Что такое большая сделка и почему это имеет значение?
В октябре этого года Adobe показала, что произошло серьезное нарушение безопасности, которое затронуло 3 миллиона пользователей Adobe.com и программного обеспечения Adobe. Затем они пересмотрели число до 38 миллионов. Затем, еще более отвратительно, когда была удалена база данных из взлома, исследователи безопасности, которые проанализировали базу данных, вернулись и сказали, что это больше похоже на 150 миллионов скомпрометированных учетных записей пользователей. Эта степень воздействия на пользователя ставит Adobe нарушением в качестве одного из худших нарушений безопасности в истории.
Однако Adobe вряд ли одинока на этом фронте; мы просто открылись с их нарушением, потому что это болезненно последнее. Только за последние несколько лет были десятки серьезных нарушений безопасности, когда пользовательская информация, включая пароли, была скомпрометирована.
LinkedIn был поражен в 2012 году (6,46 миллиона записей пользователей были скомпрометированы). В том же году eHarmony был поражен (1,5 миллиона записей пользователей), как и Last.fm (6,5 миллиона записей пользователей) и Yahoo! (450 000 записей пользователей). Сеть Sony Playstation Network была поражена в 2011 году (101 миллион записей пользователей скомпрометированы). Gawker Media (материнская компания таких сайтов, как Gizmodo и Lifehacker) была поражена в 2010 году (1,3 миллиона записей пользователей были скомпрометированы). И это просто примеры больших нарушений, которые сделали новости!
Информационно-координационный центр «Права конфиденциальности» ведет базу данных о нарушениях безопасности с 2005 года по настоящее время. Их база данных включает в себя широкий спектр типов нарушений: скомпрометированные кредитные карты, украденные номера социального страхования, похищенные пароли и медицинские записи. База данных, начиная с публикации этой статьи, состоит из 4 033 нарушения содержащий 617 937 023 записей пользователей, Не каждый из этих сотен миллионов нарушений включал пароли пользователей, но их миллионы и миллионы.
Так почему это имеет значение? Помимо очевидных и немедленных последствий для безопасности нарушения, нарушения создают побочный ущерб. Хакеры могут немедленно начать тестирование логинов и паролей, которые они собирают на других веб-сайтах.
Большинство людей ленивы с паролями, и есть хороший шанс, что если кто-то использовал [email protected] с паролем bob1979, то та же пара логинов / паролей будет работать на других веб-сайтах. Если эти другие веб-сайты имеют более высокий профиль (например, банковские сайты или если пароль, который он использовал в Adobe, фактически открывает его почтовый ящик), тогда возникает проблема. Когда кто-то имеет доступ к вашему почтовому ящику, они могут начать сброс пароля на другие услуги и получить доступ к ним.
Единственный способ остановить подобную цепную реакцию, вызвав еще больше проблем безопасности в сети веб-сайтов и сервисов, которые вы используете, - это следовать двум основным правилам безопасной гигиены паролей:
- Ваш почтовый пароль должен быть длинным, сильным и полностью уникальным среди всех ваших логинов.
- каждый логин получает длинный, сильный и уникальный пароль. Нет повторного использования пароля. Когда-либо.
Эти два правила - это вынос из каждого руководства по безопасности, которое мы когда-либо сообщали вам, в том числе наш экстренный справочник по восстановлению после того, как ваш пароль электронной почты был скомпрометирован.
Теперь, на данный момент, вы, вероятно, немного извиваетесь, потому что, честно говоря, вряд ли у кого-то есть абсолютно безопасные методы и безопасность паролей. Вы не одиноки, если ваша гигиена паролей отсутствует. На самом деле, пришло время исповеди.
Я написал десятки статей по безопасности, сообщения о нарушениях безопасности и другие связанные с паролем сообщения за годы, которые я проводил в How-To Geek. Несмотря на то, что это точно информированный человек, который должен знать лучше, несмотря на использование менеджера паролей и создание безопасных паролей для каждого нового веб-сайта и сервиса, когда я запускал свою электронную почту через список скомпрометированных входов Adobe и сопоставлял ее с взломанным паролем, я все еще обнаружил, что меня сожгли.
Я сделал эту учетную запись Adobe давным-давно, когда я был значительно более слаб с моей гигиеной пароля, и пароль, который я использовал, был обычным явлением множество сайтов и сервисов, с которыми я подписался, прежде чем я стал серьезно относиться к созданию хороших паролей.
Все это можно было бы предотвратить, если бы я полностью практиковал то, что я проповедовал, а не просто создал уникальные и надежные пароли, но также проверил мои старые пароли, чтобы эта ситуация никогда не происходила в первую очередь. Если вы никогда не пытались быть последовательными и безопасными с помощью своих методов паролей, или вам просто нужно проверить их, чтобы успокоить себя, тщательный аудит пароля - это путь к безопасности паролей и спокойствию. Читайте дальше, пока мы покажем вам, как это сделать.
Подготовка к вашей проблеме защиты от пропусков
Вы можете вручную проверять свои пароли, но это было бы очень утомительно, и вы не получили бы преимуществ от использования универсального универсального менеджера паролей. Вместо того, чтобы вручную проверять все, мы займемся легким и в значительной степени автоматизированным маршрутом: мы собираемся проверять наши пароли, беря вызов LastPass Security Challenge.
Это руководство не будет охватывать настройку LastPass, поэтому, если у вас еще нет системы LastPass, мы настоятельно рекомендуем вам установить ее. Ознакомьтесь с руководством по HTG для начала работы с LastPass для начала работы. Хотя LastPass обновлен, так как мы написали руководство (интерфейс намного красивее и лучше оптимизирован сейчас), вы все равно можете легко следовать этим шагам. Если вы настраиваете LastPass в первый раз, убедитесь, что импортируетевсе ваши сохраненные пароли из ваших браузеров, поскольку наша цель - проверять каждый пароль, который вы используете.
Введите каждый логин и пароль в LastPass: Независимо от того, являетесь ли вы новичком в LastPass или вы не полностью используете его для каждого входа в систему, настало время убедиться, что вы ввеликаждый войдите в систему LastPass. Мы собираемся повторить совет, который мы дали в нашем руководстве по восстановлению электронной почты, для расчесывания почтового ящика для напоминаний:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Включите двухфакторную аутентификацию в своей учетной записи LastPass: Этот шаг не является абсолютно необходимым для проведения аудита безопасности, но пока мы обращаем ваше внимание на то, что мы сделаем все, что в наших силах, чтобы поощрить вас, в то время как вы обманываете свою учетную запись LastPass, чтобы включить двухфакторную аутентификацию еще больше защитите хранилище LastPass. (Это не только повышает уровень безопасности вашей учетной записи, но и повышает рейтинг вашей проверки безопасности!)
Решение проблемы с LastPass Security
Следующая остановка - раздел «Анализируемые сайты». Здесь вы найдете очень конкретное разбиение всех ваших логинов и паролей, организованных с помощью повторного использования пароля (если у вас есть дубликаты), уникальных паролей и, наконец, логинов без пароля, хранящихся в LastPass. Пока вы просматриваете список, удивляйтесь контрасту между сильными сторонами пароля. В моем случае одному из моих финансовых логинов был предоставлен счет в 45%, в то время как мой вход в Minecraft моей дочери получил отличный 100-процентный балл. Опять же, ох.
Фиксация вашего ужасного показателя безопасности
В зависимости от того, сколько или нескольких паролей у вас есть (и насколько усердно вы были о хорошей практике паролей), этот шаг процесса может занять десять минут или весь день. Хотя процесс изменения ваших паролей будет зависеть от макета сайта, который вы обновляете, ниже приведены некоторые общие рекомендации (в качестве примера мы используем наше обновление пароля в «Запомнить молоко»): перейдите на страницу смены пароля, Обычно вам нужно ввести свой текущий пароль и затем сгенерировать новый пароль.
Наконец, последнее, что вам нужно для аудита, это ваш LastPass Master Password. Сделайте это, щелкнув ссылку внизу экрана Challenge с надписью «Проверь силу моего LastPass Master Password». Если вы этого не видите:
Вам необходимо сбросить пароль LastPass Master и увеличить силу, пока не получите хорошее положительное подтверждение на 100%.
Обследование результатов и дальнейшее улучшение безопасности LastPass
После того, как вы провалились через список повторяющихся паролей, удалили старые записи и, в противном случае, убрали и сохранили свой список логинов / паролей, пришло время снова запустить аудит. Теперь, для акцента, оценка, которую вы видите ниже, воспитывалась исключительно за счет улучшения безопасности паролей. (Если вы включите дополнительные функции безопасности, например многофакторную аутентификацию, вы получите повышение около 10%).
В таких случаях важно не обескураживать и использовать подробный анализ в качестве показателя:
Это заняло около часа серьезного времени (12,4% из которых были потрачены на проклятие дизайнеров веб-сайтов, которые добавили ссылки на обновление пароля в неясных местах), и все, что потребовалось, чтобы заставить меня мотивировать, было нарушение пароля катастрофических масштабов! Я делаю здесь заметку, огромный успех.
Теперь, когда вы проверили свои пароли, и у вас есть стабильная уникальная пароли, давайте воспользуемся этим импульсом вперед. Поразите наш путеводитель по созданию LastPassчетное более безопасным, увеличивая итерации паролей, ограничивая логины по странам и многое другое. Между проведением аудита, который мы изложили здесь, следуя нашему руководству по безопасности LastPass и включив двухфакторные алгоритмы, вы получите пуленепробиваемую систему управления паролями, которой вы можете гордиться.