Koks yra didelis sandoris ir kodėl ši tema?
Šių metų spalio mėnesį "Adobe" parodė, kad buvo padarytas didelis saugumo pažeidimas, kuris paveikė 3 mln. "Adobe.com" ir "Adobe" programinės įrangos naudotojų. Tada peržiūrėjo 38 milijonus. Tada, dar labiau šokiruojantis, kai iš duomenų nutekėjimo atsirado duomenų bazė, saugumo tyrėjai, analizavę duomenų bazę, grįžo ir sakė, kad tai labiau panaši 150 mln pažeistos vartotojų paskyros. Toks vartotojo ekspozicijos laipsnis, "Adobe", yra laikomas vienu blogiausių saugumo pažeidimų istorijoje.
"Adobe" vargu ar yra vienintelis šiame fone; mes tiesiog atidarėme jų pažeidimą, nes tai skausmingai neseniai. Per pastaruosius keletą metų įvyko dešimtys didžiulių saugumo pažeidimų, dėl kurių buvo pažeista vartotojo informacija, įskaitant slaptažodžius.
"LinkedIn" buvo nukreiptas 2012 m. (Kompromituotas 6,46 milijono vartotojų įrašų). Tais pačiais metais "eHarmony" buvo nukreipta (1,5 milijono vartotojų įrašų), kaip ir "Last.fm" (6,5 milijono vartotojų įrašų) ir "Yahoo!" (450 000 įrašų naudotojui). "Sony Playstation" tinklas buvo paveiktas 2011 m. (101 milijonas vartotojų įrašų buvo pažeistas). "Gawker Media" (pagrindinė svetainių, kaip "Gizmodo" ir "Lifehacker", kompanija) buvo užfiksuota 2010 m. (1,3 milijono vartotojų įrašai buvo pažeisti). Tai yra tik didelių pažeidimų, kurie padarė naujienas, pavyzdžiai!
Privatumo teisių informacijos centras saugo nuo 2005 m. Iki dabar esančių saugumo pažeidimų duomenų bazę. Jų duomenų bazėje yra daugybė pažeidimų tipų: pažeistos kredito kortelės, pavogti socialinio draudimo numeriai, pavogti slaptažodžiai ir medicininiai įrašai. Nuo šio straipsnio paskelbimo duomenų bazę sudaro 4,033 pažeidimai turintis 617 937 023 įrašai apie naudotoją. Ne kiekvienas iš tų šimtų milijonų pažeidimų įtraukė naudotojo slaptažodžius, bet milijonai jų padarė milijonus.
Taigi, kodėl tai svarbu? Nepaisant akivaizdžių ir neatidėliotinų pažeidimų saugumo padarinių, pažeidimai sukuria papildomą žalą. Įsilaužėliai gali nedelsdami pradėti išbandyti prisijungimus ir slaptažodžius, kuriuos jie gauna kitose interneto svetainėse.
Daugelis žmonių yra tingūs savo slaptažodžiais, ir yra didelė tikimybė, kad jei kas nors naudos [email protected] slaptažodį bob1979, ta pati prisijungimo / slaptažodžio pora veiks kitose interneto svetainėse. Jei šios kitos svetainės yra aukštesnio profilio (pvz., Banko svetainėse arba jei jo naudojamas slaptažodis iš tikrųjų atrakina jo el. Pašto dėžutę), tai yra problema. Kai kas nors turi prieigą prie savo el. Pašto dėžutės, jis gali pradėti iš naujo nustatyti slaptažodį kitoms paslaugoms ir gauti jiems prieigą.
Vienintelis būdas sustabdyti tokios grandininės reakcijos rūšį sukelia dar daugiau saugumo problemų naudojamų interneto svetainių ir paslaugų tinkle - vadovautis dviem pagrindinėmis geros slaptažodžių higienos taisyklėmis:
- Jūsų el. Pašto slaptažodis turi būti ilgas, stiprus ir visiškai unikalus tarp visų prisijungimų.
- Kiekvienas Prisijungimas gauna ilgą, tvirtą ir unikalų slaptažodį. Negalima pakartotinai naudoti slaptažodžio. Kada nors
Šios dvi taisyklės yra kiekvieno saugos vadovo, kurį kada nors pasidalinome su jumis, ištrauka, įskaitant mūsų nepaprastą "it-has-hit-the-fan guide" Kaip atkurti po to, kai jūsų elektroninio pašto slaptažodis yra pažeistas.
Šiuo metu jūs tikriausiai šiek tiek šmeižiuojate šiek tiek, nes atvirai kalbant, beveik niekas neturi visiškai hermetiškų slaptažodžių praktikos ir saugumo. Jūs nesate vieni, jei trūksta slaptažodžio higienos. Tiesą sakant, atėjo laikas prisipažinti.
Per kelerius metus, kai buvau "How-To Geek", aš parašiau dešimtys saugumo straipsnių, įrašų apie saugumo pažeidimus ir kitus su slaptažodžiu susijusius įrašus. Nepaisant to, kad yra būtent tokio pobūdžio informuotas asmuo, kuris turėtų geriau žinoti, nepaisant slaptažodžių tvarkyklės naudojimo ir saugių slaptažodžių kūrimo kiekvienai naujajai svetainei ir paslaugai, kai aš skleidžiau savo el. Laišką per pažeistų "Adobe" prisijungimų sąrašą ir suderino jį su pažeistu slaptažodžiu, aš vis dar sužinojo, kad aš turiu sudeginti.
Aš padariau tą "Adobe" paskyrą jau seniai, kai buvau daug slapta ir mano slaptažodžio higiena, ir mano naudojamas slaptažodis buvo įprastas tuzinai svetainių ir paslaugų, su kuriomis aš prisiregistravau, prieš priimdama labai rimtai apie tai, kaip padaryti gerus slaptažodžius.
Visa tai galėjo užkirsti kelią, jei aš visiškai praktikuoju tai, ką skelbiau, o ne tik sukūriau unikalius ir patikimus slaptažodžius, bet taip pat patikrino mano senus slaptažodžius, kad ši situacija nebūtų buvusi. Nesvarbu, ar jūs niekada net nenorėjote nuosekliai ir saugiai naudoti savo slaptažodžių, ar tiesiog reikia patikrinti juos, kad galėtumėte patogiai atlikti, kruopštus slaptažodžio tikrinimas - kelias į slaptažodžio saugumą ir ramybę. Perskaitykite, kaip parodysime kaip.
Pasiruošimas jūsų "Lastpass Security Challenge"
Galėtumėte rankiniu būdu patikrinti savo slaptažodžius, tačiau tai būtų labai varginanti, ir jūs negalėtumėte pasinaudoti gero universaliojo slaptažodžių tvarkyklės nauda. Užuot rankiniu būdu patikrinę viską, mes einame lengvą ir dažniausiai automatizuotą maršrutą: mes atliksime "LastPass Security Challenge" patikrinimą savo slaptažodžius.
Šis vadovas neapims "LastPass" nustatymo, taigi, jei dar neturite "LastPass" sistemos ir veikia, mes primygtinai rekomenduojame jį nustatyti. Norėdami pradėti, skaitykite HTG vadovą, kaip pradėti naudoti "LastPass". Nors "LastPass" atnaujino nuo tada, kai parašė vadovą (sąsaja yra daug gražesnė ir dabar patobulinta), jūs vis tiek galite lengvai atlikti veiksmus. Jei pirmą kartą nustatote "LastPass", būtinai importuokitevisi jūsų saugomi slaptažodžiai iš jūsų naršyklių, nes mūsų tikslas yra patikrinti kiekvieną naudojamą slaptažodį.
Įveskite kiekvieną prisijungimo vardą ir slaptažodį LastPass:Nesvarbu, ar esate visiškai nauja "LastPass" vartotojui, ar nesate visiškai naudoję jį kiekvienam prisijungimui, dabar laikas įsitikinti, kad įvedėtekiekvienas prisijungti prie "LastPass" sistemos. Mes atsiminsime patarimus, kuriuos davėme el. Pašto atkūrimo vadove, norėdami priminti pašto dėžutę priminimams:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Įgalinkite dviejų faktorių autentifikavimą jūsų LastPass paskyroje: Šis veiksmas nėra būtinai reikalingas norint atlikti saugumo auditą, tačiau, kai mes atkreipiame dėmesį, mes ketiname daryti viską, ką galime, kad paskatintume jus, o paskui perskaitysite "LastPass" paskyrą, kad įjungtumėte dviejų veiksnių autentifikavimą toliau saugokite savo LastPass saugyklą. (Ne tik padidinsite paskyros saugumą, bet ir padidinsite savo saugumo audito balą!)
LastPass saugumo iššūkis
Kitas sustojimas, analizuojamų svetainių skiltis. Čia rasite labai konkretų visų prisijungimų ir slaptažodžių, surengtų pasikartojančiu slaptažodžiu naudojimu (jei buvo pasikartojančių failų), unikalių slaptažodžių ir galų gale prisijungs be slaptažodžio, saugomo LastPass. Nors jūs ieškote sąrašo, stebėkite kontrastą tarp slaptažodžių stiprumų. Mano atveju vienas iš mano finansinių prisijungimų buvo suteiktas 45% slaptažodžio balas, o mano dukters Minecraft prisijungimas buvo suteiktas puikus 100% rezultatas. Vėlgi, ouch.
Nustatyti savo siaubingą saugumo iššūkių balą
Priklausomai nuo to, kiek jūsų ar kelių slaptažodžių turite (ir kaip kruopščiai dirbote su gerais slaptažodžių metodais), šis proceso žingsnis gali užtrukti iki dešimties minučių ar visą popietę. Nors slaptažodžių keitimo procesas skirsis priklausomai nuo jūsų atnaujinamos svetainės išdėstymo, čia pateikiamos kelios pagrindinės gairės, kurių reikia laikytis (naudojame mūsų slaptažodžio atnaujinimą "Pameskite kaip pavyzdį"): apsilankykite slaptažodžio keitimo puslapyje. Paprastai jums reikės įvesti dabartinį slaptažodį ir tada sugeneruoti naują slaptažodį.
Galiausiai paskutinis dalykas, kurį reikia patikrinti, yra jūsų LastPass pagrindinis slaptažodis. Tai atlikite spustelėję ekrano "Iššūkiai" apačioje esančią nuorodą "Išbandyti mano" LastPass "pagrindinio slaptažodžio stiprumą. Jei nematote šios:
Jums reikia iš naujo nustatyti "LastPass" pagrindinį slaptažodį ir padidinti jėgą, kol gausite malonų, teigiamą, 100% stiprumo patvirtinimą.
Rezultatų apibendrinimas ir tolesnis "LastPass Security" tobulinimas
Po to, kai jūs užsirašėte slaptažodžių pasikartojimų sąrašą, ištrintus senus įrašus ir kitaip nustatėte ir apsaugote savo prisijungimo / slaptažodžių sąrašą, laikas vėl atlikti auditą. Dabar pabrėžtina, kad rezultatas, kurį matote žemiau, buvo iškeltas tik pagerinus slaptažodžių apsaugą. (Jei įjungsite papildomas saugumo funkcijas, pvz., Daugialypį autentifikavimą, gausite maždaug 10% padidėjimą).
Tokiais atvejais svarbu nesijaudinti ir naudoti savo išsamų suskirstymą kaip metriką:
Tik užtruko apie valandą rimtai susikaupusio laiko (12,4% iš jų buvo praleistos, prakeikdamos svetainių dizainerius, kurie įdiegė slaptažodžių atnaujinimo nuorodas neaiškiose vietose), ir viskas, ko reikia man motyvuoti, buvo katastrofiškų proporcijų slaptažodžio pažeidimas! Čia rašau pastabą, didžiulę sėkmę.
Dabar, kai atlikote savo slaptažodžių patikrinimą ir esate įsipainioję apie tai, kad turite unikalių slaptažodžių stabilią galimybę, pasinaudokime tolesniu momentu. Pasiekite mūsų "LastPass" kūrimo vadovąnetgi saugesni, didinant slaptažodžių kartojimą, apribojant prisijungimus pagal šalis ir dar daugiau. Tarp atlikto audito, kurį čia apibūdinome, vadovaudamiesi "LastPass" saugumo vadovu ir įjungę dviejų faktorių algoritmus, turėsite "bulletproof" slaptažodžių valdymo sistemą, į kurią galite didžiuotis.