрозумілих місцях), і все, що потрібно для мотивування, було порушенням пароля катастрофічних розмірів! Я роблю замітку, величезний успіх.

Тепер, коли ви перевірили ваші паролі, і ви накачали про наявність стабільних унікальних паролів, давайте скористаємося цим прямим імпульсом. Підіть наш довідник, щоб зробити LastPass навіть більш безпечні за рахунок збільшення ітерацій паролів, обмеження входу за країною і багато іншого. Між запущеним аудитом, який ми описали тут, за нашим керівництвом із захисту LastPass, і включенням двофакторних алгоритмів, ви матимете систему керування паролем, яку ви можете пишатися.