Kāds ir lielais darījums un kāpēc šī problēma?
Šā gada oktobrī Adobe atklāja, ka ir bijuši nopietni drošības pārkāpumi, kas ietekmēja 3 miljonus Adobe.com un Adobe programmatūras lietotāju. Tad viņi pārskatīja šo numuru līdz 38 miljoniem. Tad, vēl šokējoši, kad no noplūdes no datubāzes tika noplūda, drošības pētnieki, kas analizēja datubāzi, atgriezās un teica, ka tas vairāk šķiet 150 miljoni apdraudēti lietotāju konti. Šī lietotāju iedarbības pakāpe padara Adobe pārkāpumu darboties kā vienu no vissliktākajiem drošības pārkāpumiem vēsturē.
Adobe tomēr nav vienīgais šajā priekšā; mēs vienkārši atklājām viņu pārrāvumu, jo tas ir sāpīgi nesen. Vienu pēdējo gadu laikā ir bijuši desmitiem lielu drošības pārkāpumu, kurā ir apdraudēta lietotāja informācija, tostarp paroles.
LinkedIn tika uzlauzts 2012. gadā (kompromitēts 6,46 miljoni lietotāju ierakstu). Tajā pašā gadā "eHarmony" tika uzlauzts (1,5 miljoni lietotāju ierakstu), kā arī Last.fm (6,5 miljoni lietotāju ierakstu) un Yahoo! (450 000 lietotāju ieraksti). 2011. gadā tika uzlauzts Sony Playstation tīkls (101 miljons lietotāju ierakstu tika apdraudēti). Gawker Media (vietņu mātesuzņēmums, piemēram, Gizmodo un Lifehacker) 2010. gadā tika ietekmēts (kompromitēts 1,3 miljoni lietotāju ierakstu). Un tie ir tikai lielu pārkāpumu piemēri, kas radīja jaunumus!
Privātuma tiesību informācijas centrs uztur datubāzi par drošības pārkāpumiem no 2005. gada līdz pat šai dienai. Viņu datu bāzē ir ietverts visdažādākie pārkāpumu veidi: apdraudētas kredītkartes, nozagtie sociālās apdrošināšanas numuri, nozagtas paroles un medicīniskie dati. Datubāze, sākot no šī raksta publicēšanas, sastāv no 4,033 pārkāpumi kas satur 617 937 023 lietotāja ieraksti. Ne katrs no simtiem miljonu pārkāpumu ietvēra lietotāju paroles, bet miljoniem no viņiem miljoniem.
Tātad, kāpēc tas ir svarīgi? Neatkarīgi no pārkāpuma acīmredzamas un tūlītējas drošības sekas, pārkāpumi rada papildu kaitējumu. Hackers var nekavējoties sākt testēt logins un paroles, ko viņi ražas citās tīmekļa vietnēs.
Lielākā daļa cilvēku ir slinki ar savām parolēm, un ir laba iespēja, ka, ja kāds izmantotu [email protected] ar paroli bob1979, tas pats pieteikšanās / parole pāris darbosies citās tīmekļa vietnēs. Ja šīm citām vietnēm ir augstāks profils (piemēram, banku vietnes vai ja parole, kuru tā izmantoja Adobe, faktiski atslēdz savu e-pasta iesūtni), tad ir problēma. Kad kāds var piekļūt savai e-pasta iesūtnei, viņi var sākt atiestatīt paroli citiem pakalpojumiem un piekļūt tiem arī.
Vienīgais veids, kā apturēt šāda veida ķēdes reakciju, izraisa vēl vairāk drošības problēmu jūsu izmantoto tīmekļa vietņu un pakalpojumu tīklā, ir sekot diviem galvenajiem labas parožu higiēnas noteikumiem:
- Jūsu e-pasta parolei jābūt garai, spēcīgai un pilnīgi unikālai starp visiem jūsu logins.
- Katrs pieteikšanās saņem ilgstošu, spēcīgu un unikālu paroli. Nav atkārtoti izmantota parole. Jebkad
Šie divi noteikumi ir izvilkums no katra drošības rokasgrāmatas, kuru mēs jebkad esam kopīgojuši ar jums, ieskaitot mūsu ārkārtas situāciju, kurai ir pieejama palīdzība, kā atgūt jūsu e-pasta paroli pēc kompromitēšanas.
Tagad šajā brīdī jūs, iespējams, mazliet sarežģīties, jo, godīgi sakot, gandrīz nevienam nav perfekti vājās paroles un drošības. Jūs neesat viens, ja trūkst paroles higiēnas. Patiesībā ir pienācis laiks atzīt.
Esmu rakstījis daudzus drošības rakstus, ziņojumus par drošības pārkāpumiem un citus ar paroli saistītus ziņojumus gadu gaitā, kad esmu bijis How-To Geek. Neskatoties uz to, ka tieši tā ir informēta persona, kurai būtu jāzina labāk, neraugoties uz paroļu pārvaldnieka lietošanu un drošu paroļu radīšanu katrai jaunajai vietnei un pakalpojumam, kad es paņēmu savu e-pastu caur kompromitēto Adobe pieteikumvārdu sarakstu un salīdzināju to ar pretlikumīgu paroli, es joprojām uzzināju, ka esmu dabūjuši apdegumus.
Es izveidoju šo Adobe kontu jau ilgu laiku, kad esmu ievērojami vājāk izmantojis paroles higiēnu, un parole, kuru es izmantoju, bija izplatīta visā desmitiem no vietnēm un pakalpojumiem, ar kuriem esmu pierakstījies, pirms es saņēmu super nopietnu par labu paroļu izveidi.
To visu varēja novērst, ja es pilnībā praktizētu to, ko sludināju, un ne tikai radīju unikālas un spēcīgas paroles, bet gan arī pārbaudīja manu veco paroli, lai nodrošinātu, ka šī situācija nekad nav noticis pirmajā vietā. Neatkarīgi no tā, vai jūs nekad neesat pat mēģinājis konsekventi un droši izmantot savas paroles, vai arī jums vienkārši ir jāpārbauda, vai nevajag atļauties, padziļināta paroles pārbaude ir ceļš uz paroles drošību un mieru. Lasiet tālāk, jo mēs parādīsim, kā to izdarīt.
Sagatavošanās Jūsu Lastpass drošības izaicinājumam
Šī rokasgrāmata neaptver LastPass iestatīšanu, tādēļ, ja jums vēl nav izveidota LastPass sistēmas darbība, mēs stingri iesakām to iestatīt uz augšu. Lai sāktu, skatiet HTG rokasgrāmatu, lai sāktu darbu ar LastPass. Lai gan LastPass ir atjauninājies, kopš mēs uzrakstījām ceļvedi (saskarne ir daudz labāka un tagad ir labāka), jūs varat to viegli sekot līdzi. Ja pirmo reizi iestatāt LastPass, noteikti importējietvisi jūsu saglabātās paroles no pārlūkprogrammām, jo mūsu mērķis ir pārbaudīt katru paroli, kuru izmantojat.
Ievadiet katru login un paroli LastPass:Neatkarīgi no tā, vai esat jauns pakalpojums LastPass vai esat to pilnībā neizmantojis katram pieteikumam, tagad ir laiks, lai pārliecinātos, vai esat ievadījiskatrs piesakieties sistēmā LastPass. Mēs atkārtosim padomu, ko mēs sniedzām e-pasta atjaunošanas rokasgrāmatā, lai uzspiestu e-pasta iesūtni atgādinājumiem:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Iespējojiet divu faktoru autentifikāciju savā LastPass kontā: Šis solis nav obligāti nepieciešams, lai veiktu drošības auditu, bet, kamēr mēs pievērsīsim jūsu uzmanību, mēs darīsim visu iespējamo, lai mudinātu jūs, kamēr jūs savā LastPass kontā izmantojat, lai ieslēgtu divu faktoru autentifikāciju droši papildiniet savu LastPass velves. (Tas ne tikai palielina jūsu konta drošību, bet arī paaugstina drošības audita rezultātu!)
LastPass drošības izaicinājums
LastPass katram gadījumam izdos vienu drošības brīdinājumu. Ja jums jau ilgu laiku ir bijusi sava e-pasta adrese, esiet gatavi šokēt par to, cik paroles pārkāpumi ir sastiepušies. Piemērs par paroles paušanas paziņojumu:
Nākamā pietura, sadaļa Analizētās vietnes. Šeit jūs atradīsit ļoti precīzu visu jūsu pieteikumvārdu un paroļu saraušanos, ko organizē dubultas paroles izmantošana (ja jums bija dublikāti), unikālas paroles un, visbeidzot, logins bez paroles, kas saglabāts LastPass. Lai gan jūs meklējat sarakstu, uzmācieties kontrastu starp paroles stiprās puses. Manā gadījumā viens no maniem finanšu logins tika piešķirts 45% paroli rezultāts, bet manas meitas Minecraft pieteikšanās tika dota perfekta 100% rezultātu. Atkal, ouch.
Nosaka savu briesmīgo drošības izaicinājumu punktu
Atkarībā no tā, cik daudz vai maz ir jūsu paroles (un cik jūs esat rūpīgi izmantojis parastu praksi), šis procesa solis var aizņemt 10 minūtes vai visu pēcpusdienu. Lai gan paroļu mainīšanas process mainīsies atkarībā no jūsu atjauninātās vietnes izkārtojuma, šeit ir daži vispārīgi norādījumi, kas jāievēro (piemērs ir piemērs "Atcerēties pienu"): Apmeklējiet paroles maiņas lapu. Parasti jums ir jāievada pašreizējā parole un pēc tam jāizveido jauna parole.
Visbeidzot, pēdējā lieta, kas jums jāpārbauda, ir jūsu LastPass galvenā parole. Dariet to, noklikšķinot uz saites ekrāna Challenge apakšdaļā ar nosaukumu "Pārbaudīt My LastPass galvenās paroles stiprumu". Ja jūs to neredzat:
Rezultātu apzināšana un papildu LastPass drošības uzlabošana
Pēc tam, kad esat pārsūtījis paroļu, dzēsto veco ierakstu saraksta sarakstu un citādi sakārtojis un droši izmantojis savu pieteikšanās / paroli, ir pienācis laiks vēlreiz palaist revīziju. Tagad, lai uzsvērtu, rezultāts, kuru jūs redzat zemāk, tika izveidots, tikai uzlabojot paroles drošību. (Ja jūs iespējosiet papildu drošības funkcijas, piemēram, daudzfaktoru autentificēšanu, jūs saņemsit palielinājumu par aptuveni 10%).
Šādos gadījumos ir svarīgi nedrošināt un izmantot detalizētu sadalījumu kā metriku:
Tas aizņem tikai apmēram stundu nopietni fokusā laika (12,4% no kuriem tika iztērēti lāstu tīmekļa vietņu dizaineri, kuri ielika paroles atjaunināšanas saites neskaidrajās vietās), un viss, kas bija nepieciešams, lai mani motivētu, bija katastrofālu proporciju paroli. Es šeit atzīmēšu milzīgus panākumus.
Tagad, kad jūs esat pārbaudījis savas paroles, un jūs sūknējat par stabilu unikālu paroļu izmantošanu, izmantojiet šo priekšu. Sasniedziet mūsu ceļvedi, lai padarītu LastPasspat pastiprinot paroles atkārtojumus, ierobežojot logins pa valstīm un vairāk. Starp revīzijas gaitu, kuru mēs aprakstījām šeit, sekojot mūsu LastPass drošības rokasgrāmatai un ieslēdzot divu faktoru algoritmus, jums būs izliekta paroles vadības sistēma, par kuru var lepoties.