Hur man kör en säkerhetsgranskning för senaste pass (och varför den inte kan vänta)

Innehållsförteckning:

Video: Hur man kör en säkerhetsgranskning för senaste pass (och varför den inte kan vänta)

Video: Hur man kör en säkerhetsgranskning för senaste pass (och varför den inte kan vänta)
Video: Skellefteå kommunfullmäktige 21-04-20 2024, Mars
Hur man kör en säkerhetsgranskning för senaste pass (och varför den inte kan vänta)
Hur man kör en säkerhetsgranskning för senaste pass (och varför den inte kan vänta)
Anonim
Om du övar lösenordshantering och hygien är det bara en fråga om tid tills en av de allt fler omfattande säkerhetsbristerna bränner dig. Sluta vara tacksam du dodged den tidigare säkerheten bryter kulor och rustning dig mot de framtida. Läs vidare när vi visar dig hur du granskar dina lösenord och skyddar dig själv.
Om du övar lösenordshantering och hygien är det bara en fråga om tid tills en av de allt fler omfattande säkerhetsbristerna bränner dig. Sluta vara tacksam du dodged den tidigare säkerheten bryter kulor och rustning dig mot de framtida. Läs vidare när vi visar dig hur du granskar dina lösenord och skyddar dig själv.

Vad är Big Deal och varför är det här?

Image
Image

I oktober i år avslöjade Adobe att det hade varit en stor säkerhetsbrott som drabbade 3 miljoner användare av Adobe.com och Adobe-programvaran. Därefter reviderade de numret till 38 miljoner. Då, ännu mer chockerande, när databasen från hacken läckte, kom säkerhetsforskare som analyserade databasen tillbaka och sa att det var mer som 150 miljoner komprometterade användarkonton. Denna grad av användarexponering innebär att Adobe bryter i körningen som en av de värsta säkerhetsbristerna i historien.

Adobe är dock knappast ensam på den här fronten; vi öppnade helt enkelt med deras brott eftersom det är smärtsamt nyligen. Under de senaste åren har det varit dussintals massiva säkerhetsbrott där användarinformation, inklusive lösenord, har äventyras.

LinkedIn träffades 2012 (6.46 miljoner användarrekord äventyras). Samma år slog eHarmony (1,5 miljoner användarrekord) som var Last.fm (6,5 miljoner användarrekord) och Yahoo! (450 000 användarrekord). Sony Playstation Network blev slagen under 2011 (101 miljoner användarrekord äventyras). Gawker Media (moderbolaget till webbplatser som Gizmodo och Lifehacker) slogs under 2010 (1,3 miljoner användarrekord äventyras). Och det är bara exempel på stora överträdelser som gjorde nyheterna!

Privacy Rights Clearinghouse upprätthåller en databas över säkerhetsöverträdelser från 2005 till idag. Deras databas innehåller ett brett spektrum av överträdelsetyper: kompromissade kreditkort, stulna personnummer, stulna lösenord och journaler. Databasen, enligt offentliggörandet av denna artikel, består av 4 033 brott som innehåller 617.937.023 användarrekord. Inte var och en av de hundratals miljoner överträdelserna involverade användarlösenord, men miljontals miljoner av dem gjorde det.

Så varför spelar det roll? Bortsett från de uppenbara och omedelbara säkerhetsimplikationerna av ett brott, skapar överträdelserna säkerhetsskador. Hackarna kan omedelbart börja testa loggar och lösenord som de skördar på andra webbplatser.

De flesta människor är lata med sina lösenord, och det finns en bra chans att om någon använde [email protected] med lösenordet bob1979, kommer samma inloggning / lösenordspar att fungera på andra webbplatser. Om de andra webbplatserna är högre profil (som bankwebbplatser eller om lösenordet som användes på Adobe låser upp sin e-postkorg), så är det ett problem. När någon har tillgång till din e-postbrevlåda kan de börja återställa lösenordet på andra tjänster och få åtkomst till dem också.

Det enda sättet att stoppa denna typ av kedjereaktion från att orsaka ännu fler säkerhetsproblem inom nätverket av webbplatser och tjänster du använder är att följa två kardinalregler för god lösenordshygien:

  1. Ditt e-postlösenord ska vara långt, starkt och helt unikt bland alla dina inloggningar.
  2. Varje inloggning får ett långt, starkt och unikt lösenord. Inget lösenord återanvändning. Någonsin.

Dessa två regler är avhämtningen från varje säkerhetsguide som vi någonsin har delat med dig, inklusive vår nödsituation, det har gjort-fan-guide. Hur återställs efter att ditt lösenord är kompromissat.

Nu är du förmodligen tvungen att kväva lite, för det är uppenbart att ingen har perfekt lufttäta lösenordspraxis och säkerhet. Du är inte ensam om ditt lösenord hygien saknas. Det är faktiskt dags för en bekännelse.

Jag har skrivit dussintals säkerhetsartiklar, inlägg om säkerhetsöverträdelser och andra lösenordsrelaterade inlägg under åren jag har varit på How-To Geek. Trots att du precis är den typ av informerad person som borde veta bättre, trots att du använder en lösenordshanterare och genererar säkra lösenord för varje ny webbplats och tjänst, när jag sprang min e-post genom listan över kompromissade Adobe-inloggningar och matchade den mot det kompromissade lösenordet, jag upptäckte fortfarande att jag hade blivit bränd.

Jag skapade det Adobe-kontot för länge sen när jag var betydligt mer lat med min lösenordshygien och lösenordet jag använde var vanligt tvärs över dussintals av webbplatser och tjänster som jag hade anmält mig med innan jag blev super seriös om att göra bra lösenord.

Allt detta kunde ha förhindrats om jag hade fullt ut övat vad jag predikade och inte bara skapade unika och starka lösenord men också granskade mina gamla lösenord för att säkerställa att denna situation aldrig hände i första hand. Oavsett om du aldrig ens försökt att vara konsekvent och säker med ditt lösenordspraxis eller om du bara behöver kolla över dem för att göra dig lugn, är en grundlig lösenordsrevision vägen till lösenordsäkerhet och sinnesfrid. Läs vidare när vi visar dig hur.

Förberedelser för din Lastpass Security Utmaning

Du kan manuellt granska dina lösenord, men det skulle vara enormt tråkigt och du skulle inte få några fördelar med att använda en bra universell lösenordshanterare. I stället för att manuellt granska allt, tar vi den enkla och mest automatiserade rutten: vi ska granska våra lösenord genom att ta LastPass Security Challenge.
Du kan manuellt granska dina lösenord, men det skulle vara enormt tråkigt och du skulle inte få några fördelar med att använda en bra universell lösenordshanterare. I stället för att manuellt granska allt, tar vi den enkla och mest automatiserade rutten: vi ska granska våra lösenord genom att ta LastPass Security Challenge.

Den här guiden täcker inte inställningen för LastPass, så om du inte redan har ett LastPass-system igång, rekommenderar vi starkt att du ställer in en. Kolla in HTG-guiden för att komma igång med LastPass för att komma igång. Även om LastPass har uppdaterat sedan vi skrev guiden (gränssnittet är mycket snyggare och bättre strömlinjeformat nu), kan du fortfarande följa stegen med lätthet. Om du konfigurerar LastPass för första gången, se till att importeraAllt dina sparade lösenord från dina webbläsare, eftersom vårt mål är att granska varje lösenord du använder.

Ange varje inloggning och lösenord till LastPass:Oavsett om du är helt ny på LastPass eller om du inte har använt den fullständigt för varje inloggning, är det dags att se till att du har angettvarje logga in i LastPass-systemet. Vi kommer att echo de råd vi gav i vår e-poståterställningsguide för att kamma din e-postkorg för påminnelser:

Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Aktivera tvåfaktorsautentisering på ditt LastPass-konto: Det här steget är inte absolut nödvändigt för att utföra säkerhetsrevisionen, men samtidigt som vi uppmärksammar vi kommer vi att göra allt vi kan för att uppmuntra dig, medan du muckar runt i ditt LastPass-konto, för att aktivera tvåfaktorsautentisering till Ytterligare säkra ditt LastPass valv. (Inte bara ökar din kontosäkerhet, du får också en ökning i ditt säkerhetsgranskningsresultat!)

Tillsammans med LastPass Security Challenge

Nu när du har importerat alla dina lösenord, är det dags att skämma dig själv för synden att inte vara i 1% av hardcore lösenords säkerhetsninjer. Besök sidan LastPass Security Challenge och tryck på "Start the Challenge" längst ner på sidan. Du kommer att bli uppmanad att ange ditt huvudlösenord, vilket visas på skärmbilden ovan, och sedan kommer LastPass att se om någon av de e-postadresser som finns i ditt valv var en del av eventuella överträdelser som den har spårat. Det finns ingen bra anledning att inte dra nytta av detta:
Nu när du har importerat alla dina lösenord, är det dags att skämma dig själv för synden att inte vara i 1% av hardcore lösenords säkerhetsninjer. Besök sidan LastPass Security Challenge och tryck på "Start the Challenge" längst ner på sidan. Du kommer att bli uppmanad att ange ditt huvudlösenord, vilket visas på skärmbilden ovan, och sedan kommer LastPass att se om någon av de e-postadresser som finns i ditt valv var en del av eventuella överträdelser som den har spårat. Det finns ingen bra anledning att inte dra nytta av detta:
Om du har tur, returnerar den en negativ. Om du har tur, får du en popup-liknande fråga om du vill ha mer information om de överträdelser som din e-post var involverad i:
Om du har tur, returnerar den en negativ. Om du har tur, får du en popup-liknande fråga om du vill ha mer information om de överträdelser som din e-post var involverad i:
LastPass kommer att utfärda en enda säkerhetsalarm för varje instans. Om du har haft din e-postadress under en längre tid, var beredd att vara chockad över hur många lösenordsöverträdelser det har gått ihop. Här är ett exempel på ett meddelande om lösenordsbrott:
LastPass kommer att utfärda en enda säkerhetsalarm för varje instans. Om du har haft din e-postadress under en längre tid, var beredd att vara chockad över hur många lösenordsöverträdelser det har gått ihop. Här är ett exempel på ett meddelande om lösenordsbrott:
Efter popup-filerna dumpas du till huvudpanelen i LastPass Security Challenge. Kom ihåg tidigare i guiden när jag pratade om hur jag för närvarande övar bra lösenordshygien men att jag aldrig hade fått mig att korrekt uppdatera många äldre webbplatser och service? Det visar verkligen i poängen jag fick. Aj:
Efter popup-filerna dumpas du till huvudpanelen i LastPass Security Challenge. Kom ihåg tidigare i guiden när jag pratade om hur jag för närvarande övar bra lösenordshygien men att jag aldrig hade fått mig att korrekt uppdatera många äldre webbplatser och service? Det visar verkligen i poängen jag fick. Aj:
Det är min poäng med år av slumpmässiga lösenord blandade in. Var inte för chockad om din poäng är ännu lägre om du har använt samma handfulla svaga lösenord om och om igen. Nu när vi har vår poäng (dock fantastisk eller skamligt kan det vara), det är dags att gräva in i data. Du kan använda snabblänkarna bredvid din poängprocent eller bara börja rulla. Första stopp, låt oss kolla in de detaljerade resultaten. Tänk på en 10 000 fot överblick över läget för dina lösenord:
Det är min poäng med år av slumpmässiga lösenord blandade in. Var inte för chockad om din poäng är ännu lägre om du har använt samma handfulla svaga lösenord om och om igen. Nu när vi har vår poäng (dock fantastisk eller skamligt kan det vara), det är dags att gräva in i data. Du kan använda snabblänkarna bredvid din poängprocent eller bara börja rulla. Första stopp, låt oss kolla in de detaljerade resultaten. Tänk på en 10 000 fot överblick över läget för dina lösenord:
Medan du bör uppmärksamma all statistik här, är de väldigt viktiga "Genomsnittlig lösenordsstyrka", hur svagt eller starkt är ditt genomsnittliga lösenord och, ännu viktigare, "Antal dubbla lösenord" och "Antal webbplatser som har dubbla lösenord”. Till följd av min revision var det 8 dupes på 43 platser. Tydligen hade jag varit ganska lat att återanvända samma lågklassiga lösenord på mer än några webbplatser.
Medan du bör uppmärksamma all statistik här, är de väldigt viktiga "Genomsnittlig lösenordsstyrka", hur svagt eller starkt är ditt genomsnittliga lösenord och, ännu viktigare, "Antal dubbla lösenord" och "Antal webbplatser som har dubbla lösenord”. Till följd av min revision var det 8 dupes på 43 platser. Tydligen hade jag varit ganska lat att återanvända samma lågklassiga lösenord på mer än några webbplatser.

Nästa stopp, avsnittet Analyserade platser. Här hittar du en mycket konkret nedbrytning av alla dina inloggningar och lösenord som ordnas med dubbla användningsområden för lösenord (om du hade dubbletter), unika lösenord och slutligen inloggningar utan lösenord som lagrats i LastPass. Medan du tittar över listan, undrar du kontrasten mellan lösenordsstyrkor. I mitt fall fick en av mina finansiella inloggningar ett 45% lösenordsresultat medan min dotters Minecraft-inloggning fick ett perfekt 100% poäng. Återigen, ouch.

Fixing Your Terrible Security Challenge Score

Det finns två väldigt användbara länkar byggda direkt in i revisionsförteckningarna. Om du klickar på "SHOW" visas det lösenordet för den webbplatsen och om du klickar på "Besök webbplats" kan du hoppa direkt till webbplatsen så att du kan ändra lösenordet. Inte bara bör alla dubbla lösenord ändras, men alla lösenord som var kopplade till ett konto som bryts (till exempel Adobe.com eller LinkedIn) borde pensioneras permanent.
Det finns två väldigt användbara länkar byggda direkt in i revisionsförteckningarna. Om du klickar på "SHOW" visas det lösenordet för den webbplatsen och om du klickar på "Besök webbplats" kan du hoppa direkt till webbplatsen så att du kan ändra lösenordet. Inte bara bör alla dubbla lösenord ändras, men alla lösenord som var kopplade till ett konto som bryts (till exempel Adobe.com eller LinkedIn) borde pensioneras permanent.

Beroende på hur många eller några lösenord du har (och hur flitig du har handlat om bra lösenordspraxis), kan det här steget i processen ta dig tio minuter eller hela eftermiddagen. Även om processen med att ändra dina lösenord varierar beroende på layouten på webbplatsen du uppdaterar, här följer några allmänna riktlinjer för att följa (vi använder vår lösenordsuppdatering på Remember the Milk som ett exempel): Besök sidan för lösenordsbyte. Vanligtvis måste du ange ditt nuvarande lösenord och sedan skapa ett nytt lösenord.

Gör det genom att klicka på logotypen Lås-med-cirkel-pil.LastPass sätter in i det nya lösenordspasset (som ses på skärmbilden ovan). Titta över ditt nya lösenord och gör justeringar om du vill (som att förlänga det eller lägga till i specialtecken):
Gör det genom att klicka på logotypen Lås-med-cirkel-pil.LastPass sätter in i det nya lösenordspasset (som ses på skärmbilden ovan). Titta över ditt nya lösenord och gör justeringar om du vill (som att förlänga det eller lägga till i specialtecken):
Klicka på "Använd lösenord" och bekräfta sedan att du vill uppdatera den post du redigerar:
Klicka på "Använd lösenord" och bekräfta sedan att du vill uppdatera den post du redigerar:
Se till att bekräfta ändringen med webbplatsen också. Upprepa processen för varje dubblett och svagt lösenord i ditt LastPass valv.
Se till att bekräfta ändringen med webbplatsen också. Upprepa processen för varje dubblett och svagt lösenord i ditt LastPass valv.

Slutligen är det sista du behöver för att granska ditt LastPass Master Password. Gör så genom att klicka på länken längst ned på Utmaningsskärmen med etiketten "Testa styrkan på mitt LastPass Master Password". Om du inte ser detta:

Du måste återställa ditt LastPass Master Password och öka styrkan tills du får en bra, positiv, 100% styrka bekräftelse.
Du måste återställa ditt LastPass Master Password och öka styrkan tills du får en bra, positiv, 100% styrka bekräftelse.

Granska resultaten och ytterligare förbättra din LastPass-säkerhet

När du har slogit igenom listan över dubbla lösenord, raderade gamla poster och på annat sätt ryddat och säkrat din inloggnings- / lösenordslista är det dags att köra granskningen igen. Nu, för tonvikt, uppnåddes poängen som du ser nedan endast genom att förbättra lösenordsäkerheten. (Om du aktiverar ytterligare säkerhetsfunktioner, som multi-factor-autentisering, får du en ökning på cirka 10%).

Inte dåligt! Efter att ha eliminerat varje dubbelt lösenord och medför alla befintliga lösenord upp till 90% styrka eller bättre förbättrade det verkligen vårt resultat. Om du är nyfiken på varför den inte hoppa till 100%, finns det några faktorer att spela, det mest framträdande av vilket är att vissa lösenord aldrig kan föras upp till snus genom LastPass-standarder på grund av dumma policyer på plats av webbplats administratörer. Till exempel är mitt lokala biblioteks inloggningslösenord en fyrsiffrig stift (som uppgår till 4% på LastPass-säkerhetsskalan). De flesta kommer att ha något slags outliers så i deras lista och det kommer att dra deras poäng ner.
Inte dåligt! Efter att ha eliminerat varje dubbelt lösenord och medför alla befintliga lösenord upp till 90% styrka eller bättre förbättrade det verkligen vårt resultat. Om du är nyfiken på varför den inte hoppa till 100%, finns det några faktorer att spela, det mest framträdande av vilket är att vissa lösenord aldrig kan föras upp till snus genom LastPass-standarder på grund av dumma policyer på plats av webbplats administratörer. Till exempel är mitt lokala biblioteks inloggningslösenord en fyrsiffrig stift (som uppgår till 4% på LastPass-säkerhetsskalan). De flesta kommer att ha något slags outliers så i deras lista och det kommer att dra deras poäng ner.

I sådana fall är det viktigt att inte bli avskräckt och att använda din detaljerade uppdelning som en metrisk:

I lösenordsuppdateringsprocessen beskrev jag 17 duplicerade / utlösta webbplatser, skapade ett unikt lösenord för varje webbplats och tjänst och förde antalet webbplatser med dubbla lösenord ner från 43 till 0 i processen.
I lösenordsuppdateringsprocessen beskrev jag 17 duplicerade / utlösta webbplatser, skapade ett unikt lösenord för varje webbplats och tjänst och förde antalet webbplatser med dubbla lösenord ner från 43 till 0 i processen.

Det tog bara ungefär en timme med allvarligt fokuserad tid (12,4% av dem tillbringades förbannande webbdesigners som satte lösenordsuppdateringslänkar i obskurliga platser) och allt som krävdes för att få mig motiverad var ett lösenordsbrott av katastrofala proportioner! Jag gör en anteckning här, stor framgång.

Nu när du har granskat dina lösenord och du pumpas om att ha ett stabilt unikt lösenord, låt oss utnyttja den framåtgående dynamiken. Hämta upp vår guide till att göra LastPassäven säkrare genom att öka lösenordet iterationer, begränsa inloggningar per land och mer. Mellan att köra revisionen som vi skisserade här, följer vår LastPass säkerhetsguide och aktiverar tvåfaktoralgoritmer, du har ett kollisionsskyddat lösenordshanteringssystem du kan vara stolt över.

Rekommenderad: