Hur man kör en säkerhetsgranskning för senaste pass (och varför den inte kan vänta)
Om du övar lösenordshantering och hygien är det bara en fråga om tid tills en av de allt fler omfattande säkerhetsbristerna bränner dig. Sluta vara tacksam du dodged den tidigare säkerheten bryter kulor och rustning dig mot de framtida. Läs vidare när vi visar dig hur du granskar dina lösenord och skyddar dig själv.
Vad är Big Deal och varför är det här?
I oktober i år avslöjade Adobe att det hade varit en stor säkerhetsbrott som drabbade 3 miljoner användare av Adobe.com och Adobe-programvaran. Därefter reviderade de numret till 38 miljoner. Då blev det ännu mer chockerande när databasen från hacket läckte, säkerhetsforskare som analyserade databasen kom tillbaka och sa att det var mer som 150 miljoner komprometterade användarkonton. Denna grad av användarexponering sätter Adobe-brottet i spåret som en av de värsta säkerhetsbristerna i historien.
Adobe är dock knappast ensam på den här fronten; vi öppnade helt enkelt med deras brott eftersom det är smärtsamt nyligen. Under de senaste åren har det varit dussintals massiva säkerhetsbrott där användarinformation, inklusive lösenord, har äventyras.
LinkedIn träffades 2012 (6,46 miljoner användarrekord äventyras). Samma år träffades eHarmony (1,5 miljoner användarrekord) liksom Last.fm (6,5 miljoner användarrekord) och Yahoo! (450 000 användarrekord). Sony Playstation Network blev slagen under 2011 (101 miljoner användarrekord äventyras). Gawker Media (moderbolaget till webbplatser som Gizmodo och Lifehacker) slogs under 2010 (1,3 miljoner användarrekord äventyras). Och det är bara exempel på stora överträdelser som gjorde nyheterna!
Privacy Rights Clearinghouse upprätthåller en databas över säkerhetsöverträdelser från 2005 till idag. Deras databas innehåller ett brett spektrum av överträdelsetyper: kompromissade kreditkort, stulna personnummer, stulna lösenord och journaler. Databasen, efter offentliggörandet av denna artikel, består av 4,033 brott som innehåller 617.937.023 användarrekord. Inte var och en av de hundratals miljoner överträdelserna involverade användarlösenord, men miljontals miljoner av dem gjorde det.
Så varför spelar det roll? Bortsett från de uppenbara och omedelbara säkerhetsimplikationerna av ett brott, skapar överträdelserna säkerhetsskador. Hackarna kan omedelbart börja testa loggar och lösenord som de skördar på andra webbplatser.
De flesta människor är lata med sina lösenord, och det finns en bra chans att om någon använde [email protected] med lösenordet bob1979, kommer samma inloggning / lösenordspar att fungera på andra webbplatser. Om de andra webbplatserna är högre profil (som bankwebbplatser eller om lösenordet han använde hos Adobe låser upp sin e-postkorg), så är det ett problem. När någon har tillgång till din e-postinbox kan de börja återställa lösenordet på andra tjänster och få tillgång till dem också.
Det enda sättet att stoppa denna typ av kedjereaktion från att orsaka ännu fler säkerhetsproblem inom nätverket av webbplatser och tjänster du använder är att följa två kardinalregler för god lösenordshygien:
- Ditt email lösenord ska vara lång, stark och helt unik bland alla dina inloggningar.
- Varje inloggning får ett långt, starkt och unikt lösenord. Inget nytt användarnamn. Någonsin.
Dessa två regler är avhämtningen från varje säkerhetsguide som vi någonsin har delat med dig, inklusive vår nödsituation, det har blivit-fan-guiden Hur återställs efter att ditt lösenord är kompromissat.
Nu är du förmodligen tvungen på att squirming lite, för det är uppenbarligen ingen som har perfekt lufttäta lösenordspraxis och säkerhet. Du är inte ensam om ditt lösenord hygien saknas. Det är faktiskt dags för en bekännelse.
Jag har skrivit dussintals säkerhetsartiklar, inlägg om säkerhetsbrott och andra lösenordsrelaterade inlägg under åren jag har varit på How-To Geek. Trots att du precis är den typ av informerad person som borde veta bättre trots att du använder en lösenordshanterare och genererar säkra lösenord för varje ny webbplats och tjänst när jag sprang min e-post genom listan över kompromissade Adobe-inloggningar och matchade den mot det kompromissade lösenordet, jag upptäckte fortfarande att jag hade blivit bränd.
Jag skapade det Adobe-kontot för länge sen när jag var betydligt mer lat med min lösenordshygien och lösenordet jag använde var vanligt över dussintals av webbplatser och tjänster som jag hade anmält mig till innan jag blev super seriös om att göra bra lösenord.
Allt detta kunde ha förhindrats om jag hade fullt utövat det jag predikade och inte bara skapat unika och starka lösenord men också granskade mina gamla lösenord för att säkerställa att denna situation aldrig hände i första hand. Oavsett om du aldrig ens försökt att vara konsekvent och säker med ditt lösenordspraxis eller om du bara behöver kolla över dem för att göra dig lugn, är en grundlig lösenordsrevision vägen till lösenordsäkerhet och sinnesfrid. Läs vidare när vi visar dig hur.
Förberedelser för din Lastpass Security Utmaning
Du kan manuellt granska dina lösenord, men det skulle vara enormt tråkigt och du skulle inte få några fördelar med att använda en bra universell lösenordshanterare. I stället för att manuellt granska allt, tar vi den enkla och mest automatiserade rutten: vi ska granska våra lösenord genom att ta LastPass Security Challenge.
Den här guiden täcker inte inställningen för LastPass, så om du inte redan har ett LastPass-system igång, rekommenderar vi starkt att du ställer in en. Kolla in HTG Guide till Komma igång med LastPass för att komma igång. Även om LastPass har uppdaterat sedan vi skrev guiden (gränssnittet är mycket snällare och bättre strömlinjeformat nu), kan du fortfarande följa stegen med lätthet. Om du konfigurerar LastPass för första gången, se till att importera Allt dina lagrade lösenord från dina webbläsare, eftersom vårt mål är att granska varje lösenord du använder.
Ange varje inloggning och lösenord till LastPass: Oavsett om du är helt ny på LastPass eller om du inte har använt det helt för varje inloggning, är det dags att se till att du har angett varje logga in i LastPass-systemet. Vi kommer att echo de råd vi gav i vår e-poståterställningsguide för att kamma din e-postbrevlåda för påminnelser:
Sök ditt mail för registrering påminnelser. Det kommer inte vara svårt att komma ihåg dina ofta använda inloggningar som Facebook och din bank men det finns troligt dussintals utläggande tjänster som du inte ens kan komma ihåg att du använder din e-post för att logga in. Använd sökordssökningar som "välkommen till", "återställ", "återställning", "verifiera", "lösenord", "användarnamn", "inloggning", "konto" och kombinationer där som "återställ lösenord" eller "verifiera konto" . Återigen vet vi att det här är ett krångel, men när du har gjort det med en lösenordshanterare vid din sida har du en mallista över hela ditt konto och du behöver aldrig göra det här sökordet igen.
Aktivera tvåfaktorsautentisering på ditt LastPass-konto: Det här steget är inte absolut nödvändigt för att utföra säkerhetsrevisionen, men samtidigt som vi uppmärksammar vi kommer vi att göra allt vi kan för att uppmuntra dig, medan du muckar runt i ditt LastPass-konto, för att aktivera tvåfaktorsautentisering till Ytterligare säkra ditt LastPass valv. (Inte bara ökar din kontosäkerhet, du får också en ökning i ditt säkerhetsgranskningsresultat!)
Tillsammans med LastPass Security Challenge
Nu när du har importerat alla dina lösenord, är det dags att städa dig själv för synden att inte vara i 1% av hardcore lösenords säkerhetsninjer. Besök sidan LastPass Security Challenge och tryck på "Start the Challenge" längst ner på sidan. Du kommer att bli uppmanad att ange ditt huvudlösenord, vilket visas på skärmbilden ovan, och sedan kommer LastPass att se om någon av de e-postadresser som finns i ditt valv var en del av eventuella överträdelser som den har spårat. Det finns ingen bra anledning att inte dra nytta av detta:
Om du har tur, returnerar den en negativ. Om du har tur får du en popup som den här frågar om du vill ha mer information om överträdelserna var din e-post involverad i:
LastPass kommer att utfärda en enda säkerhetsvarning för varje instans. Om du har haft din e-postadress under en längre tid, var beredd att vara chockad över hur många lösenordsöverträdelser det har gått ihop. Här är ett exempel på ett meddelande om lösenordsbrott:
Efter popup-filerna dumpas du till huvudpanelen i LastPass Security Challenge. Kom ihåg tidigare i guiden när jag pratade om hur jag för närvarande övar bra lösenordshygien men det hade jag aldrig fått för att uppdatera en hel del äldre webbplatser och service? Det visar verkligen i poängen jag fick. Aj:
Det är min poäng med år av slumpmässiga lösenord blandas in. Var inte för chockad om din poäng är ännu lägre om du har använt samma handfulla svaga lösenord om och om igen. Nu när vi har vår poäng (dock fantastisk eller skamligt kan det vara), det är dags att gräva in i data. Du kan använda snabblänkarna bredvid din poängprocent eller bara börja rulla. Första stopp, låt oss kolla in de detaljerade resultaten. Tänk på en 10 000 fot överblick över läget för dina lösenord:
Medan du bör uppmärksamma all statistik här, är de riktigt viktiga "Genomsnittlig lösenordsstyrka", hur svag eller stark är ditt genomsnittliga lösenord och, ännu viktigare, "Antal dubbla lösenord" och "Antal webbplatser som har dubbla lösenord ”. Till följd av min revision var det 8 dupes på 43 platser. Tydligen hade jag varit ganska lat att återanvända samma lågklassiga lösenord på mer än några webbplatser.
Nästa stopp, avsnittet Analyserade platser. Här hittar du en mycket konkret nedbrytning av alla dina inloggningar och lösenord som ordnas genom dubbelt användande av lösenord (om du hade dubbletter), unika lösenord och slutligen inloggningar utan ett lösenord som lagrats i LastPass. Medan du tittar över listan, undrar du kontrasten mellan lösenordsstyrkor. I mitt fall fick en av mina finansiella inloggningar ett 45% lösenordsresultat medan min dotters Minecraft-inloggning fick ett perfekt 100% poäng. Återigen, ouch.
Fastställa ditt hemska säkerhetsutmaningspoäng
Det finns två väldigt användbara länkar byggda direkt in i revisionsförteckningarna. Om du klickar på "SHOW" visas det lösenordet för den webbplatsen och om du klickar på "Besök webbplats" kan du hoppa direkt till webbplatsen så att du kan ändra lösenordet. Inte bara bör alla dubbla lösenord ändras, men alla lösenord som fogades till ett konto som bryts (t.ex. Adobe.com eller LinkedIn) borde vara pensionerad permanent.
Beroende på hur många eller några lösenord du har (och hur flitig du har handlat om bra lösenordspraxis), kan det här steget i processen ta dig tio minuter eller hela eftermiddagen. Även om processen med att ändra dina lösenord varierar beroende på layouten på webbplatsen du uppdaterar, här följer några allmänna riktlinjer för att följa (vi använder vår lösenordsuppdatering på Remember the Milk som ett exempel): Besök sidan för lösenordsbyte . Vanligtvis behöver du ange ditt nuvarande lösenord och sedan skapa ett nytt lösenord.
Gör så genom att klicka på lås-med-cirkel-pilen logotypen. LastPass sätter in i det nya lösenordspasset (som ses på skärmbilden ovan). Titta över ditt nya lösenord och gör justeringar om du vill (som att förlänga det eller lägga till i specialtecken):
Klicka på "Använd lösenord" och bekräfta sedan att du vill uppdatera den post du redigerar:
Se till att bekräfta ändringen med webbplatsen också. Upprepa processen för varje dubblett och svagt lösenord i ditt LastPass valv.
Slutligen är det sista du behöver att granska ditt LastPass Master Password. Gör så genom att klicka på länken längst ner på Utmaningsskärmen med etiketten "Testa styrkan på mitt LastPass Master Password". Om du inte ser detta:
Du måste återställa ditt LastPass Master Password och öka styrkan tills du får en bra, positiv, 100% styrka bekräftelse.
Granska resultaten och ytterligare förbättra din LastPass-säkerhet
När du har slogit igenom listan över dubbla lösenord, raderade gamla poster och på annat sätt ryddat och säkrat din inloggnings- / lösenordslista är det dags att köra granskningen igen. Nu för tonvikt uppnåddes poängen som du ser nedan endast genom att förbättra lösenordsäkerheten. (Om du aktiverar ytterligare säkerhetsfunktioner, som multi-factor-autentisering, får du en ökning med cirka 10%).
Inte dåligt! Efter att ha eliminerat varje dubbelt lösenord och medför alla befintliga lösenord upp till 90% styrka eller bättre förbättrade det verkligen vårt resultat. Om du är nyfiken på varför den inte hoppade till 100%, är det några faktorer som spelar, det mest framträdande av vilket är att vissa lösenord aldrig kan föras upp till snus genom LastPass-standarder på grund av dumma policyer på plats av webbplats administratörer. Till exempel är mitt lokala biblioteks inloggningslösenord en fyrsiffrig stift (som uppgår till 4% på LastPass-säkerhetsskalan). De flesta människor kommer att ha något slags outliers så i deras lista och det kommer att dra deras poäng ner.
I sådana fall är det viktigt att inte bli avskräckt och att använda din detaljerade uppdelning som en metrisk:
I lösenordsuppdateringsprocessen beskrev jag 17 duplicerade / utlösta webbplatser, skapade ett unikt lösenord för varje webbplats och tjänst och förde antalet webbplatser med dubbla lösenord ner från 43 till 0 i processen.
Det tog bara ungefär en timme med allvarligt fokuserad tid (12,4% av dem tillbringades som förbannar webbdesigners som lägger lösenordsuppdateringslänkar i obskurliga platser) och allt som krävdes för att få mig motiverad var ett lösenordsbrott av katastrofala proportioner! Jag gör en anteckning här, stor framgång.
Nu när du har granskat dina lösenord och du pumpas om att ha ett stabilt unikt lösenord, låt oss utnyttja den framåtgående dynamiken. Hämta upp vår guide till att göra LastPass även säkrare genom att öka lösenordet iterations, begränsa inloggningar per land och mer. Mellan att utföra revisionen som vi skisserade här, följer vår LastPass säkerhetsguide och aktiverar tvåfaktoralgoritmer, du har ett bulletproof lösenordshanteringssystem du kan vara stolt över.