Domovská » jak » Jak spustit bezpečnostní audit posledního průchodu (a proč to nemůže čekat)

    Jak spustit bezpečnostní audit posledního průchodu (a proč to nemůže čekat)

    Pokud praktikujete laxní správu hesel a hygienu, je to jen otázka času, dokud vás nepořádá jedna z četných rozsáhlých bezpečnostních porušení. Přestaňte být vděčni, že jste se vyhnuli minulým bezpečnostním střelám a zbrojním proti budoucím. Přečtěte si, jak vám ukážeme, jak kontrolovat hesla a chránit sebe.

    Jaký je velký rozměr a proč to dělá??

    V říjnu letošního roku společnost Adobe odhalila, že došlo k závažnému narušení bezpečnosti, které postihlo 3 miliony uživatelů softwaru Adobe.com a Adobe. Poté revidovali číslo na 38 milionů. Pak, ještě víc šokující, když byla z databáze hackerů vypuštěna, bezpečnostní vědci, kteří analyzovali databázi, se vrátili a řekli, že je to spíš 150 milionů zneužití uživatelských účtů. Tento stupeň uživatelské expozice způsobuje, že porušení technologie Adobe je jedním z nejhorších bezpečnostních porušení v historii.

    Adobe je však na této frontě sotva sám; jednoduše jsme se otevřeli s jejich porušením, protože je to bolestně nedávné. Jen v posledních několika letech došlo k desítkám obrovských bezpečnostních porušení, kdy byly ohroženy informace o uživatelích, včetně hesel.

    LinkedIn byl zasažen v roce 2012 (6,46 milionů uživatelských záznamů bylo ohroženo). V témže roce byl eHarmony zasažen (1,5 milionu uživatelských záznamů), stejně jako Last.fm (6,5 milionů uživatelských záznamů) a Yahoo! (450 000 uživatelských záznamů). Síť Sony Playstation byla zasažena v roce 2011 (101 milionů uživatelských záznamů bylo ohroženo). Společnost Gawker Media (mateřská společnost z lokalit, jako je Gizmodo a Lifehacker) byla zasažena v roce 2010 (1,3 milionu uživatelů je ohroženo). A to jsou jen příklady velkých porušení, které dělaly zprávy!

    Společnost Privacy Rights Clearinghouse udržuje databázi porušení bezpečnosti od roku 2005 do současnosti. Jejich databáze zahrnuje širokou škálu typů porušení: ohrožených kreditních karet, odcizených čísel sociálního zabezpečení, odcizených hesel a lékařských záznamů. Databáze, od vydání tohoto článku, se skládá z 4 033 narušení obsahující 617,937,023 uživatelských záznamů. Ne každý z těch stovek milionů porušení zahrnoval uživatelská hesla, ale milióny a miliony z nich.

    Tak proč na tom záleží? Vedle zjevných a bezprostředních bezpečnostních důsledků porušení způsobují porušení vedlejší škody. Hackeři mohou okamžitě začít testovat přihlašovací údaje a hesla, která shromažďují na jiných webových stránkách.

    Většina lidí je líná svým heslem a existuje velká šance, že pokud někdo použije [email protected] s heslem bob1979, stejný login / heslo pár bude pracovat na jiných webových stránkách. Pokud jsou tyto jiné webové stránky vyšší profil (například bankovní stránky nebo pokud heslo, které používá, společnost Adobe skutečně odblokuje e-mailovou schránku), je zde problém. Jakmile někdo má přístup do vaší e-mailové schránky, může začít znovu nastavovat heslo na jiné služby a získat přístup k nim.

    Jediný způsob, jak zastavit tento druh řetězové reakce způsobit ještě více bezpečnostních problémů v síti webových stránek a služeb, které používáte, je dodržovat dvě zásadní pravidla dobré hygieny hesel:

    1. Vaše heslo by mělo být dlouhé, silné a zcela jedinečné mezi všemi přihlašovacími údaji.
    2. Každý přihlášení získá dlouhé, silné a jedinečné heslo. Bez opětovného použití hesla. Vůbec.

    Tyto dvě pravidla jsou únikem z každé bezpečnostní příručky, kterou jsme kdy s vámi sdíleli, včetně našeho pohotovostního průvodce. Jak se obnovit poté, co bylo vaše e-mailové heslo kompromisováno.

    Teď se v tomto okamžiku pravděpodobně trochu kroužíte, protože, upřímně řečeno, sotva někdo má dokonale vzduchotěsné heslo a bezpečnost. Nejste sám, pokud chybí vaše hesla. Ve skutečnosti je čas na přiznání.

    Napsal jsem desítky bezpečnostních článků, příspěvků o bezpečnostních porušeních a dalších příspěvcích týkajících se hesla v průběhu let, kdy jsem byl v How-To Geek. Přestože jsem přesně ten druh informovaného člověka, který by měl vědět lépe, navzdory používání správce hesel a generování bezpečných hesel pro každou novou webovou stránku a službu, když jsem spustil svůj e-mail přes seznam ohrožených přihlášení Adobe a odpovídal na toto heslo, stále jsem zjistil, že jsem spálil.

    Udělal jsem tento účet Adobe před dávnou dobou, kdy jsem byl výrazně více laxní s heslem pro hygienu a heslo, které jsem použil, bylo společné desítky webových stránek a služeb, se kterými jsem se zaregistroval, než jsem se o seriózních heslech dostal velmi vážně.

    Všechno tomu mohlo být zabráněno, kdybych plně cvičil to, co jsem kázal, a nejen že jsem vytvořil jedinečná a silná hesla, ale taky auditoval mé staré hesla, aby zajistila, že se tato situace nikdy nestala. Ať už jste se nikdy ani nepokusili být konzistentní a bezpeční pomocí svých praxe v oblasti hesel, nebo stačí je zkontrolovat, abyste se uklidnili, důkladný audit heslem je cesta k zabezpečení heslem a klid. Přečtěte si, jak vám ukážeme jak.

    Příprava na vaši Lastpass Security Challenge

    Mohli byste ručně prověřit vaše hesla, ale to by bylo nesmírně zdlouhavé a vy byste nezískali žádné výhody plynoucí z používání dobrého univerzálního správce hesel. Namísto ručního prověřování všeho se chystáme provést jednoduchou a převážně automatizovanou trasu: budeme kontrolovat naše hesla tím, že přijmeme LastPass Security Challenge.

    Tato příručka se netýká nastavení LastPassu, takže pokud ještě nemáte systém LastPass, důrazně doporučujeme, abyste jej nastavili. Podívejte se na Průvodci HTG, který vám pomůže začít se systémem LastPass, abyste mohli začít. Ačkoli LastPass byl aktualizován od chvíle, kdy jsme napsali průvodce (rozhraní je mnohem hezčí a lépe zjednodušené), stále můžete postupovat s kroky snadno. Pokud nastavujete aplikaci LastPass poprvé, nezapomeňte importovat Všechno vaše uložená hesla z vašich prohlížečů, protože naším cílem je prověřit každé jednotlivé heslo, které používáte.

    Zadejte každé přihlašovací jméno a heslo do LastPass: Ať už jste úplně nový na LastPass, nebo jste jej zcela nepoužívali pro každé přihlášení, nyní je čas, abyste se ujistili, že jste zadali každý přihlášení do systému LastPass. Odpovíme vám pokyny, které jsme vám poskytli v našem e-mailovém návodu pro obnovu e-mailu pro připomenutí vašich e-mailových schránek:

    Vyhledejte svůj e-mail pro registraci připomenutí. Nebude těžké si zapamatovat své často používané přihlašovací údaje, jako je Facebook a vaše banka, ale pravděpodobné je, že tucet desítek výdajových služeb, které si možná ani nezapomenete, že používáte svůj e-mail pro přihlášení. Používejte vyhledávací dotazy typu "welcome to", "reset", "recovery", "verify", "password", "username", "login", "account" . Znovu víme, že se jedná o potíže, ale jakmile to uděláte s manažerem hesel na vaší straně, máte hlavní seznam všech svých účtů a nikdy nebudete muset tento klíčový klíč provést znovu.

    Povolte dvoufaktorové ověřování na účtu LastPass: Tento krok není nezbytně nutný k provedení bezpečnostního auditu, ale přestože budeme mít vaši pozornost, budeme dělat vše, co je v našich silách, abychom vás povzbudili, zatímco jste se vyhnuli na svém účtu LastPass, abyste zapnuli dvoufaktorovou autentizaci dále zabezpečte vaši LastPass vault. (Nejen, že zvýší bezpečnost vašeho účtu, ale i vaše skóre zabezpečení se zvýší!)

    Vezmeme si poslední bezpečnostní výzvu

    Nyní, když jste importovali všechna vaše hesla, je čas se vypořádat s hanbou, že nejste v 1% tvrdých ninjových hesel pro zabezpečení heslem. Navštivte stránku LastPass Security Challenge a stiskněte "Spustit výzvu" v dolní části stránky. Budete vyzváni k zadání svého hlavního hesla, jak je vidět na výše uvedené obrazovce, a pak LastPass nabídne kontrolu, zda některá z e-mailových adres obsažených ve vašem trezoru byla součástí porušení, které byly sledovány. Neexistuje žádný důvod k tomu, abyste tuto výhodu nevyužili:

    Pokud máte štěstí, vrátí se negativní. Máte-li štěstí, dostanete takový pop-up, který se ptá, zda chcete získat více informací o porušení, které se váš e-mail týkal:

    LastPass vydá jednu bezpečnostní výstrahu pro každou instanci. Pokud jste měli dlouhou dobu svou e-mailovou adresu, buďte připraveni být šokován tím, kolik překročení hesla bylo zapleteno. Zde je příklad oznámení o narušení hesla:

    Po vyskakovacích oknech se dostanete do hlavního panelu aplikace LastPass Security Challenge. Zapamatujte si dříve v příručce, když jsem hovořil o tom, jak v současné době cvičí dobrou hygienu hesel, ale že jsem se nikdy nedostal k správné aktualizaci mnoha starších webových stránek a služeb? To opravdu ukazuje ve skóre jsem dostal. Ouch:

    To je moje skóre, která se skládá z let s hodnotou náhodných hesel. Nebuďte příliš šokovaní, pokud vaše skóre je ještě nižší, pokud používáte stejnou hromadu slabých hesel znovu a znovu. Nyní, když máme naše skóre (ať už je to úžasné nebo hanebné, může to být), je načase kopat do dat. Můžete použít rychlé odkazy vedle vašeho procentního podílu nebo právě začít rolovat. První zastávka, podívejte se na podrobné výsledky. Uvažujme o 10 000 nožním přehledu stavu vašich hesel:

    Zatímco byste měli věnovat pozornost všem statistikám zde, opravdu důležité jsou "Průměrná hodnota hesla", jak slabé nebo silné je vaše průměrné heslo a ještě důležitější je "Počet duplicitních hesel" a "Počet stránek s duplicitními hesly ". V příčinách mého auditu bylo ve více než 43 lokalitách 8 místností. Samozřejmě jsem byl líně líný, že používám stejné nízké heslo na více než několika místech.

    Další zastávka v sekci Analyzované weby. Zde najdete velmi konkrétní rozpis všech přihlašovacích údajů a hesel, které jsou organizovány použitím duplicitního hesla (pokud jste měli duplikáty), jedinečných hesel a nakonec přihlášení bez hesla uloženého v aplikaci LastPass. Zatímco se díváte na seznam, překvapujte kontrast mezi silnými hesly. V mém případě byl jeden z mých finančních přihlášení obdržen 45% skóre hesla, zatímco přihlášení Minecraft dcery bylo dáno dokonalému 100% skóre. Opět, ano.

    Stanovení vašeho hrozivého skóre zabezpečení

    Existují dva velmi užitečné odkazy postavené přímo do seznamu auditů. Pokud kliknete na tlačítko "SHOW", zobrazí se vám heslo pro daný web a pokud kliknete na "Navštívit stránku", můžete přeskočit přímo na web, abyste mohli změnit heslo. Nejenže by se mělo měnit každé duplicitní heslo, ale heslo, které bylo připojeno k účtu, který byl porušen (například Adobe.com nebo LinkedIn), by měl být trvale vyřazen.

    V závislosti na tom, kolik hesel máte nebo kolikrát máte (a jak jste byli pečliví o dobrých heslech), tento krok by mohl trvat deset minut nebo celé odpoledne. Přestože se proces změn hesel liší podle uspořádání webu, který aktualizujete, uvádíme několik obecných pokynů, které následují (používáme například aktualizaci hesla na adrese Vzpomínáme si na mléko): Navštivte stránku s heslem . Obvykle budete muset zadat své aktuální heslo a pak vygenerovat nové heslo.

    Udělejte tak kliknutím na logo zámku s kruhovou šipkou. LastPass vloží do nového slotu pro heslo (jak je vidět na snímku obrazovky výše). Podívejte se na nové heslo a proveďte úpravy, pokud si přejete (například prodloužením nebo přidáním zvláštních znaků):

    Klikněte na tlačítko "Použít heslo" a potvrďte, že chcete aktualizovat položku, kterou upravujete:

    Ujistěte se, že změnu potvrďte i na webových stránkách. Opakujte proces každého duplicitního a slabého hesla ve vaší LastPass vault.

    Konečně, poslední věc, kterou potřebujete ke kontrole, je vaše LastPass Master Password. Udělejte tak kliknutím na odkaz v dolní části obrazovky výzvy označené jako "Test síly mého LastPass Master Password". Pokud toto nevidíte:

    Musíte obnovit své LastPass Master Password a zvýšit sílu, dokud nedostanete pěkné, pozitivní potvrzení o 100% síle.

    Zjišťování výsledků a dalšího zvýšení zabezpečení LastPassu

    Poté, co jste prolistovali seznam duplicitních hesel, odstranili staré položky a jinak jste si vybrali a zajistili svůj seznam přihlašovacích údajů a hesel, je čas znovu provést audit. Nyní, pro důraz, skóre, které vidíte níže, bylo vychováno pouze zlepšením zabezpečení heslem. (Pokud povolíte další funkce zabezpečení, jako je multifaktorová autentizace, získáte podporu přibližně 10%).

    Není špatné! Po odstranění všech duplicitních hesel a přenesení všech stávajících hesel až o 90% nebo více, skutečně došlo ke zlepšení skóre. Pokud jste zvědaví, proč to nesáhlo na 100%, existuje několik faktorů, z nichž nejdůležitější je, že některé hesla nemohou být nikdy vyvedeny na šňupací tabule podle standardů LastPass, protože hloupé politiky na místě správci stránek. Například přihlašovací heslo místní knihovny je čtyřmístný pin (který dosahuje skóre 4% v měřítku zabezpečení LastPass). Většina lidí bude mít nějaké odlehčené hodnoty, jako je ten v jejich seznamu, a že bude táhnout jejich skóre dolů.

    V takových případech je důležité nedůtknout se a použít podrobný rozpis jako metriku:

    V procesu aktualizace hesla jsem zrušil 17 duplicitních / vypršelých stránek, vytvořil jsem jedinečné heslo pro každou stránku a službu a přinesl počet stránek s duplicitními hesly od 43 do 0 v procesu.

    Trvalo to zhruba hodinu vážně zaměřeného času (12,4% z toho bylo strávil prokletí návrhářů webových stránek, kteří položili odkazy na aktualizaci hesla na nejasných místech) a všechno, co bylo zapotřebí k tomu, aby mě motivovalo, bylo narušení hesla v katastrofických rozměrech! Uvážím tu poznámku, obrovský úspěch.


    Nyní, když jste provedli audit vašich hesel a jste vyčerpáni tím, že budete mít stabilní jedinečná hesla, využijte tohoto pokroku. Dotkněte se našeho průvodce vytvořením LastPassu dokonce bezpečnější zvýšením počtu hesel, omezováním přihlášení podle země a dalšími. Mezi prováděním auditu, který jsme zde popsali, po našem bezpečnostním průvodci LastPass a se zapnutím dvoufaktorových algoritmů, budete mít systém ochrany před hlukem, který vám může být hrdý.