Viimeisimmän passin turvatarkastuksen suorittaminen (ja miksi se ei voi odottaa)

2024 Kirjoittaja: Geoffrey Carr | [email protected]. Viimeksi muokattu: 2023-12-17 10:56

Jos harjoittelet lax-salasanojen hallintaa ja hygieniaa, se on vain ajan kysymys, kunnes yksi yhä laajemmista tietoturvaongelmista polttaa sinua. Lopeta kiitollisuutesi, kun väistät viimeiset tietoturvaolosuhteet luoteja ja panssaria vastaan tulevilta. Lue, kun näytämme sinulle, miten voit tarkistaa salasanasi ja suojata itsesi.

Mikä on Big Deal ja miksi tämä asia?

Tämän vuoden lokakuussa Adobe paljasti, että tietoturva loukkaantui huomattavasti, mikä vaikutti Adobe.comin ja Adobe-ohjelmiston 3 miljoonaan käyttäjään. Sitten ne tarkistettiin 38 miljoonaan. Sitten vieläkin järkyttävämmin, kun tietokanta hakkereilta vuotaa, tietokannasta analysoidut tietoturvatutkijat tulivat takaisin ja sanoivat, että se oli enemmän kuin 150 miljoonaa vaarantuneet käyttäjätilit. Tämä käyttäjän altistumisaste aiheuttaa Adoben rikkomisen käynnissä olevan yhtenä historian pahimmista turvallisuusrikkomuksista.

Adobe on tuskin yksin tällä rintamalla; me yksinkertaisesti avattiin niiden rikkomisesta, koska se on tuskallista viimeaikaista. Pelkästään viime vuosina on ollut kymmeniä massiivisia tietoturva-aukkoja, joissa käyttäjätietoja, kuten salasanoja, on vaarantunut.

LinkedIn joutui kärsimään vuonna 2012 (6,46 miljoonaa käyttäjämääriä vaarantui). Samana vuonna eHarmony sai osuman (1,5 miljoonaa käyttäjätunnusta), kuten Last.fm (6,5 miljoonaa käyttäjätietueita) ja Yahoo! (450 000 käyttäjätietoa). Sony Playstation Network joutui kärsimään vuonna 2011 (101 miljoonaa asiakastunnusta vaarantunut). Gawker Media (Gizmodon ja Lifehackerin kaltaisten sivustojen emoyhtiö) joutui kärsimään vuonna 2010 (1,3 miljoonaa käyttäjätiedostoa vaarantui). Ja nämä ovat vain esimerkkejä suurista rikkomuksista, jotka tekivät uutiset!

Tietosuojaoikeus Clearinghouse ylläpitää tietokantaa tietoturvaloukkauksista vuodesta 2005 eteenpäin. Heidän tietokantaan kuuluu monenlaisia rikkomustyyppejä: vaarantuneita luottokortteja, varastettuja sosiaaliturvatunnuksia, varastettuja salasanoja ja lääketieteellisiä tietoja. Tietokanta muodostuu tämän artikkelin julkaisemisesta lähtien 4.033 rikkomuksia sisältävät 617 937 023 käyttäjätiedot. Kaikkien näiden satojen miljoonien rikkomusten joukossa ei ollut käyttäjän salasanoja, mutta miljoonia miljoonien joukossa.

Joten miksi se merkitsee? Rikkomisen ilmeisistä ja välittömistä turvallisuusnäkökohdista poiketen rikkomukset aiheuttavat vakuudellisia vahinkoja. Hakkerit voivat välittömästi alkaa testata kirjautumisia ja salasanoja, joita he sadosta muista verkkosivustoista.

Useimmat ihmiset ovat laiskoja salasanoineen, ja on hyvä mahdollisuus, että jos joku käyttää [email protected] salasanaa bob1979, sama kirjautumis- ja salasanapari toimii muilla verkkosivuilla. Jos muut sivustot ovat korkeammat profiilit (kuten pankkisivustot tai jos salasanalla, jonka hän käytti Adobeissa, hän todellisuudessa vapauttaa sähköpostiosoitteensa), niin on ongelma. Kun joku on saanut pääsyn sähköpostiisi, he voivat aloittaa salasanan palauttamisen muille palveluille ja päästäkseen niihin myös.

Ainoa tapa lopettaa tällainen ketjureaktio aiheuttaen yhä enemmän tietoturvaongelmia käyttämiesi verkkosivustojen ja palveluiden verkossa on noudattaa kahta hyvää salasanasuojaa koskevia sääntöjä:

Sähköpostisi salasanan on oltava pitkä, vahva ja täysin ainutkertainen kaikissa kirjautumistiedoissa.
Joka kirjautumalla on pitkä, vahva ja ainutlaatuinen salasana. Ei salasanan uudelleenkäyttöä. Koskaan.

Nämä kaksi sääntöä ovat takeaway jokaisesta turvallisuuden oppaasta, jonka olemme koskaan jakaneet kanssasi, mukaan lukien hätätilanteemme, jonka avulla voit palauttaa sen jälkeen, kun sähköpostisi salasana on kompromissi.

Nyt tässä vaiheessa olet luultavasti piristää hieman, koska suoraan sanottuna tuskin kukaan on täysin ilmatiivis salasanat ja turvallisuus. Et ole yksin, jos salasanahygieniasi puuttuu. Itse asiassa on aika tunnustaa.

Olen kirjoittanut kymmeniä tietoturvatiedotteita, tietoturvaongelmia koskevia kirjoituksia ja muita salasanapohjaisia viestejä vuoden aikana, jolloin olen ollut How-To Geekissä. Huolimatta siitä, että juuri tietävää henkilöä, joka pitäisi tietää paremmin, huolimatta salasanojen hallinnoinnista ja turvallisten salasanojen luomisesta jokaiselle uudelle verkkosivustolle ja palvelulle, kun kävin sähköpostini läpi vaarantuneiden Adobe-kirjautumistunnusten luettelon ja sovitin sen vaarantuneen salasanan kanssa silti huomasin, että olin poltettu.

Tein kyseisen Adoben tilin jo kauan sitten, kun olin huomattavasti löysempi salasanapuhalluksella ja salasanani, jota käytin, oli yleinen kymmeniä sivustot ja palvelut, jotka olin allekirjoittanut ennen kuin sain super vakavasti tehdä hyviä salasanoja.

Kaikki tämä olisi voinut estää, jos olisin täysin harjoitellut sitä, mitä minä saarnasin eikä vain luonut ainutlaatuisia ja vahvoja salasanoja, mutta myös tarkistanut vanhat salasanani varmistaakseni, että tilanne ei ole koskaan tapahtunut. Olitpa et ole koskaan yrittänyt olla johdonmukaisia ja turvallisia salasanakäytännöissään tai sinun tarvitsee vain tarkistaa ne, jotta voit laittaa itsesi helposti, perusteellinen salasanatarkastus on polku salasanavarmuuteen ja mielenrauhaan. Lue, kun näytämme sinulle miten.

Valmistautuminen viimeisimmäksi turvallisuushakemuksestasi

Voit tarkistaa salasanasi manuaalisesti, mutta se olisi äärimmäisen tylsiä ja et hyötyisi hyvistä yleisestä salasanojen hallinnoinnista. Sen sijaan, että tarkastelemme kaiken manuaalisesti, aiomme ottaa helposti ja suurelta osin automatisoitua reittiä: aiomme tarkastaa salasanamme ottamalla LastPass Security Challenge.

Tämä opas ei kata LastPassin asettamista, joten jos sinulla ei vielä ole LastPass-järjestelmää käynnissä, kannattaa kannustaa sinua asettamaan se ylös. Tutustu HTTP-ohjeeseen, jonka avulla pääset alkuun LastPassin kanssa. Vaikka LastPass on päivittänyt, koska olemme kirjoittaneet oppaan (käyttöliittymä on paljon kauniimpi ja paremmin virtaviivaistettu nyt), voit silti noudattaa ohjeita helposti. Jos asetat LastPassia ensimmäistä kertaa, muista tuodakaikki tallennetut salasanasi selaimestasi, sillä tavoitteemme on tarkistaa jokaisen käyttämääsi salasanaa.

Syötä kaikki kirjautumistunnukset ja salasanat LastPass-palveluun:Olitpa täysin uusi LastPassille tai et ole täysin käyttänyt sitä jokaista sisäänkirjautumista varten, nyt on aika varmistaa, että olet syöttänytjoka kirjaudu LastPass-järjestelmään. Aion palauttaa ne neuvoja, joita annoimme sähköpostin palautusoppaassa, joka koski sähköpostin saapumista varten muistutuksia:


Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Ota kaksitasoinen todennus LastPass-tilillesi: Tämä vaihe ei ole ehdottoman välttämätöntä turvatarkastuksen suorittamiseksi, mutta kun me kiinnitämme huomiomme, aiomme tehdä kaiken voitavansa kannustaaksemme sinua, kun olet loukkaantunut LastPass-tililläsi, ottaaksesi käyttöön kaksitasoisen todennuksen edelleen varmista LastPass-holkki. (Se ei ainoastaan lisää tilin turvallisuutta, myös turva-auditointipistemääräsi kasvaa!)

LastPass Security haasteen ottaminen

Nyt kun olet tuonut kaikki salasanasi, on aika vetää itsesi häpeäksi siitä, että et ole 1% kovimpien salasanasuojaus ninjojen kanssa. Käy LastPass Security Challenge -sivulla ja paina "Aloita haaste" sivun alareunassa. Sinua pyydetään antamaan pääsalasana, kuten yllä olevassa kuvakaappauksessa näkyy, ja sitten LastPass tarjoaa tarkistaa, onko jokin holvissa olevista sähköpostiosoitteista osa rikkomuksia, jotka se on seurannut. Ei ole hyvä syy olla käyttämättä tätä:

Jos olet onnekas, se palauttaa negatiivisen. Jos olet onnekas, saat tällaisen ponnahdusikkunan, jossa kysyt, haluatko lisätietoja rikkomuksista, joihin sähköpostiosoitteesi osallistui:

LastPass antaa yhden tietoturvaviestin jokaiselle instanssille. Jos sinulla on ollut sähköpostiosoitteesi pitkään, ole valmis järkyttämään kuinka monta salasanaa rikkoo. Se on esimerkki salasanan rikkomisesta:

Ponnahdusikkunat poistetaan sinulta LastPass Security Challenge -ohjelman pääpaneeliin. Muistuta aiemmin oppaassa, kun puhuin siitä, miten käytän hyvää salasanasuojausta, mutta en ole koskaan tullut oikein päivittämään paljon vanhempia verkkosivustoja ja palvelua. Se todella osoittaa saamani pisteet. Auts:

Tämä on minun pistemäärä, jossa vuosien arvoinen satunnainen salasanat sekoitetaan. Älä ole liian järkyttynyt, jos pisteet on vielä pienempi, jos olet käyttänyt samaa kourallista heikkoja salasanoja uudestaan ja uudestaan. Nyt, kun saamme pisteet (mahtava tai häpeällinen se saattaa olla), on aika kaivaa tietoja. Voit käyttää pikalinkkejä pisteiden prosenttiosuuden vieressä tai vain aloittaa vierityksen. Ensimmäinen pysäkki, katsotaan yksityiskohtaisia tuloksia. Tarkastele tätä 10 000 jalka -näkymä salasanasi tilasta:

Vaikka sinun pitäisi kiinnittää huomiota kaikkiin tilastoihin, todella tärkeät ovat "Keskimääräinen salasanan vahvuus", kuinka heikko tai vahva keskimääräinen salasanasi on, ja vielä tärkeämpää, "päällekkäisten salasanojen määrä" ja "niiden sivustojen lukumäärä, joilla on päällekkäisiä salasanoja”. Tarkastuksen syynä oli 43 kpl kahdeksan kpl. Selvästi olin ollut melko laiska uudestaan samaa matalaa salasanaa useammalla kuin muutamilla sivustoilla.

Seuraava pysäytys, analysoitu sivustot -osiossa. Täältä löytyy hyvin konkreettinen murto kaikista kirjautumistiedoista ja salasanoista, jotka on järjestetty päällekkäisen salasanan käytön avulla (jos sinulla on kaksoiskappaleita), ainutlaatuisia salasanoja ja lopuksi salasanoja, joissa ei ole salasanaa LastPassissa. Kun tarkastelet luetteloa, ihastele salasanan vahvuuksien vastakohta. Minun tapauksessani yksi taloudellisista kirjautumistani saivat 45% salasanapisteen, kun tyttäreni Minecraftin sisäänkirjautumiselle saatiin täydellinen 100% pisteet. Jälleen, ouch.

Korjaa kauhistuttavan turvallisuushaasteen tulokset

Kaksi hyvin hyödyllistä linkkiä on rakennettu suoraan tarkastuslistoihin. Jos valitset "SHOW", se näyttää salasanan kyseiselle sivustolle ja jos napsautat "Käy sivustolla", voit siirtyä suoraan verkkosivustolle, jotta voit vaihtaa salasanan. Ei vain sitä, että jokaista päällekkäistä salasanaa muutettaisiin, mutta kaikki salasanat, jotka liitettiin rikkoutuneeseen tiliin (kuten Adobe.com tai LinkedIn), olisi poistettava pysyvästi.

Riippuen siitä, kuinka monta tai kahta salasanaa sinulla on (ja kuinka ahkera olet ollut hyvistä salasanakäytännöistä), tämä prosessin vaihe saattaa kestää kymmenen minuuttia tai koko iltapäivällä. Vaikka salasanojen vaihtamisprosessi vaihtelee päivitettävän sivuston ulkoasun mukaan, tässä on muutamia yleisiä ohjeita (käytämme salasanapäivitystä esimerkkinä Muistuta maitoa): Siirry salasanan muutossivulle. Tyypillisesti sinun tulee syöttää nykyinen salasana ja luoda uusi salasana.

Napsauta sitä lukitusta, jossa on pyöreä nuoli.LastPass lisätään uuteen salasanaan (kuten kuvassa näkyy yllä). Katso uutta salasanaasi ja tee muutoksia, jos haluat (esimerkiksi pidentää sitä tai lisätä erikoismerkkejä):

Napsauta "Käytä salasanaa" ja vahvista, että haluat päivittää muokattavan merkinnän:

Vahvista muutos verkkosivustolla myös. Toista prosessi jokaisesta päällekkäisestä ja heikosta salasanasta LastPass-holkissa.

Viimeinen asia, jonka haluat tarkistaa, on LastPass Master Password. Tee niin napsauttamalla haun näytön alareunassa olevaa linkkiä, jonka otsikko on "Testaa Last Passin pääsalasanan vahvuus". Jos et näe tätä:

Sinun täytyy nollata LastPass Master-salasanasi ja lisätä voimakkuutta, kunnes saat mukavan, positiivisen 100 prosentin vahvistuksen.

Tulosten tutkiminen ja LastPass Securityn parantaminen

Kun olet vaivannut päällekkäisten salasanojen luettelon, poistanut vanhat merkinnät ja muussa tapauksessa tallentanut kirjautumistietosi / salasanasi luettelon, on aika suorittaa tarkastus uudelleen. Nyt korostetaan, että pisteet, jotka näet alla, nostettiin pelkästään parantaen salasanasuojausta. (Jos otat käyttöön muita tietoturvaominaisuuksia, kuten monitekijäinen todennus, saat noin 10 prosentin korotuksen).

Ei paha! Kun poistamme jokaisen päällekkäisen salasanan ja tuodaan kaikki olemassa olevat salasanat jopa 90%: n vahvuuden tai paremman, se todella paransi pisteet. Jos olet utelias, miksi se ei hyppäsi 100%: iin, on olemassa muutamia tekijöitä, joista tärkein on, että LastPass-standardeja ei voi koskaan tuhlata salasanoilla, koska sivuston ylläpitäjät. Esimerkiksi paikalliskirjaston sisäänkirjautumissalasana on nelinumeroinen pin (joka vastaa 4% LastPass-suojausasteikosta). Useimmilla ihmisillä on jonkinlainen outliers sellaisenaan luettelossaan ja ne vetävät pistemääränsä alaspäin.

Tällaisissa tapauksissa on tärkeää, ettet lannistu ja käytä yksityiskohtaista erittelyäsi metrisenä:

Salasanan päivitysprosessissa leikattiin 17 kaksoiskappale / vanhentunut sivusto, luotiin ainutlaatuinen salasana jokaiselle sivustolle ja palvelukselle ja tuottivat prosesseissa olevien sivujen määrän, jossa päällekkäiset salasanat olivat 43: stä 0: ään.

Kesti vain tunnin tunne vakavasti keskittyneestä ajasta (12,4% käytettiin kirottuna verkkosivuston suunnittelijoille, jotka laittoivat salasanapäivityssivustot epämääräisissä paikoissa), ja kaikki, mitä tarvittiin saadakseni minut motivoiduiksi, oli katastrofaalisten mittasuhteiden salasanasuojaus! Tehdyn merkin, valtava menestys.

Nyt kun olet auditoinut salasanasi ja olet pumppaillut siitä, että sinulla on vakaa ainutlaatuisia salasanoja, käytämme tätä etenemistä. Tapaa oppaamme LastPassin tekemiseenjopa turvallisempaa lisäämällä salasanan iterointeja, rajoittamalla kirjautumistunnuksia maittain ja paljon muuta. Suorittamamme tarkastuksen suorittamisessa, jonka olemme ottaneet käyttöön LastPass-suojausoppaamme jälkeen ja kahden tekijän algoritmien käyttöönotolla, sinulla on luodinkestävä salasanan hallintajärjestelmä, josta voi olla ylpeä.