Kā izpildīt pēdējās caurlaides drošības auditu (un kāpēc tas nav jāgaida)

2024 Autors: Geoffrey Carr | [email protected]. Pēdējoreiz modificēts: 2023-12-17 10:58

Ja jūs izmantojat vienkāršu paroļu pārvaldību un higiēnu, tas ir tikai laika jautājums, līdz jūs viens no arvien vairākiem liela mēroga drošības pārkāpumiem. Pārtraucieties par pateicību, ka jūs aizkavējāt pagātnes drošības ielaušanās lodes un bruņas sevi pret nākamajiem. Lasiet tālāk, jo mēs parādīsim, kā pārbaudīt jūsu paroles un aizsargāt sevi.

Kāds ir lielais darījums un kāpēc šī problēma?

Šā gada oktobrī Adobe atklāja, ka ir bijuši nopietni drošības pārkāpumi, kas ietekmēja 3 miljonus Adobe.com un Adobe programmatūras lietotāju. Tad viņi pārskatīja šo numuru līdz 38 miljoniem. Tad, vēl šokējoši, kad no noplūdes no datubāzes tika noplūda, drošības pētnieki, kas analizēja datubāzi, atgriezās un teica, ka tas vairāk šķiet 150 miljoni apdraudēti lietotāju konti. Šī lietotāju iedarbības pakāpe padara Adobe pārkāpumu darboties kā vienu no vissliktākajiem drošības pārkāpumiem vēsturē.

Adobe tomēr nav vienīgais šajā priekšā; mēs vienkārši atklājām viņu pārrāvumu, jo tas ir sāpīgi nesen. Vienu pēdējo gadu laikā ir bijuši desmitiem lielu drošības pārkāpumu, kurā ir apdraudēta lietotāja informācija, tostarp paroles.

LinkedIn tika uzlauzts 2012. gadā (kompromitēts 6,46 miljoni lietotāju ierakstu). Tajā pašā gadā "eHarmony" tika uzlauzts (1,5 miljoni lietotāju ierakstu), kā arī Last.fm (6,5 miljoni lietotāju ierakstu) un Yahoo! (450 000 lietotāju ieraksti). 2011. gadā tika uzlauzts Sony Playstation tīkls (101 miljons lietotāju ierakstu tika apdraudēti). Gawker Media (vietņu mātesuzņēmums, piemēram, Gizmodo un Lifehacker) 2010. gadā tika ietekmēts (kompromitēts 1,3 miljoni lietotāju ierakstu). Un tie ir tikai lielu pārkāpumu piemēri, kas radīja jaunumus!

Privātuma tiesību informācijas centrs uztur datubāzi par drošības pārkāpumiem no 2005. gada līdz pat šai dienai. Viņu datu bāzē ir ietverts visdažādākie pārkāpumu veidi: apdraudētas kredītkartes, nozagtie sociālās apdrošināšanas numuri, nozagtas paroles un medicīniskie dati. Datubāze, sākot no šī raksta publicēšanas, sastāv no 4,033 pārkāpumi kas satur 617 937 023 lietotāja ieraksti. Ne katrs no simtiem miljonu pārkāpumu ietvēra lietotāju paroles, bet miljoniem no viņiem miljoniem.

Tātad, kāpēc tas ir svarīgi? Neatkarīgi no pārkāpuma acīmredzamas un tūlītējas drošības sekas, pārkāpumi rada papildu kaitējumu. Hackers var nekavējoties sākt testēt logins un paroles, ko viņi ražas citās tīmekļa vietnēs.

Lielākā daļa cilvēku ir slinki ar savām parolēm, un ir laba iespēja, ka, ja kāds izmantotu [email protected] ar paroli bob1979, tas pats pieteikšanās / parole pāris darbosies citās tīmekļa vietnēs. Ja šīm citām vietnēm ir augstāks profils (piemēram, banku vietnes vai ja parole, kuru tā izmantoja Adobe, faktiski atslēdz savu e-pasta iesūtni), tad ir problēma. Kad kāds var piekļūt savai e-pasta iesūtnei, viņi var sākt atiestatīt paroli citiem pakalpojumiem un piekļūt tiem arī.

Vienīgais veids, kā apturēt šāda veida ķēdes reakciju, izraisa vēl vairāk drošības problēmu jūsu izmantoto tīmekļa vietņu un pakalpojumu tīklā, ir sekot diviem galvenajiem labas parožu higiēnas noteikumiem:

Jūsu e-pasta parolei jābūt garai, spēcīgai un pilnīgi unikālai starp visiem jūsu logins.
Katrs pieteikšanās saņem ilgstošu, spēcīgu un unikālu paroli. Nav atkārtoti izmantota parole. Jebkad

Šie divi noteikumi ir izvilkums no katra drošības rokasgrāmatas, kuru mēs jebkad esam kopīgojuši ar jums, ieskaitot mūsu ārkārtas situāciju, kurai ir pieejama palīdzība, kā atgūt jūsu e-pasta paroli pēc kompromitēšanas.

Tagad šajā brīdī jūs, iespējams, mazliet sarežģīties, jo, godīgi sakot, gandrīz nevienam nav perfekti vājās paroles un drošības. Jūs neesat viens, ja trūkst paroles higiēnas. Patiesībā ir pienācis laiks atzīt.

Esmu rakstījis daudzus drošības rakstus, ziņojumus par drošības pārkāpumiem un citus ar paroli saistītus ziņojumus gadu gaitā, kad esmu bijis How-To Geek. Neskatoties uz to, ka tieši tā ir informēta persona, kurai būtu jāzina labāk, neraugoties uz paroļu pārvaldnieka lietošanu un drošu paroļu radīšanu katrai jaunajai vietnei un pakalpojumam, kad es paņēmu savu e-pastu caur kompromitēto Adobe pieteikumvārdu sarakstu un salīdzināju to ar pretlikumīgu paroli, es joprojām uzzināju, ka esmu dabūjuši apdegumus.

Es izveidoju šo Adobe kontu jau ilgu laiku, kad esmu ievērojami vājāk izmantojis paroles higiēnu, un parole, kuru es izmantoju, bija izplatīta visā desmitiem no vietnēm un pakalpojumiem, ar kuriem esmu pierakstījies, pirms es saņēmu super nopietnu par labu paroļu izveidi.

To visu varēja novērst, ja es pilnībā praktizētu to, ko sludināju, un ne tikai radīju unikālas un spēcīgas paroles, bet gan arī pārbaudīja manu veco paroli, lai nodrošinātu, ka šī situācija nekad nav noticis pirmajā vietā. Neatkarīgi no tā, vai jūs nekad neesat pat mēģinājis konsekventi un droši izmantot savas paroles, vai arī jums vienkārši ir jāpārbauda, vai nevajag atļauties, padziļināta paroles pārbaude ir ceļš uz paroles drošību un mieru. Lasiet tālāk, jo mēs parādīsim, kā to izdarīt.

Sagatavošanās Jūsu Lastpass drošības izaicinājumam

Jūs varētu manuāli pārbaudīt savas paroles, taču tas būtu ārkārtīgi garlaicīgs, un jūs nevarētu gūt labumu no labas universālā paroli vadītāja izmantošanas. Tā vietā, lai manuāli pārbaudītu visu, mēs veiksim vienkāršu un lielā mērā automatizētu maršrutu: mēs veiksim savu paroļu pārbaudi, izmantojot LastPass drošības izaicinājumu.

Šī rokasgrāmata neaptver LastPass iestatīšanu, tādēļ, ja jums vēl nav izveidota LastPass sistēmas darbība, mēs stingri iesakām to iestatīt uz augšu. Lai sāktu, skatiet HTG rokasgrāmatu, lai sāktu darbu ar LastPass. Lai gan LastPass ir atjauninājies, kopš mēs uzrakstījām ceļvedi (saskarne ir daudz labāka un tagad ir labāka), jūs varat to viegli sekot līdzi. Ja pirmo reizi iestatāt LastPass, noteikti importējietvisi jūsu saglabātās paroles no pārlūkprogrammām, jo mūsu mērķis ir pārbaudīt katru paroli, kuru izmantojat.

Ievadiet katru login un paroli LastPass:Neatkarīgi no tā, vai esat jauns pakalpojums LastPass vai esat to pilnībā neizmantojis katram pieteikumam, tagad ir laiks, lai pārliecinātos, vai esat ievadījiskatrs piesakieties sistēmā LastPass. Mēs atkārtosim padomu, ko mēs sniedzām e-pasta atjaunošanas rokasgrāmatā, lai uzspiestu e-pasta iesūtni atgādinājumiem:


Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Iespējojiet divu faktoru autentifikāciju savā LastPass kontā: Šis solis nav obligāti nepieciešams, lai veiktu drošības auditu, bet, kamēr mēs pievērsīsim jūsu uzmanību, mēs darīsim visu iespējamo, lai mudinātu jūs, kamēr jūs savā LastPass kontā izmantojat, lai ieslēgtu divu faktoru autentifikāciju droši papildiniet savu LastPass velves. (Tas ne tikai palielina jūsu konta drošību, bet arī paaugstina drošības audita rezultātu!)

LastPass drošības izaicinājums

Tagad, kad esat importējis visas savas paroles, ir pienācis laiks piesaistīt sevi par kauna neesamību 1% no hardcore paroles drošības ninjas. Apmeklējiet LastPass drošības izaicinājuma lapu un nospiediet pogu "Sākt izaicinājumu" lapas apakšdaļā. Jums tiks piedāvāts ievadīt galveno paroli, kā redzams iepriekš redzamajā ekrānuzņēmumā, un pēc tam LastPass piedāvās pārbaudīt, vai kāda no jūsu vaultā iekļautajām e-pasta adresēm bija daļa no visiem izsekojamiem pārkāpumiem. Nav iemesla neizmantot šo:

Ja jums ir paveicies, tas atgriež negatīvu. Ja jums ir paveicies, jums tiek parādīts uznirstošais logs, kurā tiek jautāts, vai vēlaties iegūt vairāk informācijas par pārkāpumiem, ar kuriem tika iesaistīts jūsu e-pasts:

LastPass katram gadījumam izdos vienu drošības brīdinājumu. Ja jums jau ilgu laiku ir bijusi sava e-pasta adrese, esiet gatavi šokēt par to, cik paroles pārkāpumi ir sastiepušies. Piemērs par paroles paušanas paziņojumu:

Pēc uznirstošajiem logiem, jūs tiksiet atbrīvots no LastPass drošības izaicinājuma galvenā paneļa. Iegaumē agrāk rokasgrāmatā, kad es runāju par to, kā es šobrīd praktizē labu parožu higiēnu, bet es nekad neesmu iepazinies, lai pareizi atjauninātu daudz vecāku tīmekļa vietņu un pakalpojumu? Tas patiešām rāda rezultātu, kuru es saņēmu. Oks:

Tas ir mans rādītājs, kas gadu gaitā ir izšķiests ar izlases parolēm. Nepārsaucieties ar to, ja jūsu rādītājs ir vēl mazāks, ja atkal un atkal esat izmantojis tik pat nedaudz vāju paroļu. Tagad, kad mums ir savs rezultāts (lai gan tas ir lieliski vai kauns, tas ir laiks rakt datus). Jūs varat izmantot ātrās saites blakus jūsu punktu skaitam vai vienkārši sākt ritināšanu. Vispirms apskatīsim detalizētus rezultātus. Apsveriet šo 10 000 pēdu pārskatu par jūsu paroļu stāvokli:

Lai gan jums vajadzētu pievērst uzmanību visiem šeit esošajiem statistikas datiem, patiešām svarīgie ir "Vidējais paroles spēks", cik vāja vai spēcīga ir jūsu vidējā parole, un vēl svarīgāk - "Parole dublēto vienību skaits" un "Vietņu skaits ar dublētām parolēm " Mana revīzijas dēļ 43 vietās bija vairāk nekā 8 vietņu. Skaidrs, ka man bija diezgan slinks atkārtoti izmantot to pašu zemas kvalitātes paroli vairāk nekā dažās vietnēs.

Nākamā pietura, sadaļa Analizētās vietnes. Šeit jūs atradīsit ļoti precīzu visu jūsu pieteikumvārdu un paroļu saraušanos, ko organizē dubultas paroles izmantošana (ja jums bija dublikāti), unikālas paroles un, visbeidzot, logins bez paroles, kas saglabāts LastPass. Lai gan jūs meklējat sarakstu, uzmācieties kontrastu starp paroles stiprās puses. Manā gadījumā viens no maniem finanšu logins tika piešķirts 45% paroli rezultāts, bet manas meitas Minecraft pieteikšanās tika dota perfekta 100% rezultātu. Atkal, ouch.

Nosaka savu briesmīgo drošības izaicinājumu punktu

Ir divas ļoti noderīgas saites, kas izveidotas tieši revīzijas sarakstos. Ja jūs noklikšķiniet uz "RĀDĪT", tā parādīs jums šīs vietnes paroli, un, noklikšķinot uz "Apmeklēt vietni", varat pāriet tieši uz šo vietni, lai jūs varētu mainīt paroli. Ne tikai jāmaina katra dublēšanas parole, bet jebkura parole, kas pievienota kontam, kas tika pārkāpts (piemēram, Adobe.com vai LinkedIn), būtu jāatstāj pastāvīgi.

Atkarībā no tā, cik daudz vai maz ir jūsu paroles (un cik jūs esat rūpīgi izmantojis parastu praksi), šis procesa solis var aizņemt 10 minūtes vai visu pēcpusdienu. Lai gan paroļu mainīšanas process mainīsies atkarībā no jūsu atjauninātās vietnes izkārtojuma, šeit ir daži vispārīgi norādījumi, kas jāievēro (piemērs ir piemērs "Atcerēties pienu"): Apmeklējiet paroles maiņas lapu. Parasti jums ir jāievada pašreizējā parole un pēc tam jāizveido jauna parole.

Dariet to, noklikšķinot uz bloķēšanas ar apļveida bultiņas logotipu.LastPass ievieto jaunajā paroles slotā (kā redzams attēlā iepriekš). Pārskatiet savu jauno paroli un veiciet pielāgojumus, ja vēlaties (piemēram, pagarināt vai pievienot īpašas rakstzīmes):

Noklikšķiniet uz "Lietot paroli" un pēc tam apstipriniet, ka vēlaties atjaunināt ierakstu, kuru rediģējat:

Pārliecinieties arī, lai apstiprinātu izmaiņas arī ar vietni. Atkārtojiet procesu par katru dublējošo un vājo paroli savā LastPass vaultā.

Visbeidzot, pēdējā lieta, kas jums jāpārbauda, ir jūsu LastPass galvenā parole. Dariet to, noklikšķinot uz saites ekrāna Challenge apakšdaļā ar nosaukumu "Pārbaudīt My LastPass galvenās paroles stiprumu". Ja jūs to neredzat:

Jums ir jāatjauno LastPass galvenā parole un jāpalielina spēks, līdz saņemat jauku, pozitīvu, 100% stiprības apstiprinājumu.

Rezultātu apzināšana un papildu LastPass drošības uzlabošana

Pēc tam, kad esat pārsūtījis paroļu, dzēsto veco ierakstu saraksta sarakstu un citādi sakārtojis un droši izmantojis savu pieteikšanās / paroli, ir pienācis laiks vēlreiz palaist revīziju. Tagad, lai uzsvērtu, rezultāts, kuru jūs redzat zemāk, tika izveidots, tikai uzlabojot paroles drošību. (Ja jūs iespējosiet papildu drošības funkcijas, piemēram, daudzfaktoru autentificēšanu, jūs saņemsit palielinājumu par aptuveni 10%).

Nav slikti! Pēc katra dublētā paroles likvidēšanas un visu esošo paroļu līdz pat 90% izturības vai labākas uzlaušanas patiešām uzlaboja mūsu rezultātu. Ja jums ir interesanti, kāpēc tas nepārkāpa 100%, ir vairāki faktori, no kuriem lielākā daļa ir tāda, ka dažas paroles nekad nevar tikt izvilinātas, izmantojot LastPass standartus, jo vietņu administratori. Piemēram, manas vietējās bibliotēkas pieteikšanās parole ir četrciparu PIN (kas parāda LastPass drošības mērogā 4%). Lielākajai daļai cilvēku šajā sarakstā ir tāds pārsvars, kas pārsteidza viņu rezultātus.

Šādos gadījumos ir svarīgi nedrošināt un izmantot detalizētu sadalījumu kā metriku:

Paroles atjaunināšanas procesā es pārgriezu 17 vietņu dublētus / beidzas, izveidoja unikālu paroli katrai vietnei un pakalpojumam, un šajā procesā vietņu skaits ar dublētām parolēm tika samazināts no 43 līdz 0.

Tas aizņem tikai apmēram stundu nopietni fokusā laika (12,4% no kuriem tika iztērēti lāstu tīmekļa vietņu dizaineri, kuri ielika paroles atjaunināšanas saites neskaidrajās vietās), un viss, kas bija nepieciešams, lai mani motivētu, bija katastrofālu proporciju paroli. Es šeit atzīmēšu milzīgus panākumus.

Tagad, kad jūs esat pārbaudījis savas paroles, un jūs sūknējat par stabilu unikālu paroļu izmantošanu, izmantojiet šo priekšu. Sasniedziet mūsu ceļvedi, lai padarītu LastPasspat pastiprinot paroles atkārtojumus, ierobežojot logins pa valstīm un vairāk. Starp revīzijas gaitu, kuru mēs aprakstījām šeit, sekojot mūsu LastPass drošības rokasgrāmatai un ieslēdzot divu faktoru algoritmus, jums būs izliekta paroles vadības sistēma, par kuru var lepoties.