Mis on suur asi ja miks see on?
Selle aasta oktoobris näitas Adobe, et seal oli suur turvarikkumine, mis mõjutas 3 miljonit Adobe.com'i ja Adobe tarkvara kasutajat. Seejärel vaatasid nad üle 38 miljoni arvu. Siis, veelgi šokeerivamalt, kui andmebaas hackist lekkis, jõudsid andmebaasi analüüsinud turvanõustajad tagasi ja ütlesid, et see on rohkem sarnane 150 miljonit eurot ohustatud kasutajakontod. Selline kasutajate kokkupuuteaste muudab Adobe'i rikke üheks halvimaks turvarikkumiseks ajaloos.
Adobe on sellel alal vaevalt üksi; me lihtsalt avasime nende rikkumise, sest see on hiljuti valus. Viimastel aastatel on üksi olnud kümneid ulatuslikke turvarikkumisi, kus kasutajateavet, sealhulgas paroole, on ohustatud.
LinkedIn kukkus 2012. aastal (kompromissi tabas 6,46 miljonit kasutajatunnust). Samal aastal tabas eHarmony (1,5 miljonit kasutajatunnust), nagu ka Last.fm (6,5 miljonit kasutaja kirjeid) ja Yahoo! (450 000 kasutaja arvestust). 2011. aastal tabas Sony Playstation Network (101 miljonit kasutajaandmeid kompromiteeriti). 2010. aastal tabas Gawker Media (selliste saitide emaettevõtja nagu Gizmodo ja Lifehacker) (1,3 miljonit kasutajaandmeid kompromiteeriti). Ja need on lihtsalt näited suurtest rikkumistest, mis uudiseid tegi!
Privaatsusõiguste teabevõrgustik säilitab turvarikkumiste andmebaasi alates 2005. aastast kuni praeguseni. Nende andmebaas sisaldab laia valikut rikkumiste tüüpe: kompromiteeritud krediitkaarte, varastatud sotsiaalkindlustuse numbreid, varastatud paroole ja meditsiinilisi andmeid. Andmebaas alates käesoleva artikli avaldamisest koosneb 4033 rikkumist sisaldades 617 937 023 kasutaja arvestust. Mitte iga neist sadu miljoneid rikkumisi ei kasutanud kasutajaraporte, vaid miljonid neist tegid.
Miks siis see on tähtis? Peale rikkumise ilmse ja vahetu julgeolekuga seotud tagajärjed tekitavad rikkumisi ka kahjutasu. Häkkerid võivad kohe alustada teistes veebisaitidel kogutud sisselogimiste ja paroolide katsetamist.
Enamik inimesi on oma paroolidega laisk, ja on hea võimalus, et kui keegi kasutab [email protected] parooliga bob1979, siis sama salasõna / paar töötab ka teistes veebisaitides. Kui need teised veebisaidid on kõrgema profiiliga (nt pangakontosid või kui parool, mida ta Adobeis kasutas, avab tema e-posti postkasti), on probleem. Kui keegi omab juurdepääsu teie e-posti sisendkausta, saavad nad hakata parooli muudele teenustele uuesti sisestama ja neile juurde pääsema.
Ainus võimalus peatada selline ahelreaktsioon veelgi turvaprobleemide tekitamisel veebisaitide ja -teenuste võrgustikus on järgida kahte parema hea hügieeni peamist reeglit:
- Teie e-posti parool peab olema pikk, tugev ja täiesti unikaalne kõigi teie sisselogimiste puhul.
- Igaüks sisselogimine saab pikk, tugev ja unikaalne parool. Parooli korduskasutamine ei ole lubatud. Kunagi
Need kaks reeglit on iga turvalisuse juhendiga, mille oleme teiega kunagi varem jaganud, kaasa arvatud meie hädaolukorras, see on-on-hit-the-fan-juhis Kuidas taastada pärast teie e-posti parooli ohtu.
Nüüd on selles punktis tõenäoliselt veidi väike, sest ausalt öeldes on vaevalt kellelgi täiesti õhukindel paroolitase ja turvalisus. Sa ei ole üksi, kui sul pole parooli hügieeni. Tegelikult on aeg konfessioonile.
Olen kirjutanud kümneid turvaparteisid, postitusi turvarikkumistest ja muudest parooliga seotud postitustest aastate jooksul, mil olen olnud How-To Geeki. Hoolimata sellest, et täpselt on see kindel teadlik isik, kes peaks paremini tundma, hoolimata salajase halduri kasutamisest ja turvaliste paroolide loomist iga uue veebisaidi ja teenuse jaoks, kui ma saatsin oma e-posti läbi kompromiteeritud Adobe'i sisselogimiste nimekirja ja sobisin selle vastu rikutud parooliga, siis ma ikkagi avastasin, et mul on põletatud.
Ma tegin selle Adobe'i konto juba ammu, kui olin oma paroolihügieeni juures tunduvalt nõrgem ja parool, mida ma kasutasin, oli levinud kogu kümneid veebisaitidest ja teenustest, millega ma juba registreerusin, enne kui sain paroolide paranemisega ülimalt tõsiselt.
Seda oleks võinud vältida, kui ma täielikult harjutanud seda, mida ma kuulutasin, ja mitte ainult unikaalseid ja tugevaid paroole, vaid ka ka kontrollisin oma vanu paroole, et seda olukorda pole kunagi varem juhtunud. Ükskõik, kas te ei ole kunagi isegi proovinud oma salasõnadega töötada järjepidevalt ja turvaliselt, või kui teil on vaja neid hõlpsalt kontrollida, on põhjalik paroolaudit paroolienergia ja meelerahu tee. Loe edasi, kui me näeme teile, kuidas.
Ettevalmistused Teie Lastpass Security Challenge jaoks
Käesolev juhend ei hõlma LastPassi seadistamist, seega kui te pole veel LastPassi süsteemi käivitatud ja tööle rakendanud, soovitame teil tungivalt üles seadistada. Tutvuge HTTG juhendiga, kuidas alustada tööle LastPassiga. Kuigi LastPass on ajakohastatud alates juhendi kirjutamisest (liides on palju ilusamaid ja paremini täiustatud), saate siiski hõlpsalt samme järgida. Kui installite LastPassi esimest korda, importige kindlastikõik teie salvestatud paroolid oma brauseritest, sest meie eesmärk on kontrollida iga teie kasutatavat parooli.
Sisestage iga kasutajanimi ja salasõna LastPassisse:Kas olete LastPassi jaoks täiesti uus või kui te pole seda iga sisselogimise jaoks täielikult kasutanud, on nüüd aeg veenduda, et olete sisestanudigaüks Logi sisse LastPassi süsteemi. Me tuleme meelde nõuandeid, mida me andsime oma meilisõnumite taastamise juhendis e-posti postkasti meeldetuletuste kambrimiseks:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Luba kahefaktoriline autentimine teie LastPassi kontol: See samm ei ole julgeolekukontrolli teostamiseks hädavajalik, kuid kui me teie tähelepanu pöörame, kavatseme teha kõik endast oleneva, et julgustada teid, kui olete oma LastPassi konto sisse lülitanud, lülitama kaheteguriline autentimine sisse kindlustage oma LastPassi võlv. (Teie konto turvalisus ei suurene mitte ainult, kuid saate oma turbetugevuse skoori suurendada!)
LastPassi turvaküsimuse võtmine
Järgmine peatus, jaotis Analüüsitud saidid. Siin leiate väga selgelt kõik teie salasõnade ja paroolide kustutamiseks kasutatavad paroolid (kui teil oli duplikaat), unikaalsed paroolid ja lõpuks sisselogimine ilma paroolita LastPassi. Kuigi sa vaatad nimekirja üle, imestavad salasõna tugevuste kontrastsust. Minu puhul anti ühele mu finantsloendist 45% salasõna skoor, samal ajal kui minu tütre Minecrafti sisselogimisel sai täiuslik 100% skoor. Jällegi, ouch.
Teie kohutava julgeoleku väljakutse skoori kinnitamine
Sõltuvalt sellest, kui palju või vähe paroole olete (ja kui hoolikalt olete olnud parimate tavade osas), võib protsessi see samm kümneks minutiks või kogu pärastlõunaks võtta. Kuigi teie paroolide muutmise protsess varieerub sõltuvalt teie uuendatud saidi paigutusest, on siin mõned üldised juhised, mida järgida (me kasutame parooli värskendamist näiteks "Remember the Milk"): külastage parooli muutmise lehte. Tavaliselt peate sisestama oma praeguse parooli ja seejärel uue parooli.
Lõpuks on viimane asi, mida peate kontrollima, on teie LastPassi peaarv. Tehke seda, klõpsates ekraani Challenge allservas oleval lingil, mille pealkiri on "Minu LastPassi peaarparaadi tugevuse testimine". Kui te seda ei näe:
Tulemuste ülevaatamine ja teie LastPassi turvalisuse edasine suurendamine
Kui olete loendis duplikaadi paroolide nimekirja, kustutanud vanad sissekanded ja muidu seadistanud ja turvalisenud oma sisselogimis- / parooliloendi, on aeg uuesti kontrollida. Nüüd, rõhuasetuse puhul näitas allpool olevat tulemust ainult paroolide turvalisuse parandamine. (Kui lubate täiendavaid turvafunktsioone, nagu mitmeteguri autentimine, saate tõuke umbes 10% võrra).
Sellistel juhtudel on oluline mitte ennetada ja kasutada üksikasjalikku jaotust meetrina:
See kulus umbes tund aega tõsiselt keskendunud ajastust (12,4% sellest kulutati veebisaitide kujundajatele, kes panid salasõna värskendamise lingid varjatud kohtadesse), ja kõik, mis mulle motiveeritud võeti, oli katastroofiliste proportsioonide salasõna rikkumine! Ma teen siin märkuse, suurt edu.
Nüüd, kui olete oma paroolid auditeerinud ja olete pumbanud unikaalsete paroolide stabiilsena, võtame ära selle edasiliikumise. Viige oma LastPassi koostamise juhendisseisegi turvalisemaks, suurendades salasõna kordamist, piirates sisselogimisandmed riikide kaupa ja palju muud. Siin kirjeldatud auditi läbiviimisega, järgides meie LastPassi turvavahendit ja lülitades sisse kahefaktorilised algoritmid, on sulle kuulikindlate paroolijuhtimissüsteem, mille üle uhked võite olla.