Ako spustiť bezpečnostný audit posledného prechodu (a prečo to nemôže čakať)

Obsah:

Ako spustiť bezpečnostný audit posledného prechodu (a prečo to nemôže čakať)
Ako spustiť bezpečnostný audit posledného prechodu (a prečo to nemôže čakať)

Video: Ako spustiť bezpečnostný audit posledného prechodu (a prečo to nemôže čakať)

Video: Ako spustiť bezpečnostný audit posledného prechodu (a prečo to nemôže čakať)
Video: How to Turn on Mobile Hotspot on Android - YouTube 2024, Apríl
Anonim
Ak cvičíte laxné spravovanie hesiel a hygienu, je to len otázka času, kým vám niekoho horí jedna z čoraz väčších početných bezpečnostných bremien. Prestaň byť vďačný, že ste sa vyhýbali minulým bezpečnostným streľbám a streľbe proti budúcim. Čítajte ďalej, pretože vám ukážeme, ako overiť vaše heslá a chrániť sa.
Ak cvičíte laxné spravovanie hesiel a hygienu, je to len otázka času, kým vám niekoho horí jedna z čoraz väčších početných bezpečnostných bremien. Prestaň byť vďačný, že ste sa vyhýbali minulým bezpečnostným streľbám a streľbe proti budúcim. Čítajte ďalej, pretože vám ukážeme, ako overiť vaše heslá a chrániť sa.

Aký je veľký obchod a prečo sa to týka?

Image
Image

V októbri tohto roku spoločnosť Adobe zistila, že došlo k závažnému narušeniu bezpečnosti, ktoré postihlo 3 milióny používateľov softvéru Adobe.com a Adobe. Potom zrevidovali číslo na 38 miliónov. Potom, ešte viac šokujúco, keď sa z databázy z hackerov uniklo, výskumníci v oblasti bezpečnosti, ktorí analyzovali databázu, sa vrátili a povedali, že je to skôr 150 miliónov ohrozených používateľských účtov. Tento stupeň vystavenia používateľov spôsobuje porušenie pravidiel Adobe v prevádzke ako jeden z najhorších narušení bezpečnosti v histórii.

Adobe je však na tomto fronte sotva sám; jednoducho sme otvorili s ich porušením, pretože je to bolestivo nedávno. Len v posledných niekoľkých rokoch sa vyskytli desiatky masívnych narušení bezpečnosti, keď boli ohrozené informácie o používateľoch vrátane hesiel.

LinkedIn bol zasiahnutý v roku 2012 (6,46 milióna užívateľských záznamov bolo ohrozených). V tom istom roku bola eHarmony zasiahnutá (1,5 milióna užívateľských záznamov), rovnako ako Last.fm (6,5 milióna užívateľských záznamov) a Yahoo! (450 000 používateľských záznamov). Sieť Sony Playstation bola zasiahnutá v roku 2011 (101 miliónov používateľských záznamov bolo ohrozených). Spoločnosť Gawker Media (materská spoločnosť stránok ako Gizmodo a Lifehacker) bola zasiahnutá v roku 2010 (1,3 milióna užívateľských záznamov bolo ohrozených). A to sú len príklady veľkých porušení, ktoré spravili novinky!

Spoločnosť Privacy Rights Clearinghouse udržiava databázu narušenia bezpečnosti od roku 2005 do súčasnosti. Ich databáza zahŕňa širokú škálu typov porušení: kompromisné kreditné karty, odcudzené čísla sociálneho poistenia, odcudzené heslá a zdravotné záznamy. Databáza sa od uverejnenia tohto článku skladá z 4 033 priestupkov obsahujúce 617,937,023 používateľských záznamov, Nie každá z tých stoviek miliónov porušenia obsahovala používateľské heslá, ale milióny a milióny z nich robili.

Tak prečo na tom záleží? Okrem zjavných a okamžitých bezpečnostných dôsledkov porušenia porušenia spôsobujú škody na druhej strane. Hackeri môžu ihneď začať testovať prihlasovacie údaje a heslá, ktoré zbierajú na iných webových stránkach.

Väčšina ľudí je lenivá so svojimi heslami a existuje veľká šanca, že ak by niekto používal [email protected] s heslom bob1979, že rovnaký prihlasovací / heslo pár bude pracovať na iných webových stránkach. Ak sú tieto iné webové stránky s vyšším profilom (napríklad bankové stránky alebo ak heslo, ktoré používa spoločnosť Adobe, skutočne odomkne svoju e-mailovú schránku), je tu problém. Keď niekto má prístup k vašej e-mailovej schránke, môže začať obnoviť heslo na iných službách a získať prístup k nim.

Jediný spôsob, ako zastaviť tento druh reťazovej reakcie spôsobiť ešte viac bezpečnostných problémov v rámci siete webových stránok a služieb, ktoré používate, je nasledovať dve základné pravidlá správnej hygieny hesiel:

  1. Heslo vášho e-mailu by malo byť dlhé, silné a úplne jedinečné medzi všetkými vašimi prihlasovacími údajmi.
  2. každý prihlásenie získa dlhé, silné a jedinečné heslo. Nepoužívajte opakované používanie hesla. Ever.

Tieto dve pravidlá sú únikom z každého bezpečnostného sprievodcu, s ktorým sme sa s vami podelili, vrátane našej núdzovej príručky ako sa dostať do povetria. Ako sa obnoviť po vašom e-mailovom hesle je kompromisné.

Teraz sa v tomto bode asi trošku rozmrzelíte, pretože úprimne povedané, takmer niekto má perfektne vzduchotesné heslo a bezpečnosť. Nie ste sám, ak chýba Vaša hesla. V skutočnosti je čas na priznanie.

Napísal som desiatky bezpečnostných článkov, príspevkov o porušeniach bezpečnosti a ďalších príspevkov súvisiacich s heslom počas rokov, ktoré som absolvoval na adrese How-To Geek. Napriek tomu, že som presne ten druh informovanej osoby, ktorá by mala vedieť lepšie, napriek tomu, že používala správcu hesiel a generovala bezpečné heslá pre každú novú webovú stránku a službu, keď som spustil svoj e-mail prostredníctvom zoznamu ohrozených prihlasovacích údajov služby Adobe a zosúladil ho s kompromitovaným heslom, stále som zistil, že som spálil.

Robil som ten účet Adobe už dávno, keď som bol omnoho viac laxný s mojou heslom a heslo, ktoré som použil, bolo spoločné naprieč veľa webových stránok a služieb, s ktorými som sa prihlásil skôr, než som sa dostal veľmi vážne na to, aby som vytvoril dobré heslá.

Všetko to bolo možné zabrániť, keby som plne praktizoval to, čo som kázal, a nie len vytvoriť jedinečné a silné heslá, ale tiež auditované moje staré heslá, aby sa zaistila, že sa táto situácia nikdy nestala na prvom mieste. Bez ohľadu na to, či ste sa ani nepokúšali, aby ste boli konzistentní a bezpeční svojimi praxami v oblasti hesiel, alebo stačí ich skontrolovať, aby ste sa utišili, dôkladný audit heslom je cesta k bezpečnosti heslom a pokoja. Čítajte ďalej, ako vám ukážeme, ako.

Príprava na Vašu Lastpass Security Challenge

Mohli by ste ručne overiť vaše heslá, ale to by bolo obrovské zdĺhavé a nemali by ste získať žiadne z výhod používania dobrého univerzálneho správcu hesiel. Namiesto toho, aby sme manuálne vykonali všetko, urobíme jednoduchú a prevažne automatizovanú trasu: budeme kontrolovať heslá tým, že prijmeme LastPass Security Challenge.
Mohli by ste ručne overiť vaše heslá, ale to by bolo obrovské zdĺhavé a nemali by ste získať žiadne z výhod používania dobrého univerzálneho správcu hesiel. Namiesto toho, aby sme manuálne vykonali všetko, urobíme jednoduchú a prevažne automatizovanú trasu: budeme kontrolovať heslá tým, že prijmeme LastPass Security Challenge.

Táto príručka nebude zahŕňať nastavenie programu LastPass, takže ak ešte nemáte systém LastPass, dôrazne odporúčame, aby ste si ho nastavili. Ak chcete začať, pozrite sa na Príručku HTG, aby ste mohli začať pracovať s LastPass. Napriek tomu, že spoločnosť LastPass bola aktualizovaná od chvíle, keď sme napísali sprievodcu (rozhranie je oveľa hezšie a lepšie zladené teraz), stále môžete postupovať s krokmi. Ak nastavujete LastPass prvýkrát, nezabudnite importovaťvšetko vaše uložené heslá z vašich prehliadačov, pretože naším cieľom je overiť každé jednotlivé heslo, ktoré používate.

Zadajte každé prihlasovacie meno a heslo do LastPass: Či už ste úplne nový na službe LastPass alebo ste ho úplne nepoužívali pre každé prihlásenie, teraz je čas, aby ste sa uistili, že ste zadalikaždý prihlásenie do systému LastPass. Odporúčame vám zopakovať odporúčania, ktoré sme uviedli v našom sprievodcovi pre obnovu e-mailov, aby ste si mohli pripomenúť vaše doručené pošty pre pripomienky:

Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Povolenie dvojfaktorovej autentifikácie na vašom účte LastPass: Tento krok nie je bezpodmienečne potrebný na vykonanie bezpečnostného auditu, ale keď budeme mať vašu pozornosť, budeme robiť všetko, čo je v našich silách, aby sme vás povzbudzovali, kým sa chystáte do svojho účtu LastPass, aby ste zapli dvojfaktorovú autentifikáciu ďalej zabezpečte vaňu LastPass. (Nielen, že sa zvýši bezpečnosť Vášho účtu, ale aj vylepšite skóre kontroly zabezpečenia!)

Vykonanie LastPass Security Challenge

Teraz, keď ste importovali všetky svoje heslá, je na čase, aby ste sa pripravili na hanbu toho, že nie ste v 1% tvrdých ninjov na zabezpečenie hesiel. Navštívte stránku LastPass Security Challenge a stlačte "Spustiť výzvu" v spodnej časti stránky. Budete vyzvaní, aby ste zadali svoje hlavné heslo, ako je vidieť na snímke vyššie, a potom spoločnosť LastPass ponúkne, aby skontrolovala, či niektorá z e-mailových adries obsiahnutých vo vašej trezore bola súčasťou porušenia, ktoré sledovala. Nie je dôvod na to, aby ste to nevyužili:
Teraz, keď ste importovali všetky svoje heslá, je na čase, aby ste sa pripravili na hanbu toho, že nie ste v 1% tvrdých ninjov na zabezpečenie hesiel. Navštívte stránku LastPass Security Challenge a stlačte "Spustiť výzvu" v spodnej časti stránky. Budete vyzvaní, aby ste zadali svoje hlavné heslo, ako je vidieť na snímke vyššie, a potom spoločnosť LastPass ponúkne, aby skontrolovala, či niektorá z e-mailových adries obsiahnutých vo vašej trezore bola súčasťou porušenia, ktoré sledovala. Nie je dôvod na to, aby ste to nevyužili:
Ak máte šťastie, vráti sa negatívne. Ak máte šťastie, dostanete takýto pop-up, s ktorým sa pýtate, či chcete získať viac informácií o porušeniach vášho e-mailu:
Ak máte šťastie, vráti sa negatívne. Ak máte šťastie, dostanete takýto pop-up, s ktorým sa pýtate, či chcete získať viac informácií o porušeniach vášho e-mailu:
LastPass vydá pre každú inštanciu jediné upozornenie na bezpečnosť. Ak ste dlho mali svoju e-mailovú adresu, buďte pripravení na to, koľko prekročení hesiel bolo zamotané. Tu je príklad upozornenia na porušenie hesla:
LastPass vydá pre každú inštanciu jediné upozornenie na bezpečnosť. Ak ste dlho mali svoju e-mailovú adresu, buďte pripravení na to, koľko prekročení hesiel bolo zamotané. Tu je príklad upozornenia na porušenie hesla:
Po vyskakovacích oknách sa dostanete do hlavného panelu programu LastPass Security Challenge. Pamätajte si skôr v sprievodcovi, keď som hovoril o tom, ako v súčasnosti praktizujem dobrú hygienu hesiel, ale že som sa nikdy nedostal okolo aby som správne aktualizoval veľa starších webových stránok a služieb? To naozaj ukazuje v skóre som dostal. Ouch:
Po vyskakovacích oknách sa dostanete do hlavného panelu programu LastPass Security Challenge. Pamätajte si skôr v sprievodcovi, keď som hovoril o tom, ako v súčasnosti praktizujem dobrú hygienu hesiel, ale že som sa nikdy nedostal okolo aby som správne aktualizoval veľa starších webových stránok a služieb? To naozaj ukazuje v skóre som dostal. Ouch:
To je moje skóre s rokmi v hodnote náhodné heslá zmiešané dovnútra Nebuďte príliš šokovaný, ak vaše skóre je ešte nižšie, ak ste používali rovnaké hŕstka slabých hesiel znova a znova. Teraz, keď máme naše skóre (hoci je to úžasné alebo hanebné, môže to byť), je čas vykopať do údajov. Môžete použiť rýchle prepojenia vedľa vášho percenta skóre alebo len začať rolovanie. Prvá zastávka, poďme sa pozrieť na podrobné výsledky. Zvážte to 10 000 stôp prehľad stavu vašich hesiel:
To je moje skóre s rokmi v hodnote náhodné heslá zmiešané dovnútra Nebuďte príliš šokovaný, ak vaše skóre je ešte nižšie, ak ste používali rovnaké hŕstka slabých hesiel znova a znova. Teraz, keď máme naše skóre (hoci je to úžasné alebo hanebné, môže to byť), je čas vykopať do údajov. Môžete použiť rýchle prepojenia vedľa vášho percenta skóre alebo len začať rolovanie. Prvá zastávka, poďme sa pozrieť na podrobné výsledky. Zvážte to 10 000 stôp prehľad stavu vašich hesiel:
Zatiaľ čo by ste mali venovať pozornosť všetkým štatistikám, skutočne dôležité sú "Priemerná hodnota hesla", ako slabé alebo silné je vaše priemerné heslo, a čo je ešte dôležitejšie "Počet duplicitných hesiel" a "Počet stránok s duplicitnými heslami ". Pri príčinách môjho auditu bolo na 43 lokalitách 8 stránok. Samozrejme, že som bol dosť lenivý a používal som to isté nízke heslo na viac ako niekoľkých miestach.
Zatiaľ čo by ste mali venovať pozornosť všetkým štatistikám, skutočne dôležité sú "Priemerná hodnota hesla", ako slabé alebo silné je vaše priemerné heslo, a čo je ešte dôležitejšie "Počet duplicitných hesiel" a "Počet stránok s duplicitnými heslami ". Pri príčinách môjho auditu bolo na 43 lokalitách 8 stránok. Samozrejme, že som bol dosť lenivý a používal som to isté nízke heslo na viac ako niekoľkých miestach.

Ďalšia zastávka, sekcia Analyzované lokality. Tu nájdete veľmi konkrétny rozpis všetkých prihlásení a hesiel usporiadaných duplicitným použitím hesla (ak ste mali duplikáty), unikátnymi heslami a nakoniec prihlásením bez hesla uloženého v LastPasse. Zatiaľ čo sa pozeráte nad zoznamom, obdivujte kontrast medzi silami hesla. V mojom prípade bolo jedno z mojich finančných prihlásení dané 45% skóre hesiel, zatiaľ čo prihlásenie mojej dcéry Minecraft dostalo perfektné 100% skóre. Opäť, ouch.

Stanovenie vášho hrozného bezpečnostného skóre

Existujú dva veľmi užitočné odkazy postavené priamo do zoznamu auditov. Ak kliknete na položku "SHOW", zobrazí sa vám heslo pre danú lokalitu a kliknutím na tlačidlo "Navštívte stránku" môžete preskočiť priamo na webovú stránku, aby ste mohli zmeniť heslo. Nielenže by sa malo zmeniť každé dvojité heslo, ale každé heslo, ktoré bolo priradené k účtu, ktorý bol porušený (napríklad Adobe.com alebo LinkedIn), by mal byť natrvalo vyradený.
Existujú dva veľmi užitočné odkazy postavené priamo do zoznamu auditov. Ak kliknete na položku "SHOW", zobrazí sa vám heslo pre danú lokalitu a kliknutím na tlačidlo "Navštívte stránku" môžete preskočiť priamo na webovú stránku, aby ste mohli zmeniť heslo. Nielenže by sa malo zmeniť každé dvojité heslo, ale každé heslo, ktoré bolo priradené k účtu, ktorý bol porušený (napríklad Adobe.com alebo LinkedIn), by mal byť natrvalo vyradený.

V závislosti od toho, koľko alebo málo hesiel, ktoré máte (a ako dôkladne ste sa zaoberali dobrými pravidlami v oblasti hesiel), môže byť tento krok procesu trvať desať minút alebo celé popoludnie. Aj keď proces zmeny hesla sa bude líšiť v závislosti od rozloženia stránok, ktoré aktualizujete, je tu niekoľko všeobecných pravidiel, ktoré je potrebné dodržiavať (používame napríklad aktualizáciu hesla v časti Pamätať si mlieko): Navštívte stránku s zmenou hesla, Obvykle budete musieť vložiť svoje aktuálne heslo a potom vygenerovať nové heslo.

Urobte tak kliknutím na logo zámku s kruhovou šípkou.LastPass sa vloží do nového slotu na heslo (ako je vidieť na snímke obrazovky vyššie). Pozrite sa na nové heslo a vykonajte úpravy, ak si želáte (napríklad predĺženie alebo pridanie špeciálnych znakov):
Urobte tak kliknutím na logo zámku s kruhovou šípkou.LastPass sa vloží do nového slotu na heslo (ako je vidieť na snímke obrazovky vyššie). Pozrite sa na nové heslo a vykonajte úpravy, ak si želáte (napríklad predĺženie alebo pridanie špeciálnych znakov):
Kliknite na položku "Použiť heslo" a potvrďte, že chcete aktualizovať záznam, ktorý upravujete:
Kliknite na položku "Použiť heslo" a potvrďte, že chcete aktualizovať záznam, ktorý upravujete:
Nezabudnite potvrdiť zmenu aj na webových stránkach. Opakujte proces pre každé zdvojené a slabé heslo v vačke LastPass.
Nezabudnite potvrdiť zmenu aj na webových stránkach. Opakujte proces pre každé zdvojené a slabé heslo v vačke LastPass.

Napokon posledná vec, ktorú potrebujete na audit, je vaše LastPass Master Password. Urobte tak kliknutím na odkaz v spodnej časti obrazovky Challenge s označením "Otestujte si silu môjho LastPass Master Password". Ak to nevidíte:

Musíte obnoviť svoje LastPass Master Password a zvýšiť silu, kým nedostanete príjemné, pozitívne potvrdenie o 100%.
Musíte obnoviť svoje LastPass Master Password a zvýšiť silu, kým nedostanete príjemné, pozitívne potvrdenie o 100%.

Preskúmanie výsledkov a ďalšie zvýšenie bezpečnosti LastPass

Po prechode do zoznamu duplicitných hesiel, odstránení starých záznamov a inak upratovanie a zabezpečenie vášho zoznamu prihlásení / hesiel, je čas znovu spustiť audit. Teraz, pre dôraz, skóre, ktoré vidíte nižšie, bolo vychované iba zlepšením zabezpečenia hesla. (Ak povolíte ďalšie bezpečnostné funkcie, napríklad multifaktorové overovanie, dostanete zvýšenie o približne 10%).

Image
Image

Nie zlé! Po odstránení všetkých duplicitných hesiel a privedení všetkých existujúcich hesiel až o 90% alebo viac, skutočne zlepšilo naše skóre. Ak ste zvedaví, prečo nedošlo k skoku na 100%, existuje niekoľko faktorov, z ktorých najdôležitejšie je, že niektoré heslá nikdy nemôžu byť upútané na šnupanie podľa noriem LastPass kvôli hlúpej politike na mieste správcovia stránok. Prihlasovacie heslo pre moju miestnu knižnicu je napríklad štvormiestny kolík (ktorý dosahuje 4% v bezpečnostnej stupnici LastPass). Väčšina ľudí bude mať na svojom zozname nejaké oddiely, ktoré budú mať za následok zníženie skóre.

V takýchto prípadoch je dôležité nediskriminovať a používať podrobný rozpis ako metriku:

V procese aktualizácie hesla som prerezal 17 lokalít s duplikátmi / vypršalo, vytvoril som jedinečné heslo pre každú stránku a službu a počet stránok s duplicitnými heslami sa znížil zo 43 na 0 v procese.
V procese aktualizácie hesla som prerezal 17 lokalít s duplikátmi / vypršalo, vytvoril som jedinečné heslo pre každú stránku a službu a počet stránok s duplicitnými heslami sa znížil zo 43 na 0 v procese.

Trvalo to len asi hodinu vážne zameraného času (12,4% z nich bolo stráviť prekliatím dizajnérov webových stránok, ktorí dali odkazy na aktualizáciu hesiel na nejasných miestach) a všetko, čo bolo potrebné, aby som sa dostal k motivácii, bolo porušenie hesla katastrofických rozmerov! Urobím tu poznámku, obrovský úspech.

Teraz, keď ste skontrolovali svoje heslá a ste vyčerpaní, že ste mali stabilné unikátne heslá, využite túto výhodu vpred. Stlačte náš sprievodca na vytvorenie LastPassui bezpečnejšie tým, že zvyšujú počet opakovaní hesiel, obmedzujú prihlasovacie údaje podľa krajín a ďalšie. Medzi spustením auditu, ktorý sme načrtli tu, po našom bezpečnostnom sprievodcovi LastPass a zapnutím dvojfaktorových algoritmov, budete mať systém na ochranu pred nepriateľmi, na ktorý sa môžete naučiť.

Odporúča:

Prečo reštartovanie smerovača opravuje toľko problémov (a prečo musíte čakať 10 sekúnd)

Prečo reštartovanie smerovača opravuje toľko problémov (a prečo musíte čakať 10 sekúnd)

Internet je dole, ale viete, čo robiť: Odpojte router alebo modem, počkajte desať sekúnd a potom ho znovu pripojte. Je to druhá príroda, ale prečo to skutočne funguje? A je tam nejaké kúzlo na desať sekundové číslo?

Ako odstrániť ručne písané správy z posledného zoznamu v správach vo formáte iOS 10

Ako odstrániť ručne písané správy z posledného zoznamu v správach vo formáte iOS 10

Po odoslaní rukou písanej správy v aplikácii Správy na vašom telefóne iPhone sa pridáva do zoznamu posledných správ, aby ste ju mohli znova použiť. Ak nechcete, aby niektoré správy boli uložené v zozname, alebo ich nechcete zobrazovať vôbec, existuje spôsob, ako ich odstrániť.

Získajte Mamutu - Behaviour bezpečnostný anti-malware bezpečnostný softvér zadarmo

Získajte Mamutu - Behaviour bezpečnostný anti-malware bezpečnostný softvér zadarmo

Mamutu je anti-malware softvér od firmy Emsisoft, výrobcovia a-squared anti-malware.

Windows 7 a Windows 8.1 Aktualizácia služby prechodu na model Rollup

Windows 7 a Windows 8.1 Aktualizácia služby prechodu na model Rollup

Vďaka novým zmenám v servise Windows 7 a Windows 8.1 je potrebné, aby si teraz užívatelia stiahli menej aktualizácií. To tiež robilo Windows OS spoľahlivejšie.

Oprava: Táto aplikácia sa nemôže spustiť na chybe počítača v systéme Windows 10

Oprava: Táto aplikácia sa nemôže spustiť na chybe počítača v systéme Windows 10

Ako opraviť Táto aplikácia sa nemôže spustiť v počítači s chybovým hlásením v systéme Windows 10? No ak máte túto otázku, tento príspevok vám ukáže, ako vyriešiť problém.