Если вы практикуете слабое управление паролями и гигиену, это лишь вопрос времени, когда одно из все более многочисленных крупномасштабных нарушений безопасности обожжет вас. Перестань быть благодарным, что ты увернулся от прошлых пуль безопасности и защитил себя от будущих. Читайте дальше, как мы покажем вам, как проверить ваши пароли и защитить себя.
Что такое большое дело и почему это важно?
В октябре этого года Adobe сообщила о серьезном нарушении безопасности, которое затронуло 3 миллиона пользователей Adobe.com и программного обеспечения Adobe. Затем они пересмотрели число до 38 миллионов. Затем, что еще более шокирует, когда произошла утечка базы данных взломщика, исследователи безопасности, которые проанализировали базу данных, вернулись и сказали, что это больше похоже на 150 миллионов скомпрометированных учетных записей пользователей. Эта степень воздействия на пользователей ставит нарушение Adobe в действие как одно из самых серьезных нарушений безопасности в истории.
Однако Adobe вряд ли одинок в этом отношении; мы просто начали с их нарушения, потому что это болезненно недавно. Только за последние несколько лет произошли десятки серьезных нарушений безопасности, когда информация пользователя, включая пароли, была взломана.
LinkedIn был взломан в 2012 году (6,46 миллионов пользовательских записей скомпрометированы). В том же году была совершена атака на eHarmony (1,5 миллиона записей пользователей), как на Last.fm (6,5 миллиона записей пользователей) и Yahoo! (450 000 записей пользователей). Сеть Sony Playstation Network была взломана в 2011 году (взломано 101 миллион пользовательских записей). Gawker Media (материнская компания таких сайтов, как Gizmodo и Lifehacker) пострадала в 2010 году (скомпрометировано 1,3 миллиона записей пользователей). И это только примеры крупных нарушений, которые сделали новости!
Центр обмена правами на конфиденциальность ведет базу данных о нарушениях безопасности с 2005 года по настоящее время. Их база данных включает широкий спектр типов нарушений: скомпрометированные кредитные карты, украденные номера социального страхования, украденные пароли и медицинские записи. База данных на момент публикации этой статьи состоит из 4 033 нарушений , содержащих 617 937 023 пользовательских записей . Не каждый из этих сотен миллионов нарушений был связан с паролями пользователей, но миллионы и миллионы из них были.
Так почему это важно? Помимо очевидных и непосредственных последствий нарушения безопасности, нарушения создают сопутствующий ущерб. Хакеры могут немедленно начать тестирование логинов и паролей, которые они собирают на других веб-сайтах.
Большинство людей ленивы со своими паролями, и есть большая вероятность, что если кто-то использует bob@somewebemail.com с паролем bob1979, эта же пара логин/пароль будет работать на других веб-сайтах. Если эти другие веб-сайты имеют более высокий профиль (например, банковские сайты или пароль, который он использовал в Adobe, фактически разблокирует его почтовый ящик), то есть проблема. Как только кто-то получит доступ к вашему почтовому ящику, он сможет начать сбрасывать пароль в других службах и получать к ним доступ.
Единственный способ предотвратить возникновение еще большего количества проблем с безопасностью в сети используемых вами веб-сайтов и служб – это следовать двум основным правилам правильной гигиены паролей:
- Ваш пароль электронной почты должен быть длинным, надежным и абсолютно уникальным среди всех ваших логинов.
- Каждый логин получает длинный, надежный и уникальный пароль. Нет повторного использования пароля. Всегда.
Эти два правила взяты из каждого руководства по безопасности, которым мы с вами когда-либо поделились, в том числе из нашего экстренного руководства «Как добраться до фаната». Как восстановить пароль после компрометации.
Теперь в этот момент вы, вероятно, немного корчитесь, потому что, честно говоря, вряд ли у кого-то есть абсолютно герметичные методы паролей и безопасность. Вы не одиноки, если вам не хватает гигиены паролей. На самом деле, пришло время исповеди.
Я написал десятки статей по безопасности, посты о взломах безопасности и другие посты, связанные с паролями, за годы работы в TutoryBird. Несмотря на то, что я был именно таким осведомленным человеком, который должен знать лучше, несмотря на использование менеджера паролей и создание безопасных паролей для каждого нового веб-сайта и службы, когда я проверил свою электронную почту по списку скомпрометированных логинов Adobe и сопоставил его с скомпрометированным паролем, я все еще узнал, что я обгорел.
Я создал эту учетную запись Adobe давным-давно, когда я был значительно более слаб в плане гигиены паролей, и пароль, который я использовал, был распространен среди десятков веб-сайтов и служб, с которыми я подписался до того, как получил очень серьезно относится к созданию хороших паролей.
Все это можно было бы предотвратить, если бы я полностью выполнил то, что проповедовал, и не просто создал уникальные и надежные пароли, но также проверил мои старые пароли, чтобы гарантировать, что такая ситуация никогда не возникала.Независимо от того, пытались ли вы когда-либо быть последовательными и безопасными с вашими действиями с паролями, или вам просто нужно проверить их, чтобы чувствовать себя непринужденно, тщательный аудит паролей – это путь к безопасности паролей и душевному спокойствию. Продолжайте читать, как мы покажем вам, как.
Подготовка к последней проверке безопасности
Вы можете вручную проверять свои пароли, но это будет чрезвычайно утомительно, и вы не получите никаких преимуществ от использования хорошего универсального менеджера паролей. Вместо того, чтобы вручную проверять все, мы собираемся выбрать простой и в значительной степени автоматизированный маршрут: мы собираемся проверять наши пароли, принимая вызов LastPass Security.
Это руководство не охватывает настройку LastPass, поэтому, если у вас еще не запущена и не запущена система LastPass, мы настоятельно рекомендуем вам ее настроить. Ознакомьтесь с Руководством HTG по началу работы с LastPass, чтобы начать. Хотя LastPass обновился с тех пор, как мы написали руководство (интерфейс стал намного красивее и лучше оптимизирован), вы все равно можете легко выполнить эти действия. Если вы настраиваете LastPass в первый раз, обязательно импортируйте все сохраненные пароли из ваших браузеров, так как наша цель – проверить каждый используемый вами пароль.
Введите каждый логин и пароль в LastPass. Если вы новичок в LastPass или не использовали его для каждого входа в систему, сейчас самое время убедиться, что вы ввели каждый вход в систему LastPass. Мы собираемся повторить совет, который мы дали в нашем руководстве по восстановлению электронной почты, чтобы прочесать ваш почтовый ящик для напоминаний:
Найдите в своем письме напоминания о регистрации. Вам не составит труда вспомнить ваши часто используемые учетные записи, такие как Facebook и ваш банк, но, вероятно, существуют десятки сервисов, которые вы даже не помните, что вы используете свою электронную почту для входа в систему. Используйте поиск по ключевым словам, например «Добро пожаловать», «Сброс», «Восстановление», «Подтвердить», «Пароль», «Имя пользователя», «Логин», «Учетная запись» и комбинации там, например «Сбросить пароль» или «Подтвердить учетную запись». , Опять же, мы знаем, что это хлопотно, но как только вы сделаете это с менеджером паролей на вашей стороне, у вас будет основной список всех ваших учетных записей, и вам больше никогда не придется заниматься поиском ключевых слов.
Включите двухфакторную аутентификацию в своей учетной записи LastPass. Этот шаг не является обязательным для проведения аудита безопасности, но пока мы обращаем ваше внимание, мы сделаем все от нас зависящее, чтобы поощрить вас, пока вы перебираем учетную запись LastPass, чтобы включить двухфакторную аутентификацию для дополнительной защиты вашего хранилища LastPass. (Мало того, что это повышает безопасность вашей учетной записи, вы также получите повышение в результатах аудита безопасности!)
Принимая вызов безопасности LastPass
Теперь, когда вы импортировали все свои пароли, пришло время приготовиться к позору того, что вы не в 1% хардкорных паролей-ниндзя. Перейдите на страницу LastPass Security Challenge и нажмите «Начать испытание» внизу страницы. Вам будет предложено ввести мастер-пароль, как показано на снимке экрана выше, а затем LastPass предложит проверить, не является ли какой-либо из адресов электронной почты, содержащихся в вашем хранилище, частью каких-либо нарушений, которые он отслеживал. Нет веских причин не воспользоваться этим:
Если вам повезет, он возвращает отрицательный. Если вам повезет, вы увидите всплывающее окно с таким вопросом, хотите ли вы получить дополнительную информацию о взломах, в которых участвовало ваше электронное письмо:
LastPass выдаст одно предупреждение безопасности для каждого экземпляра. Если у вас был свой адрес электронной почты в течение длительного времени, будьте готовы потрясти, сколько взломов пароля он запутал. Вот пример уведомления о нарушении пароля:
После всплывающих окон вы попадете на главную панель LastPass Security Challenge. Помните ранее в руководстве, когда я говорил о том, как я в настоящее время практикую хорошую гигиену паролей, но что я никогда не удосужился должным образом обновить многие старые веб-сайты и службы? Это действительно показывает в счете, который я получил. Уч:
Это мой результат, в котором замешаны годы случайных паролей. Не будьте слишком шокированы, если ваш счет будет еще ниже, если вы снова и снова используете одну и ту же горстку слабых паролей. Теперь, когда у нас есть оценка (какой бы удивительной или позорной она ни была), пришло время покопаться в данных. Вы можете использовать быстрые ссылки рядом с вашим процентом оценки или просто начать прокрутку. Сначала остановимся, давайте проверим подробные результаты. Считайте, что это 10 000-футовый обзор состояния ваших паролей:
Несмотря на то, что вы должны обратить внимание на всю статистику здесь, действительно важными являются «Средняя надежность пароля», насколько слабый или надежный ваш средний пароль и, что еще более важно, «Количество повторяющихся паролей» и «Количество сайтов с дублирующимися паролями». ». В результате моего аудита было 8 дупликов на 43 сайтах. Очевидно, я довольно лениво использовал один и тот же низкопробный пароль на нескольких сайтах.
Следующая остановка – раздел «Проанализированные сайты». Здесь вы найдете очень конкретную разбивку всех ваших логинов и паролей, организованных с использованием дублированных паролей (если у вас были дубликаты), уникальных паролей и, наконец, логинов без пароля, хранящихся в LastPass. Пока вы просматриваете список, поразитесь контрасту между надежностью пароля. В моем случае один из моих финансовых входов в систему получил 45% -ную оценку пароля, в то время как вход моей дочери в Minecraft получил 100% -ную оценку. Опять ой.
Исправление вашего ужасного счёта безопасности
Есть две очень полезные ссылки, встроенные прямо в списки аудита. Если вы нажмете «ПОКАЗАТЬ», он покажет вам пароль для этого сайта, а если вы нажмете «Посетить сайт», вы сможете перейти прямо на сайт и изменить пароль. Меняется не только каждый дублированный пароль, но и любой пароль, который был присоединен к нарушенной учетной записи (такой как Adobe.com или LinkedIn), должен быть удален навсегда.
В зависимости от того, сколько у вас паролей или сколько у вас паролей (и насколько усердно вы придерживались правильной практики паролей), этот шаг процесса может занять у вас десять минут или весь день. Хотя процесс изменения ваших паролей будет зависеть от макета сайта, который вы обновляете, вот некоторые общие рекомендации, которым нужно следовать (в качестве примера мы используем наше обновление пароля в Remember the Milk): Посетите страницу смены пароля , Обычно вам нужно ввести свой текущий пароль, а затем сгенерировать новый пароль.
Сделайте это, нажав на логотип замка с круглой стрелкой. LastPass вставляется в новый слот для пароля (как показано на скриншоте выше). Посмотрите ваш новый пароль и внесите изменения, если хотите (например, удлините его или добавьте специальные символы):
Нажмите «Использовать пароль» и подтвердите, что хотите обновить редактируемую запись:
Обязательно подтвердите изменения на сайте. Повторите процедуру для каждого дублированного и слабого пароля в вашем хранилище LastPass.
Наконец, последнее, что вам нужно проверить, это ваш мастер-пароль LastPass. Сделайте это, нажав на ссылку внизу экрана Challenge с надписью «Проверьте надежность моего мастер-пароля LastPass». Если вы этого не видите:
Вам нужно сбросить мастер-пароль LastPass и увеличивать силу, пока вы не получите приятное, положительное, 100% подтверждение прочности.
Изучение результатов и дальнейшее повышение безопасности LastPass
После того, как вы просмотрели список дубликатов паролей, удалили старые записи и, в противном случае, очистили свой список логинов и паролей, пришло время снова запустить аудит. Теперь, чтобы подчеркнуть, счет, который вы видите ниже, был повышен исключительно за счет повышения безопасности пароля. (Если вы включите дополнительные функции безопасности, такие как многофакторная аутентификация, вы получите повышение примерно на 10%).
Неплохо! После удаления каждого дублирующего пароля и доведения всех существующих паролей до 90% и более, это действительно улучшило наш счет. Если вам любопытно, почему он не поднялся до 100%, есть несколько факторов, наиболее заметным из которых является то, что некоторые пароли никогда не могут быть использованы по стандартам LastPass из-за глупых политик, применяемых администраторы сайта. Например, пароль для входа в мою локальную библиотеку представляет собой четырехзначный пин-код (который оценивается в 4% по шкале безопасности LastPass). У большинства людей в списке есть такие выбросы, которые снижают их баллы.
В таких случаях важно не унывать и использовать свою подробную разбивку в качестве показателя:
В процессе обновления пароля я удалил 17 дублированных/просроченных сайтов, создал уникальный пароль для каждого сайта и службы и уменьшил количество сайтов с дублирующимися паролями с 43 до 0.
Это заняло около часа серьезно сконцентрированного времени (12,4% было потрачено на проклятия дизайнеров веб-сайтов, которые размещали ссылки на обновления паролей в непонятных местах), и все, что потребовалось для мотивации, – это нарушение пароля в катастрофических масштабах! Я делаю заметку здесь, огромный успех.
Теперь, когда вы проверили свои пароли и настроены на стабильную работу с уникальными паролями, давайте воспользуемся этим преимуществом. Обратитесь к нашему руководству, чтобы сделать LastPass еще более безопасным, увеличив число итераций паролей, ограничив вход в систему по странам и многое другое. Между проведением аудита, который мы изложили здесь, следуя нашему руководству по безопасности LastPass, и включением двухфакторных алгоритмов, у вас будет пуленепробиваемая система управления паролями, которой вы можете гордиться.