Aký je veľký obchod a prečo sa to týka?
V októbri tohto roku spoločnosť Adobe zistila, že došlo k závažnému narušeniu bezpečnosti, ktoré postihlo 3 milióny používateľov softvéru Adobe.com a Adobe. Potom zrevidovali číslo na 38 miliónov. Potom, ešte viac šokujúco, keď sa z databázy z hackerov uniklo, výskumníci v oblasti bezpečnosti, ktorí analyzovali databázu, sa vrátili a povedali, že je to skôr 150 miliónov ohrozených používateľských účtov. Tento stupeň vystavenia používateľov spôsobuje porušenie pravidiel Adobe v prevádzke ako jeden z najhorších narušení bezpečnosti v histórii.
Adobe je však na tomto fronte sotva sám; jednoducho sme otvorili s ich porušením, pretože je to bolestivo nedávno. Len v posledných niekoľkých rokoch sa vyskytli desiatky masívnych narušení bezpečnosti, keď boli ohrozené informácie o používateľoch vrátane hesiel.
LinkedIn bol zasiahnutý v roku 2012 (6,46 milióna užívateľských záznamov bolo ohrozených). V tom istom roku bola eHarmony zasiahnutá (1,5 milióna užívateľských záznamov), rovnako ako Last.fm (6,5 milióna užívateľských záznamov) a Yahoo! (450 000 používateľských záznamov). Sieť Sony Playstation bola zasiahnutá v roku 2011 (101 miliónov používateľských záznamov bolo ohrozených). Spoločnosť Gawker Media (materská spoločnosť stránok ako Gizmodo a Lifehacker) bola zasiahnutá v roku 2010 (1,3 milióna užívateľských záznamov bolo ohrozených). A to sú len príklady veľkých porušení, ktoré spravili novinky!
Spoločnosť Privacy Rights Clearinghouse udržiava databázu narušenia bezpečnosti od roku 2005 do súčasnosti. Ich databáza zahŕňa širokú škálu typov porušení: kompromisné kreditné karty, odcudzené čísla sociálneho poistenia, odcudzené heslá a zdravotné záznamy. Databáza sa od uverejnenia tohto článku skladá z 4 033 priestupkov obsahujúce 617,937,023 používateľských záznamov, Nie každá z tých stoviek miliónov porušenia obsahovala používateľské heslá, ale milióny a milióny z nich robili.
Tak prečo na tom záleží? Okrem zjavných a okamžitých bezpečnostných dôsledkov porušenia porušenia spôsobujú škody na druhej strane. Hackeri môžu ihneď začať testovať prihlasovacie údaje a heslá, ktoré zbierajú na iných webových stránkach.
Väčšina ľudí je lenivá so svojimi heslami a existuje veľká šanca, že ak by niekto používal [email protected] s heslom bob1979, že rovnaký prihlasovací / heslo pár bude pracovať na iných webových stránkach. Ak sú tieto iné webové stránky s vyšším profilom (napríklad bankové stránky alebo ak heslo, ktoré používa spoločnosť Adobe, skutočne odomkne svoju e-mailovú schránku), je tu problém. Keď niekto má prístup k vašej e-mailovej schránke, môže začať obnoviť heslo na iných službách a získať prístup k nim.
Jediný spôsob, ako zastaviť tento druh reťazovej reakcie spôsobiť ešte viac bezpečnostných problémov v rámci siete webových stránok a služieb, ktoré používate, je nasledovať dve základné pravidlá správnej hygieny hesiel:
- Heslo vášho e-mailu by malo byť dlhé, silné a úplne jedinečné medzi všetkými vašimi prihlasovacími údajmi.
- každý prihlásenie získa dlhé, silné a jedinečné heslo. Nepoužívajte opakované používanie hesla. Ever.
Tieto dve pravidlá sú únikom z každého bezpečnostného sprievodcu, s ktorým sme sa s vami podelili, vrátane našej núdzovej príručky ako sa dostať do povetria. Ako sa obnoviť po vašom e-mailovom hesle je kompromisné.
Teraz sa v tomto bode asi trošku rozmrzelíte, pretože úprimne povedané, takmer niekto má perfektne vzduchotesné heslo a bezpečnosť. Nie ste sám, ak chýba Vaša hesla. V skutočnosti je čas na priznanie.
Napísal som desiatky bezpečnostných článkov, príspevkov o porušeniach bezpečnosti a ďalších príspevkov súvisiacich s heslom počas rokov, ktoré som absolvoval na adrese How-To Geek. Napriek tomu, že som presne ten druh informovanej osoby, ktorá by mala vedieť lepšie, napriek tomu, že používala správcu hesiel a generovala bezpečné heslá pre každú novú webovú stránku a službu, keď som spustil svoj e-mail prostredníctvom zoznamu ohrozených prihlasovacích údajov služby Adobe a zosúladil ho s kompromitovaným heslom, stále som zistil, že som spálil.
Robil som ten účet Adobe už dávno, keď som bol omnoho viac laxný s mojou heslom a heslo, ktoré som použil, bolo spoločné naprieč veľa webových stránok a služieb, s ktorými som sa prihlásil skôr, než som sa dostal veľmi vážne na to, aby som vytvoril dobré heslá.
Všetko to bolo možné zabrániť, keby som plne praktizoval to, čo som kázal, a nie len vytvoriť jedinečné a silné heslá, ale tiež auditované moje staré heslá, aby sa zaistila, že sa táto situácia nikdy nestala na prvom mieste. Bez ohľadu na to, či ste sa ani nepokúšali, aby ste boli konzistentní a bezpeční svojimi praxami v oblasti hesiel, alebo stačí ich skontrolovať, aby ste sa utišili, dôkladný audit heslom je cesta k bezpečnosti heslom a pokoja. Čítajte ďalej, ako vám ukážeme, ako.
Príprava na Vašu Lastpass Security Challenge
Táto príručka nebude zahŕňať nastavenie programu LastPass, takže ak ešte nemáte systém LastPass, dôrazne odporúčame, aby ste si ho nastavili. Ak chcete začať, pozrite sa na Príručku HTG, aby ste mohli začať pracovať s LastPass. Napriek tomu, že spoločnosť LastPass bola aktualizovaná od chvíle, keď sme napísali sprievodcu (rozhranie je oveľa hezšie a lepšie zladené teraz), stále môžete postupovať s krokmi. Ak nastavujete LastPass prvýkrát, nezabudnite importovaťvšetko vaše uložené heslá z vašich prehliadačov, pretože naším cieľom je overiť každé jednotlivé heslo, ktoré používate.
Zadajte každé prihlasovacie meno a heslo do LastPass: Či už ste úplne nový na službe LastPass alebo ste ho úplne nepoužívali pre každé prihlásenie, teraz je čas, aby ste sa uistili, že ste zadalikaždý prihlásenie do systému LastPass. Odporúčame vám zopakovať odporúčania, ktoré sme uviedli v našom sprievodcovi pre obnovu e-mailov, aby ste si mohli pripomenúť vaše doručené pošty pre pripomienky:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Povolenie dvojfaktorovej autentifikácie na vašom účte LastPass: Tento krok nie je bezpodmienečne potrebný na vykonanie bezpečnostného auditu, ale keď budeme mať vašu pozornosť, budeme robiť všetko, čo je v našich silách, aby sme vás povzbudzovali, kým sa chystáte do svojho účtu LastPass, aby ste zapli dvojfaktorovú autentifikáciu ďalej zabezpečte vaňu LastPass. (Nielen, že sa zvýši bezpečnosť Vášho účtu, ale aj vylepšite skóre kontroly zabezpečenia!)
Vykonanie LastPass Security Challenge
Ďalšia zastávka, sekcia Analyzované lokality. Tu nájdete veľmi konkrétny rozpis všetkých prihlásení a hesiel usporiadaných duplicitným použitím hesla (ak ste mali duplikáty), unikátnymi heslami a nakoniec prihlásením bez hesla uloženého v LastPasse. Zatiaľ čo sa pozeráte nad zoznamom, obdivujte kontrast medzi silami hesla. V mojom prípade bolo jedno z mojich finančných prihlásení dané 45% skóre hesiel, zatiaľ čo prihlásenie mojej dcéry Minecraft dostalo perfektné 100% skóre. Opäť, ouch.
Stanovenie vášho hrozného bezpečnostného skóre
V závislosti od toho, koľko alebo málo hesiel, ktoré máte (a ako dôkladne ste sa zaoberali dobrými pravidlami v oblasti hesiel), môže byť tento krok procesu trvať desať minút alebo celé popoludnie. Aj keď proces zmeny hesla sa bude líšiť v závislosti od rozloženia stránok, ktoré aktualizujete, je tu niekoľko všeobecných pravidiel, ktoré je potrebné dodržiavať (používame napríklad aktualizáciu hesla v časti Pamätať si mlieko): Navštívte stránku s zmenou hesla, Obvykle budete musieť vložiť svoje aktuálne heslo a potom vygenerovať nové heslo.
Napokon posledná vec, ktorú potrebujete na audit, je vaše LastPass Master Password. Urobte tak kliknutím na odkaz v spodnej časti obrazovky Challenge s označením "Otestujte si silu môjho LastPass Master Password". Ak to nevidíte:
Preskúmanie výsledkov a ďalšie zvýšenie bezpečnosti LastPass
Po prechode do zoznamu duplicitných hesiel, odstránení starých záznamov a inak upratovanie a zabezpečenie vášho zoznamu prihlásení / hesiel, je čas znovu spustiť audit. Teraz, pre dôraz, skóre, ktoré vidíte nižšie, bolo vychované iba zlepšením zabezpečenia hesla. (Ak povolíte ďalšie bezpečnostné funkcie, napríklad multifaktorové overovanie, dostanete zvýšenie o približne 10%).
Nie zlé! Po odstránení všetkých duplicitných hesiel a privedení všetkých existujúcich hesiel až o 90% alebo viac, skutočne zlepšilo naše skóre. Ak ste zvedaví, prečo nedošlo k skoku na 100%, existuje niekoľko faktorov, z ktorých najdôležitejšie je, že niektoré heslá nikdy nemôžu byť upútané na šnupanie podľa noriem LastPass kvôli hlúpej politike na mieste správcovia stránok. Prihlasovacie heslo pre moju miestnu knižnicu je napríklad štvormiestny kolík (ktorý dosahuje 4% v bezpečnostnej stupnici LastPass). Väčšina ľudí bude mať na svojom zozname nejaké oddiely, ktoré budú mať za následok zníženie skóre.
V takýchto prípadoch je dôležité nediskriminovať a používať podrobný rozpis ako metriku:
Trvalo to len asi hodinu vážne zameraného času (12,4% z nich bolo stráviť prekliatím dizajnérov webových stránok, ktorí dali odkazy na aktualizáciu hesiel na nejasných miestach) a všetko, čo bolo potrebné, aby som sa dostal k motivácii, bolo porušenie hesla katastrofických rozmerov! Urobím tu poznámku, obrovský úspech.
Teraz, keď ste skontrolovali svoje heslá a ste vyčerpaní, že ste mali stabilné unikátne heslá, využite túto výhodu vpred. Stlačte náš sprievodca na vytvorenie LastPassui bezpečnejšie tým, že zvyšujú počet opakovaní hesiel, obmedzujú prihlasovacie údaje podľa krajín a ďalšie. Medzi spustením auditu, ktorý sme načrtli tu, po našom bezpečnostnom sprievodcovi LastPass a zapnutím dvojfaktorových algoritmov, budete mať systém na ochranu pred nepriateľmi, na ktorý sa môžete naučiť.
