Домашняя » как » Как запустить последний аудит безопасности (и почему он не может ждать)

    Как запустить последний аудит безопасности (и почему он не может ждать)

    Если вы практикуете слабое управление паролями и гигиену, это лишь вопрос времени, пока вас не обожжет одно из многочисленных нарушений безопасности. Перестань быть благодарным, что ты увернулся от прошлых пуль безопасности и защитил себя от будущих. Читайте дальше, как мы покажем вам, как проверять ваши пароли и защищать себя.

    Что такое большое дело и почему это важно?

    В октябре этого года Adobe сообщила о серьезном нарушении безопасности, которое затронуло 3 миллиона пользователей Adobe.com и программного обеспечения Adobe. Затем они пересмотрели число до 38 миллионов. Затем, что еще более шокирует, когда произошла утечка базы данных от взлома, исследователи безопасности, которые проанализировали базу данных, вернулись и сказали, что это больше похоже на 150 миллионов скомпрометированные учетные записи пользователей. Эта степень воздействия на пользователей ставит нарушение правил Adobe в действие как одно из самых серьезных нарушений безопасности в истории..

    Однако Adobe вряд ли одинок в этом отношении; мы просто начали с их нарушения, потому что это больно недавно. Только за последние несколько лет произошли десятки серьезных нарушений безопасности, когда информация пользователя, включая пароли, была взломана.

    LinkedIn был взломан в 2012 году (6,46 миллионов пользовательских записей скомпрометированы). В том же году была совершена атака на eHarmony (1,5 миллиона записей пользователей), как на Last.fm (6,5 миллиона записей пользователей) и Yahoo! (450 000 записей пользователей). Сеть Sony Playstation Network была взломана в 2011 году (взломано 101 миллион пользовательских записей). Gawker Media (материнская компания таких сайтов, как Gizmodo и Lifehacker) пострадала в 2010 году (скомпрометировано 1,3 миллиона записей пользователей). И это только примеры крупных нарушений, которые сделали новости!

    Центр обмена правами на конфиденциальность ведет базу данных о нарушениях безопасности с 2005 года по настоящее время. Их база данных включает широкий спектр типов нарушений: скомпрометированные кредитные карты, украденные номера социального страхования, украденные пароли и медицинские записи. База данных на момент публикации этой статьи состоит из 4 033 нарушения содержащий 617 937 023 пользовательских записей. Не каждый из этих сотен миллионов нарушений был связан с паролями пользователей, но миллионы и миллионы из них сделали это.

    Так почему это важно? Помимо очевидных и непосредственных последствий нарушения безопасности, нарушения создают сопутствующий ущерб. Хакеры могут немедленно начать тестирование логинов и паролей, которые они собирают на других веб-сайтах..

    Большинство людей ленивы со своими паролями, и есть большая вероятность, что если кто-то использует [email protected] с паролем bob1979, то такая же пара логин / пароль будет работать на других веб-сайтах. Если эти другие веб-сайты имеют более высокий профиль (например, банковские сайты или пароль, который он использовал в Adobe, фактически разблокирует его почтовый ящик), то есть проблема. Когда у кого-то есть доступ к вашему почтовому ящику, он может начать сбрасывать пароль в других службах и получать к ним доступ..

    Единственный способ предотвратить возникновение еще большего количества проблем с безопасностью в сети используемых вами веб-сайтов и служб - это следовать двум основным правилам правильной гигиены паролей:

    1. Ваш пароль электронной почты должен быть длинным, надежным и абсолютно уникальным среди всех ваших логинов.
    2. каждый Логин получает длинный, надежный и уникальный пароль. Нет повторного использования пароля. Когда-либо.

    Эти два правила взяты из каждого руководства по безопасности, которым мы с вами когда-либо поделились, включая наше экстренное руководство, в котором говорится о том, как его найти, как его восстановить после взлома пароля электронной почты..

    Сейчас вы, вероятно, немного корчитесь, потому что, честно говоря, вряд ли у кого-то есть абсолютно герметичные методы паролей и безопасность. Вы не одиноки, если ваш пароль гигиены не хватает. На самом деле пришло время исповеди.

    Я написал десятки статей по безопасности, посты о нарушениях безопасности и другие посты, связанные с паролями, за те годы, что я был в How-To Geek. Несмотря на то, что я был именно таким осведомленным человеком, который должен знать лучше, несмотря на использование менеджера паролей и создание безопасных паролей для каждого нового веб-сайта и службы, когда я проверил свою электронную почту по списку скомпрометированных логинов Adobe и сопоставил его с скомпрометированным паролем, я все еще узнал, что я сгорел.

    Я создал эту учетную запись Adobe давным-давно, когда я стал намного более неуклюжим в плане гигиены паролей, и пароль, который я использовал, был распространен среди множество веб-сайтов и услуг, с которыми я подписался, прежде чем стал очень серьезно относиться к созданию надежных паролей.

    Все это можно было бы предотвратить, если бы я полностью выполнил то, что проповедовал, и не просто создал уникальные и надежные пароли, но и также проверил мои старые пароли, чтобы убедиться, что эта ситуация никогда не случалась в первую очередь. Независимо от того, пытались ли вы когда-либо быть последовательными и безопасными в своих действиях с паролями, или вам просто нужно проверить их, чтобы облегчить себе задачу, тщательный аудит паролей - это путь к безопасности паролей и душевному спокойствию. Читайте дальше, как мы покажем вам, как.

    Подготовка к последней проверке безопасности

    Вы можете вручную проверять свои пароли, но это будет чрезвычайно утомительно, и вы не получите никаких преимуществ от использования хорошего универсального менеджера паролей. Вместо того, чтобы вручную проверять все, мы собираемся пойти по простому и в значительной степени автоматизированному маршруту: мы будем проверять наши пароли, принимая вызов LastPass Security Challenge.

    Это руководство не охватывает настройку LastPass, поэтому, если у вас еще не запущена и не запущена система LastPass, мы настоятельно рекомендуем вам ее настроить. Для начала ознакомьтесь с HTG Guide по началу работы с LastPass. Хотя LastPass обновился с тех пор, как мы написали руководство (интерфейс стал намного красивее и лучше оптимизирован), вы все равно можете с легкостью выполнять эти действия. Если вы настраиваете LastPass впервые, обязательно импортируйте все ваши сохраненные пароли от ваших браузеров, так как наша цель заключается в проверке каждого пароля, который вы используете.

    Введите каждый логин и пароль в LastPass: Независимо от того, являетесь ли вы новичком в LastPass или не использовали его полностью при каждом входе в систему, сейчас самое время убедиться, что вы ввели каждый войти в систему LastPass. Мы собираемся повторить совет, который мы дали в нашем руководстве по восстановлению электронной почты, о том, как расчесывать ваш почтовый ящик для напоминаний:

    Поиск по электронной почте для регистрации напоминаний. Нетрудно вспомнить ваши часто используемые логины, такие как Facebook и ваш банк, но, вероятно, существуют десятки сервисов, которые вы не можете вспомнить, если вы даже не помните, что используете свою электронную почту для входа в систему. Используйте поиск по ключевым словам, например «Добро пожаловать», «Сброс», «Восстановление», «Подтвердить», «Пароль», «Имя пользователя», «Логин», «Учетная запись» и комбинации там, например «Сбросить пароль» или «Подтвердить учетную запись». , Опять же, мы знаем, что это хлопотно, но как только вы сделаете это с менеджером паролей на вашей стороне, у вас будет основной список всех ваших учетных записей, и вам больше никогда не придется заниматься поиском ключевых слов.

    Включите двухфакторную аутентификацию в вашей учетной записи LastPass: Этот шаг не является обязательным для проведения аудита безопасности, но, несмотря на ваше внимание, мы сделаем все от нас зависящее, чтобы побудить вас, пока вы копаетесь в своей учетной записи LastPass, включить двухфакторную аутентификацию для далее защитить ваше хранилище LastPass. (Мало того, что это повышает безопасность вашей учетной записи, вы также получите повышение вашей оценки аудита безопасности!)

    Принимая вызов безопасности LastPass

    Теперь, когда вы импортировали все свои пароли, пришло время приготовиться к позору отсутствия в 1% хардкорных паролей безопасности ниндзя. Перейдите на страницу LastPass Security Challenge и нажмите «Начать испытание» внизу страницы. Вам будет предложено ввести свой главный пароль, как показано на скриншоте выше, а затем LastPass предложит проверить, не является ли какой-либо из адресов электронной почты, содержащихся в вашем хранилище, частью каких-либо нарушений, которые он отслеживал. Нет веской причины не воспользоваться этим:

    Если вам повезет, возвращается отрицательный. Если вам повезет, вы увидите всплывающее окно с таким вопросом, хотите ли вы получить дополнительную информацию о взломах, в которых было затронуто ваше письмо:

    LastPass выдаст одно предупреждение безопасности для каждого экземпляра. Если у вас был свой адрес электронной почты в течение длительного времени, будьте готовы потрясти, сколько взломов пароля он запутал. Вот пример уведомления о нарушении пароля:

    После всплывающих окон вы попадете на главную панель LastPass Security Challenge. Помните ранее в руководстве, когда я говорил о том, как я в настоящее время практикую хорошую гигиену паролей, но что я никогда не удосужился должным образом обновить многие старые веб-сайты и службы? Это действительно показывает в счете, который я получил. Уч:

    Это мой результат, в котором замешаны случайные пароли за годы. Не будьте слишком шокированы, если ваш счет будет еще ниже, если вы снова и снова использовали одну и ту же горстку слабых паролей. Теперь, когда у нас есть результат (каким бы удивительным или позорным он ни был), пришло время покопаться в данных. Вы можете использовать быстрые ссылки рядом с вашим процентом оценки или просто начать прокрутку. Сначала остановимся, давайте проверим подробные результаты. Считайте, что это 10 000-футовый обзор состояния ваших паролей:

    Несмотря на то, что вы должны обратить внимание на всю статистику здесь, действительно важными являются «Средняя надежность пароля», насколько слабый или надежный ваш средний пароль и, что еще более важно, «Количество повторяющихся паролей» и «Количество сайтов с дублирующимися паролями». ». В результате моего аудита было 8 дупликов на 43 сайтах. Очевидно, я довольно лениво использовал один и тот же низкопробный пароль на нескольких сайтах.

    Следующая остановка - раздел «Проанализированные сайты». Здесь вы найдете очень конкретную разбивку всех ваших логинов и паролей, организованных с использованием дублированных паролей (если у вас были дубликаты), уникальных паролей и, наконец, логинов без пароля, хранящихся в LastPass. Пока вы просматриваете список, поразитесь контрасту между надежностью пароля. В моем случае один из моих финансовых входов в систему получил 45% -ную оценку пароля, в то время как вход моей дочери в Minecraft получил идеальную 100% -ную оценку. Опять ой.

    Исправление вашего ужасного счёта безопасности

    Есть две очень полезные ссылки, встроенные прямо в списки аудита. Если вы нажмете «ПОКАЗАТЬ», он покажет вам пароль для этого сайта, а если вы нажмете «Посетить сайт», вы сможете перейти прямо на сайт и изменить пароль. Меняется не только каждый дублированный пароль, но и любой пароль, который был присоединен к нарушенной учетной записи (такой как Adobe.com или LinkedIn), должен быть удален навсегда.

    В зависимости от того, сколько у вас паролей или сколько у вас паролей (и насколько усердно вы относились к хорошей практике использования паролей), этот шаг процесса может занять у вас десять минут или целый день. Хотя процесс изменения ваших паролей будет зависеть от макета сайта, который вы обновляете, вот некоторые общие рекомендации, которым нужно следовать (в качестве примера мы используем наше обновление пароля в «Помните о молоке»): Посетите страницу смены пароля , Обычно вам нужно ввести свой текущий пароль, а затем сгенерировать новый пароль.

    Сделайте это, нажав на логотип замка с круглой стрелкой. LastPass вставляется в слот нового пароля (как показано на скриншоте выше). Посмотрите ваш новый пароль и внесите изменения, если хотите (например, удлините его или добавьте специальные символы):

    Нажмите «Использовать пароль» и подтвердите, что хотите обновить редактируемую запись:

    Обязательно подтвердите изменения на веб-сайте. Повторите процедуру для каждого дублированного и слабого пароля в вашем хранилище LastPass.

    Наконец, последнее, что вам нужно проверить, это ваш мастер-пароль LastPass. Сделайте это, нажав на ссылку внизу экрана Challenge с надписью «Проверьте надежность моего мастер-пароля LastPass». Если вы этого не видите:

    Вам нужно сбросить мастер-пароль LastPass и увеличивать силу, пока вы не получите хорошее, положительное, 100% подтверждение прочности.

    Обзор результатов и дальнейшее повышение безопасности LastPass

    После того, как вы просмотрели список дубликатов паролей, удалили старые записи и, в противном случае, убрали и защитили свой список логинов и паролей, пришло время снова запустить аудит. Теперь, чтобы подчеркнуть, счет, который вы видите ниже, был повышен исключительно за счет повышения безопасности пароля. (Если вы включите дополнительные функции безопасности, такие как многофакторная аутентификация, вы получите повышение примерно на 10%).

    Неплохо! После удаления каждого дублирующего пароля и доведения всех существующих паролей до 90% и более, это действительно улучшило наш счет. Если вам любопытно, почему он не поднялся до 100%, есть несколько факторов, наиболее заметным из которых является то, что некоторые пароли никогда не могут быть использованы в соответствии со стандартами LastPass из-за глупых политик, применяемых администраторы сайта. Например, пароль для входа в мою локальную библиотеку представляет собой четырехзначный пин-код (который оценивается в 4% по шкале безопасности LastPass). У большинства людей в списке есть такие выбросы, которые снижают их баллы.

    В таких случаях важно не унывать и использовать свою подробную разбивку в качестве показателя:

    В процессе обновления пароля я удалил 17 дублированных / просроченных сайтов, создал уникальный пароль для каждого сайта и службы и уменьшил количество сайтов с дублирующимися паролями с 43 до 0 в процессе..

    Это заняло около часа серьезно сконцентрированного времени (12,4% было потрачено на проклятия дизайнеров веб-сайтов, которые размещали ссылки на обновления паролей в непонятных местах), и все, что требовалось для мотивации, было взломом пароля в катастрофических пропорциях! Я делаю заметку здесь, огромный успех.


    Теперь, когда вы проверили свои пароли и хотите иметь стабильный набор уникальных паролей, давайте воспользуемся этим преимуществом. Найдите наш путеводитель по созданию LastPass четное повышенная безопасность за счет увеличения числа итераций паролей, ограничения входа в систему по странам и многое другое. Между проведением аудита, который мы изложили здесь, следуя нашему руководству по безопасности LastPass, и включением двухфакторных алгоритмов, у вас будет пуленепробиваемая система управления паролями, которой вы можете гордиться.