Як запустити останній аудит безпеки (і чому він не може чекати)

Якщо ви практикуєте слабке управління паролями і гігієну, це лише питання часу, поки вас не обпалить одне з численних порушень безпеки. Перестань бути вдячним, що ти ухилився від минулих куль безпеки і захистив себе від майбутніх. Читайте далі, як ми покажемо вам, як перевірити ваші паролі і захистити себе.

Що таке велика справа і чому це важливо?

У жовтні цього року Adobe повідомила про серйозне порушення безпеки, яке торкнулося 3 мільйонів користувачів Adobe.com і програмного забезпечення Adobe. Потім вони переглянули число до 38 мільйонів. Потім, що ще більш шокує, коли стався витік бази даних зломщика, дослідники безпеки, які проаналізували базу даних, повернулися і сказали, що це більше схоже на 150 мільйонів скомпрометованих облікових записів користувачів. Цей ступінь впливу на користувачів ставить порушення Adobe в дію як одне з найсерйозніших порушень безпеки в історії.

Однак Adobe навряд чи самотній у цьому відношенні; ми просто почали з їх порушення, тому що це боляче недавно. Тільки за останні кілька років відбулися десятки серйозних порушень безпеки, коли інформація користувача, включаючи паролі, була зламана.

LinkedIn був зламаний в 2012 році (6,46 мільйонів користувальницьких записів скомпрометовані). Того ж року була здійснена атака на eHarmony (1,5 мільйона записів користувачів), як на Last.fm (6,5 мільйона записів користувачів) і Yahoo! (450 000 записів користувачів). Мережа Sony Playstation Network була зламана в 2011 році (зламано 101 мільйон користувальницьких записів). Gawker Media (материнська компанія таких сайтів, як Gizmodo і Lifehacker) постраждала 2010 року (скомпрометовано 1,3 мільйона записів користувачів). І це тільки приклади великих порушень, які зробили новини!

Центр обміну правами на конфіденційність веде базу даних про порушення безпеки з 2005 року дотепер. Їх база даних включає широкий спектр типів порушень: скомпрометовані кредитні картки, вкрадені номери соціального страхування, вкрадені паролі та медичні записи. База даних на момент публікації цієї статті складається з 4033 порушень, що містять 617 937 023 записів користувача. Не кожен з цих сотень мільйонів порушень був пов'язаний з паролями користувачів, але мільйони і мільйони з них були.

Так чому це важливо? Крім очевидних і безпосередніх наслідків порушення безпеки, порушення створюють супутній збиток. Хакери можуть негайно почати тестування логінів і паролів, які вони збирають на інших веб-сайтах.

Більшість людей ліниві зі своїми паролями, і є велика ймовірність, що якщо хтось використовує Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її. з паролем bob1979, то така ж пара логін/пароль буде працювати на інших веб-сайтах. Якщо ці інші веб-сайти мають більш високий профіль (наприклад, банківські сайти або пароль, який він використовував в Adobe, фактично розблокує його поштову скриньку), то є проблема. Як тільки хтось отримає доступ до вашої поштової скриньки, він зможе почати скидати пароль в інших службах і отримувати до них доступ.

Єдиний спосіб запобігти виникненню ще більшої кількості проблем з безпекою в мережі використовуваних вами веб-сайтів і служб - це слідувати двом основним правилам правильної гігієни паролів:

1. Ваш пароль електронної пошти повинен бути довгим, надійним і абсолютно унікальним серед усіх ваших логінів.
2. Кожен логін отримує довгий, надійний і унікальний пароль. Немає повторного використання пароля. Коли-небудь.

Ці два правила взяті з кожного керівництва з безпеки, яким ми з вами коли-небудь поділилися, в тому числі з нашого екстреного керівництва «Як дістатися до фаната». Як відновити пароль після злому.

Зараз ви, ймовірно, трохи корчитеся, тому що, чесно кажучи, навряд чи у когось є абсолютно герметичні методи паролів і безпека. Ви не самотні, якщо ваш пароль гігієни не вистачає. Насправді, настав час для сповіді.

Я написав десятки статей з безпеки, пости про порушення безпеки та інші пости, пов'язані з паролями, за ті роки, що я був в How-To Geek. Незважаючи на те, що я був саме такою обізнаною людиною, яка повинна знати краще, незважаючи на використання менеджера паролів і створення безпечних паролів для кожного нового веб-сайту і служби, коли я перевірив свою електронну пошту за списком скомпрометованих логінів Adobe і зіставив його з скомпрометованим паролем, я все ще дізнався, що я обгорів.

Я створив цей обліковий запис Adobe давним-давно, коли я став набагато більш неакуратним в плані гігієни паролів, і пароль, який я використовував, був поширений на десятках веб-сайтів і служб, з якими я підписався, перш ніж став дуже серйозно ставитися до створення надійних паролів.

Все це можна було б запобігти, якби я повністю виконав те, що я проповідував, і не просто створив унікальні і надійні паролі, але також перевірив мої старі паролі, щоб гарантувати, що така ситуація ніколи не виникала. Незалежно від того, чи намагалися ви коли-небудь бути послідовними і безпечними у своїх діях з паролями, чи вам просто потрібно перевірити їх, щоб полегшити собі завдання, ретельний аудит паролів - це шлях до безпеки паролів і душевного спокою. Продовжуйте читати, як ми покажемо вам, як.

Підготовка до останньої перевірки безпеки

Ви можете вручну перевіряти свої паролі, але це буде надзвичайно втомливо, і ви не отримаєте ніяких переваг від використання хорошого універсального менеджера паролів. Замість того, щоб вручну перевіряти все, ми збираємося піти простим і значним чином автоматизованим маршрутом: ми будемо перевіряти наші паролі, приймаючи виклик LastPass Security.

Це керівництво не охоплює налаштування LastPass, тому, якщо у вас ще не запущена система LastPass, ми наполегливо рекомендуємо вам її налаштувати. Ознайомтеся з Керівництвом HTG по початку роботи з LastPass, щоб почати. Хоча LastPass оновився з тих пір, як ми написали керівництво (інтерфейс став набагато красивішим і краще оптимізований), ви все одно можете легко виконати ці дії. Якщо ви налаштовуєте LastPass вперше, обов'язково імпортуйте всі збережені паролі з ваших браузерів, оскільки наша мета - перевіряти кожен використовуваний вами пароль.

Введіть кожен параметр і пароль у LastPass: незалежно від того, чи є ви новачком в LastPass або не використовували його для кожного входу в систему, зараз саме час переконатися, що ви ввели кожен логін в систему LastPass. Ми збираємося повторити пораду, яку ми дали в нашому керівництві з відновлення електронної пошти, для того, щоб прочесати вашу поштову скриньку для нагадувань:

Пошук електронною поштою для реєстрації нагадувань. Неважко згадати ваші часто використовувані облікові записи, такі як Facebook і ваш банк, але, швидше за все, існують десятки сервісів, які ви навіть не пам'ятаєте, що ви використовуєте свою електронну пошту для входу в систему. Використовуйте пошук за ключовими словами, наприклад «Ласкаво просимо», «Скидання», «Відновлення», «Підтвердити», «Пароль», «Ім'я користувача», «Логін», «Обліковий запис» і комбінації там, Наприклад, «Скинути пароль» або «Підтвердити обліковий запис». ми знаємо, що це клопітко, але як тільки ви зробите це з менеджером паролів на вашому боці, у вас буде основний список всіх ваших облікових записів, і вам більше ніколи не доведеться займатися пошуком ключових слів.

Увімкніть двоступторну автентифікацію у своєму обліковому записі LastPass: цей крок не є суворо обов'язковим для проведення аудиту безпеки, але поки ми звертаємо вашу увагу, ми зробимо все від нас залежне, щоб заохотити вас, поки ви оглядаєте свій LastPass облікового запису, щоб включити двофакторну автентифікацію для додаткового захисту вашого сховища LastPass. (Мало того, що це підвищує безпеку вашого облікового запису, ви також отримаєте підвищення вашої оцінки аудиту безпеки!)

Приймаючи виклик безпеки LastPass

Тепер, коли ви імпортували всі свої паролі, настав час приготуватися до ганьби того, що ви не входите в 1% ніндзя хардкорного захисту паролем. Перейдіть на сторінку LastPass Security Challenge і натисніть кнопку «Почати випробування» внизу сторінки. Вам буде запропоновано ввести свій головний пароль, як показано на скріншоті вище, а потім LastPass запропонує перевірити, чи не є будь-якою з адрес електронної пошти, що містяться у вашому сховищі, частиною будь-яких порушень, які він відстежував. Немає вагомої причини не скористатися цим:

Якщо вам пощастить, він повертає негативний. Якщо вам пощастить, ви побачите спливаюче вікно з таким питанням, чи хочете ви отримати додаткову інформацію про зломи, в яких було порушено ваш лист: :

LastPass видасть одне попередження безпеки для кожного екземпляра. Якщо ваша адреса електронної пошти була у вас протягом довгого часу, будьте готові потрясти, скільки зломів пароля він заплутав. Ось приклад повідомлення про порушення пароля:

Після спливаючих вікон ви потрапите на головну панель LastPass Security Challenge. Пам'ятаєте раніше в керівництві, коли я говорив про те, як я в даний час практикую хорошу гігієну паролів, але що я ніколи не спромігся належним чином оновити багато старі веб-сайти і служби? Це дійсно показує в рахунку, який я отримав. Уч:

Це мій результат, в якому замішані випадкові паролі за роки. Не будьте дуже шоковані, якщо ваш рахунок буде ще нижчим, якщо ви знову і знову використовували одну і ту ж жменьку слабких паролів. Тепер, коли у нас є оцінка (якою б дивовижною або ганебною вона не була), прийшов час покопатися в даних. Ви можете використовувати швидкі посилання поряд з вашим відсотком оцінки або просто почати прокрутку. Спочатку зупинимося, давайте перевіримо докладні результати. Вважайте, що це 10 000-футовий огляд стану ваших паролів:

Незважаючи на те, що ви повинні звернути увагу на всю статистику тут, дійсно важливими є «Середня надійність пароля», наскільки слабкий або сильний ваш середній пароль і, що ще більш важливо, «Кількість повторюваних паролів» і «Кількість сайтів з паролями, що дублюються». ». В результаті мого аудиту було 8 дупликів на 43 сайтах. Очевидно, я досить ліниво використовував один і той же низькопробний пароль на декількох сайтах.

Наступна зупинка - розділ «Проаналізовані сайти». Тут ви знайдете дуже конкретну розбивку всіх ваших логінів і паролів, організованих з використанням дубльованих паролів (якщо у вас були дублікати), унікальних паролів і, нарешті, логінів без пароля, що зберігаються в LastPass. Поки ви переглядаєте список, вразьтеся контрасту між надійністю пароля. У моєму випадку один з моїх фінансових входів в систему отримав 45% -ву оцінку пароля, в той час як вхід моєї дочки в Minecraft отримав ідеальну 100% -ву оцінку. Знову ой.

Виправлення вашого жахливого рахунку проблем безпеки

Є два дуже корисні посилання, вбудовані прямо в списки аудиту. Якщо ви натиснете «ПОКАЗАТИ», він покаже вам пароль для цього сайту, а якщо ви натиснете «Відвідати сайт», ви зможете перейти прямо на сайт і змінити пароль. Змінюється не тільки кожен дубльований пароль, але і будь-який пароль, який був приєднаний до порушеного облікового запису (такий як Adobe.com або LinkedIn), повинен бути вилучений назавжди.

Залежно від того, скільки у вас паролів або скільки у вас паролів (і наскільки старанно ви ставилися до хорошої практики використання паролів), цей крок процесу може зайняти у вас десять хвилин або цілий день. Хоча процес зміни ваших паролів залежатиме від макета сайту, який ви оновлюєте, ось деякі загальні рекомендації, яким потрібно слідувати (як приклад ми використовуємо наше оновлення пароля в Remember the Milk): Відвідайте сторінку зміни пароля, як правило, вам потрібно ввести свій поточний пароль, а потім створити новий пароль.

Зробіть це, натиснувши на логотип замку з круглою стрілкою. LastPass вставляється в новий слот для пароля (як показано на скріншоті вище). Подивіться ваш новий пароль і внесіть зміни, якщо хочете (наприклад, подовжте його або додайте спеціальні символи):

Натисніть «Використовувати пароль» і підтвердіть, що бажаєте оновити редагований запис:

Обов'язково підтвердіть зміни на сайті. Повторіть процедуру для кожного дубльованого і слабкого пароля у вашому сховищі LastPass.

Нарешті, останнє, що вам потрібно перевірити, це ваш майстер-пароль LastPass. Зробіть це, натиснувши на посилання внизу екрану Challenge з написом «Перевірте надійність мого майстер-пароля LastPass». Якщо ви цього не бачите:

Вам потрібно скинути майстер-пароль LastPass і збільшувати силу, поки ви не отримаєте приємне, позитивне, 100% підтвердження міцності.

Вивчення результатів і подальше підвищення безпеки LastPass

Після того, як ви переглянули список дублікатів паролів, видалили старі записи і, в іншому випадку, очистили свій список логінів і паролів, настав час знову запустити аудит. Тепер, щоб підкреслити, рахунок, який ви бачите нижче, був підвищений виключно за рахунок підвищення безпеки пароля. (Якщо ви увімкнете додаткові функції безпеки, такі як багатофакторна автентифікація, ви отримаєте підвищення приблизно на 10%).

Непогано! Після видалення кожного дублюючого пароля і доведення всіх існуючих паролів до 90% і більше, це дійсно поліпшило наш рахунок. Якщо вам цікаво, чому він не піднявся до 100%, є кілька факторів, найбільш значущим з яких є те, що деякі паролі ніколи не можуть бути використані відповідно до стандартів LastPass через дурних політик, що застосовуються адміністратори сайту. Наприклад, пароль для входу в мою локальну бібліотеку являє собою чотиризначний пін-код (який оцінюється в 4% за шкалою безпеки LastPass). У більшості людей у списку є такі викиди, які знижують їхні бали.

У таких випадках важливо не сумувати і використовувати свою детальну розбивку як показник:

У процесі оновлення пароля я видалив 17 дубльованих сайтів з закінченим терміном дії, створив унікальний пароль для кожного сайту і служби і зменшив кількість сайтів з паролями, що дублюються з 43 до 0.

Це зайняло близько години серйозно сфокусованого часу (12,4% було витрачено на прокляття дизайнерів веб-сайтів, які розміщували посилання на оновлення паролів у незрозумілих місцях), і все, що було потрібно для мотивації, було зломом пароля в катастрофічних пропорціях! Я роблю замітку тут, величезний успіх.

Тепер, коли ви перевірили свої паролі, і у вас є бажання мати стабільні унікальні паролі, давайте скористаємося цією перевагою. Зверніться до нашого керівництва, щоб зробити LastPass ще більш безпечним, збільшивши кількість ітерацій паролів, обмеживши вхід в систему по країнах і багато іншого. Між проведенням аудиту, який ми виклали тут, дотримуючись нашого керівництва з безпеки LastPass, і включенням двофакторних алгоритмів, у вас буде куленепробивна система управління паролями, якою ви можете пишатися.