Cách chạy Kiểm toán bảo mật vượt qua lần cuối (và tại sao không thể chờ)
Nếu bạn đang thực hành quản lý và vệ sinh mật khẩu lỏng lẻo, vấn đề chỉ là thời gian cho đến khi một trong những vi phạm an ninh quy mô lớn ngày càng đốt cháy bạn. Ngừng biết ơn bạn đã tránh được những viên đạn vi phạm an ninh trong quá khứ và tự bọc giáp trước những kẻ tương lai. Đọc tiếp khi chúng tôi chỉ cho bạn cách kiểm tra mật khẩu và bảo vệ chính mình.
Thỏa thuận lớn là gì và tại sao vấn đề này?
Vào tháng 10 năm nay, Adobe đã tiết lộ rằng đã có một sự vi phạm bảo mật lớn đã ảnh hưởng đến 3 triệu người dùng phần mềm Adobe.com và Adobe. Sau đó, họ sửa lại con số thành 38 triệu. Sau đó, còn sốc hơn nữa, khi cơ sở dữ liệu từ vụ hack bị rò rỉ, các nhà nghiên cứu bảo mật đã phân tích cơ sở dữ liệu đã quay lại và nói rằng nó giống như 150 triệu tài khoản người dùng bị xâm phạm. Mức độ tiếp xúc của người dùng này khiến vi phạm Adobe hoạt động như một trong những vi phạm bảo mật tồi tệ nhất trong lịch sử.
Adobe hầu như không đơn độc trên mặt trận này, tuy nhiên; chúng tôi chỉ đơn giản là mở với vi phạm của họ bởi vì nó gần đây đau đớn. Chỉ trong vài năm qua, đã có hàng tá vi phạm bảo mật nghiêm trọng, nơi thông tin người dùng, bao gồm cả mật khẩu, đã bị xâm phạm.
LinkedIn đã bị tấn công vào năm 2012 (6,46 triệu hồ sơ người dùng bị xâm phạm). Cùng năm đó, eHarmony đã bị tấn công (1,5 triệu hồ sơ người dùng) như Last.fm (6,5 triệu hồ sơ người dùng) và Yahoo! (450.000 hồ sơ người dùng). Mạng Sony Playstation đã bị tấn công vào năm 2011 (101 triệu hồ sơ người dùng bị xâm phạm). Gawker Media (công ty mẹ của các trang web như Gizmodo và Lifehacker) đã bị tấn công vào năm 2010 (1,3 triệu hồ sơ người dùng bị xâm phạm). Và đó chỉ là những ví dụ về những vi phạm lớn đã tạo ra tin tức!
Clearing Rights Rights Clearinghouse duy trì một cơ sở dữ liệu về các vi phạm an ninh từ năm 2005 đến nay. Cơ sở dữ liệu của họ bao gồm một loạt các loại vi phạm: thẻ tín dụng bị xâm nhập, số an sinh xã hội bị đánh cắp, mật khẩu bị đánh cắp và hồ sơ y tế. Cơ sở dữ liệu, kể từ khi xuất bản bài viết này, bao gồm 4.033 vi phạm chứa 617.937.023 hồ sơ người dùng. Không phải một trong số hàng trăm triệu vi phạm đó liên quan đến mật khẩu người dùng, nhưng hàng triệu triệu trong số họ đã làm.
Vậy tại sao nó lại quan trọng? Bên cạnh các tác động bảo mật rõ ràng và ngay lập tức của một vi phạm, các vi phạm tạo ra thiệt hại tài sản thế chấp. Các tin tặc có thể ngay lập tức bắt đầu kiểm tra thông tin đăng nhập và mật khẩu mà chúng thu hoạch tại các trang web khác.
Hầu hết mọi người đều lười biếng với mật khẩu của họ và rất có thể nếu ai đó sử dụng [email protected] với mật khẩu bob1979, thì cặp đăng nhập / mật khẩu tương tự sẽ hoạt động tại các trang web khác. Nếu các trang web khác có cấu hình cao hơn (như các trang web ngân hàng hoặc nếu mật khẩu anh ta sử dụng tại Adobe thực sự mở khóa hộp thư đến email của anh ta), thì có vấn đề. Khi ai đó có quyền truy cập vào hộp thư đến email của bạn, họ có thể bắt đầu đặt lại mật khẩu trên các dịch vụ khác và cũng có quyền truy cập vào chúng.
Cách duy nhất để ngăn chặn loại phản ứng dây chuyền này gây ra nhiều vấn đề bảo mật hơn trong mạng lưới các trang web và dịch vụ bạn sử dụng là tuân theo hai quy tắc chính về vệ sinh mật khẩu tốt:
- Mật khẩu email của bạn phải dài, mạnh mẽ và hoàn toàn độc đáo trong số tất cả các thông tin đăng nhập của bạn.
- Mỗi đăng nhập nhận được một mật khẩu dài, mạnh mẽ và duy nhất. Không sử dụng lại mật khẩu. Không bao giờ.
Hai quy tắc này là điểm xuất phát từ mọi hướng dẫn bảo mật mà chúng tôi từng chia sẻ với bạn, bao gồm cả hướng dẫn khẩn cấp về hướng dẫn sử dụng khẩn cấp của chúng tôi Cách khôi phục sau khi mật khẩu email của bạn bị xâm phạm.
Bây giờ, tại thời điểm này, có lẽ bạn đang loay hoay một chút bởi vì, thật lòng mà nói, hầu như không có ai có các thực hành mật khẩu và bảo mật hoàn toàn kín. Bạn không đơn độc nếu thiếu vệ sinh mật khẩu. Trên thực tế, đã đến lúc tỏ tình.
Tôi đã viết hàng tá bài viết bảo mật, bài đăng về các vi phạm bảo mật và các bài đăng khác liên quan đến mật khẩu trong những năm qua tôi đã ở How-To Geek. Mặc dù chính xác là loại người được thông báo nên biết rõ hơn, mặc dù sử dụng trình quản lý mật khẩu và tạo mật khẩu an toàn cho mọi trang web và dịch vụ mới, khi tôi chạy email qua danh sách đăng nhập Adobe bị xâm nhập và khớp với mật khẩu bị xâm nhập, tôi vẫn phát hiện ra rằng tôi đã bị đốt cháy.
Tôi đã tạo tài khoản Adobe đó từ lâu khi tôi lỏng lẻo hơn đáng kể với việc vệ sinh mật khẩu của mình và mật khẩu tôi đã sử dụng phổ biến trên khắp hàng tá của các trang web và dịch vụ mà tôi đã đăng ký trước khi tôi cực kỳ nghiêm túc về việc tạo mật khẩu tốt.
Tất cả điều đó có thể được ngăn chặn nếu tôi thực hành đầy đủ những gì tôi đã giảng và không chỉ tạo mật khẩu mạnh và độc đáo mà còn cũng thế kiểm tra mật khẩu cũ của tôi để đảm bảo tình huống này không bao giờ xảy ra ở nơi đầu tiên. Cho dù bạn chưa bao giờ cố gắng nhất quán và bảo mật với thực tiễn mật khẩu của mình hay bạn chỉ cần kiểm tra chúng để tự an toàn, kiểm tra mật khẩu kỹ lưỡng là đường dẫn đến bảo mật và an tâm mật khẩu. Đọc tiếp khi chúng tôi chỉ cho bạn cách.
Chuẩn bị cho Thử thách bảo mật Lastpass của bạn
Bạn có thể tự kiểm tra mật khẩu của mình, nhưng điều đó sẽ vô cùng tẻ nhạt và bạn sẽ không đạt được bất kỳ lợi ích nào khi sử dụng trình quản lý mật khẩu phổ quát tốt. Thay vì kiểm tra thủ công mọi thứ, chúng tôi sẽ thực hiện lộ trình dễ dàng và chủ yếu là tự động: chúng tôi sẽ kiểm tra mật khẩu của mình bằng cách thực hiện Thử thách bảo mật LastPass.
Hướng dẫn này sẽ không bao gồm việc thiết lập LastPass, vì vậy nếu bạn chưa có hệ thống LastPass hoạt động, chúng tôi khuyến khích bạn nên thiết lập một hệ thống. Hãy xem Hướng dẫn HTG để bắt đầu với LastPass để bắt đầu. Mặc dù LastPass đã cập nhật kể từ khi chúng tôi viết hướng dẫn (giao diện đẹp hơn và được sắp xếp hợp lý hơn bây giờ), bạn vẫn có thể làm theo các bước một cách dễ dàng. Nếu bạn đang thiết lập LastPass lần đầu tiên, hãy đảm bảo nhập tất cả các mật khẩu được lưu trữ của bạn từ trình duyệt của bạn, vì mục tiêu của chúng tôi là kiểm tra từng mật khẩu bạn đang sử dụng.
Nhập mọi thông tin đăng nhập và mật khẩu vào LastPass: Cho dù bạn là người mới với LastPass hay bạn chưa sử dụng đầy đủ cho mỗi lần đăng nhập, bây giờ là lúc để đảm bảo bạn đã nhập mỗi đăng nhập vào hệ thống LastPass. Chúng tôi sẽ lặp lại lời khuyên mà chúng tôi đã đưa ra trong hướng dẫn khôi phục email của mình để kết hợp hộp thư đến email của bạn để nhắc nhở:
Tìm kiếm email của bạn để nhắc nhở đăng ký. Sẽ không khó để nhớ các thông tin đăng nhập được sử dụng thường xuyên của bạn như Facebook và ngân hàng của bạn, nhưng có khả năng hàng tá dịch vụ phát hành mà bạn thậm chí có thể không nhớ rằng bạn sử dụng email của mình để đăng nhập. Sử dụng các tìm kiếm từ khóa như Chào mừng bạn đến với mối quan hệ, cài đặt lại từ khóa, cài đặt lại từ khóa, mật khẩu, mật khẩu, mật khẩu, mật khẩu, mật khẩu . Một lần nữa, chúng tôi biết đây là một rắc rối, nhưng một khi bạn đã thực hiện việc này với trình quản lý mật khẩu ở bên cạnh, bạn có một danh sách chính của tất cả tài khoản của mình và bạn sẽ không bao giờ phải thực hiện việc tìm kiếm từ khóa này nữa.
Kích hoạt xác thực hai yếu tố trên tài khoản LastPass của bạn: Bước này không thực sự cần thiết để thực hiện kiểm toán bảo mật, nhưng trong khi chúng tôi chú ý, chúng tôi sẽ làm mọi thứ có thể để khuyến khích bạn, trong khi bạn đang lục lọi trong tài khoản LastPass của mình, để bật xác thực hai yếu tố để bảo mật hơn nữa hầm LastPass của bạn. (Không chỉ tăng bảo mật tài khoản của bạn, bạn cũng sẽ nhận được điểm tăng về kiểm toán bảo mật của mình!)
Tham gia thử thách bảo mật LastPass
Bây giờ bạn đã nhập tất cả mật khẩu của mình, đã đến lúc phải tự chuẩn bị cho mình sự xấu hổ vì không nằm trong 1% ninja bảo mật mật khẩu khó tính. Truy cập trang Thử thách bảo mật LastPass và nhấn vào Bắt đầu Thử thách trực tuyến ở cuối trang. Bạn sẽ được nhắc nhập mật khẩu chính, như trong ảnh chụp màn hình ở trên, và sau đó LastPass sẽ đề nghị kiểm tra xem có bất kỳ địa chỉ email nào trong kho tiền của bạn là một phần của bất kỳ vi phạm nào mà nó đã theo dõi hay không. Không có lý do chính đáng để không tận dụng điều này:
Nếu bạn may mắn, nó sẽ trả về một số âm. Nếu bạn may mắn, bạn nhận được một cửa sổ bật lên như thế này hỏi bạn có muốn biết thêm thông tin về các vi phạm mà email của bạn có liên quan đến:
LastPass sẽ đưa ra một cảnh báo bảo mật duy nhất cho mỗi trường hợp. Nếu bạn đã có địa chỉ email của mình trong một thời gian dài, hãy chuẩn bị để bị sốc về việc có bao nhiêu vi phạm mật khẩu đã bị vướng vào. Đây là một ví dụ về thông báo vi phạm mật khẩu:
Sau khi bật lên, bạn sẽ được đưa vào bảng điều khiển chính của Thử thách bảo mật LastPass. Hãy nhớ trước trong hướng dẫn khi tôi nói về cách tôi hiện đang thực hành vệ sinh mật khẩu tốt nhưng tôi chưa bao giờ nhận được để cập nhật đúng cách nhiều trang web và dịch vụ cũ hơn? Nó thực sự cho thấy trong số điểm tôi nhận được. Ôi:
Đó là điểm số của tôi với các mật khẩu ngẫu nhiên có giá trị hàng năm được trộn lẫn. Đừng quá sốc nếu điểm của bạn thậm chí còn thấp hơn nếu bạn sử dụng cùng một số mật khẩu yếu nhiều lần. Bây giờ chúng tôi có điểm số của chúng tôi (có thể là đáng kinh ngạc hoặc đáng xấu hổ), đã đến lúc đào sâu vào dữ liệu. Bạn có thể sử dụng các liên kết nhanh bên cạnh tỷ lệ điểm của bạn hoặc chỉ bắt đầu cuộn. Điểm dừng đầu tiên, hãy kiểm tra kết quả chi tiết. Hãy xem đây là tổng quan 10.000 feet về trạng thái mật khẩu của bạn:
Mặc dù bạn nên chú ý đến tất cả các số liệu thống kê ở đây, nhưng những thứ thực sự quan trọng là mật khẩu trung bình của mật độ trung bình, mật khẩu trung bình của bạn yếu hay mạnh và thậm chí quan trọng hơn, Số lượng mật khẩu trùng lặp Mùi. Trong nguyên nhân kiểm toán của tôi, có 8 bản sao trên 43 trang web. Rõ ràng tôi đã khá lười sử dụng cùng một mật khẩu cấp thấp trên nhiều trang web.
Điểm dừng tiếp theo, phần Trang web được phân tích. Tại đây, bạn sẽ tìm thấy một phân tích cụ thể về tất cả thông tin đăng nhập và mật khẩu của bạn được tổ chức bằng cách sử dụng mật khẩu trùng lặp (nếu bạn có trùng lặp), mật khẩu duy nhất và cuối cùng, đăng nhập mà không cần mật khẩu được lưu trữ trong LastPass. Trong khi bạn đang xem qua danh sách, hãy ngạc nhiên về độ tương phản giữa các điểm mạnh của mật khẩu. Trong trường hợp của tôi, một trong những lần đăng nhập tài chính của tôi đã được cho 45% Điểm Mật khẩu trong khi đăng nhập Minecraft của con gái tôi được cho điểm 100% hoàn hảo. Một lần nữa, ouch.
Sửa điểm thử thách bảo mật khủng khiếp của bạn
Có hai liên kết rất hữu ích được xây dựng ngay trong danh sách kiểm toán. Nếu bạn nhấp vào SHOW, nó sẽ hiển thị cho bạn mật khẩu của trang đó và nếu bạn nhấp vào Truy cập trang web, bạn có thể chuyển ngay đến trang web để bạn có thể thay đổi mật khẩu. Không chỉ nên thay đổi mọi mật khẩu trùng lặp, mà bất kỳ mật khẩu nào được đính kèm với tài khoản bị vi phạm (như Adobe.com hoặc LinkedIn) đều phải bị loại bỏ vĩnh viễn.
Tùy thuộc vào số lượng hoặc vài mật khẩu bạn có (và mức độ siêng năng của bạn về thực hành mật khẩu tốt), bước này của quy trình có thể khiến bạn mất mười phút hoặc cả buổi chiều. Mặc dù quá trình thay đổi mật khẩu của bạn sẽ thay đổi dựa trên bố cục của trang web bạn đang cập nhật, đây là một số nguyên tắc chung cần tuân thủ (chúng tôi đang sử dụng cập nhật mật khẩu của chúng tôi tại Ghi nhớ sữa làm ví dụ): Truy cập trang thay đổi mật khẩu . Thông thường, bạn sẽ cần nhập mật khẩu hiện tại của mình và sau đó tạo mật khẩu mới.
Làm như vậy bằng cách nhấp vào biểu tượng khóa với hình tròn mũi tên. LastPass chèn vào khe mật khẩu mới (như trong ảnh chụp màn hình ở trên). Xem qua mật khẩu mới của bạn và thực hiện các điều chỉnh nếu bạn muốn (chẳng hạn như kéo dài nó hoặc thêm các ký tự đặc biệt):
Nhấp vào Sử dụng Mật khẩu, và sau đó xác nhận bạn muốn cập nhật mục bạn đang chỉnh sửa:
Hãy chắc chắn để xác nhận thay đổi với trang web quá. Lặp lại quy trình cho mọi mật khẩu trùng lặp và mật khẩu yếu trong hầm LastPass của bạn.
Cuối cùng, điều cuối cùng bạn cần kiểm toán là Mật khẩu chủ LastPass của bạn. Làm như vậy bằng cách nhấp vào liên kết ở cuối màn hình Thử thách có nhãn kiểm tra sức mạnh của LastPass Master Password mật khẩu của tôi. Nếu bạn không thấy điều này:
Bạn cần đặt lại Mật khẩu chủ LastPass của mình và tăng cường độ cho đến khi bạn nhận được xác nhận 100% tốt đẹp, tích cực, mạnh mẽ.
Khảo sát kết quả và tăng cường hơn nữa Bảo mật LastPass của bạn
Sau khi bạn đã duyệt qua danh sách các mật khẩu trùng lặp, xóa các mục cũ và nếu không được dọn dẹp và bảo mật danh sách đăng nhập / mật khẩu của bạn, đã đến lúc chạy lại kiểm toán. Bây giờ, để nhấn mạnh, điểm số bạn thấy dưới đây chỉ được đưa lên bằng cách cải thiện bảo mật mật khẩu. (Nếu bạn bật các tính năng bảo mật bổ sung, như xác thực đa yếu tố, bạn sẽ nhận được mức tăng khoảng 10%).
Không tệ! Sau khi loại bỏ mọi mật khẩu trùng lặp và mang tất cả mật khẩu hiện có lên đến 90% hoặc tốt hơn, nó thực sự cải thiện điểm số của chúng tôi. Nếu bạn tò mò tại sao nó không nhảy lên 100%, có một vài yếu tố đang chơi, trong đó nổi bật nhất là một số mật khẩu không bao giờ được đưa ra để đánh hơi theo tiêu chuẩn LastPass vì các chính sách ngớ ngẩn được áp dụng bởi quản trị trang web. Ví dụ: mật khẩu đăng nhập của thư viện địa phương của tôi là mã pin gồm bốn chữ số (đạt 4% trên thang bảo mật LastPass). Hầu hết mọi người sẽ có một số loại ngoại lệ như thế trong danh sách của họ và điều đó sẽ kéo điểm số của họ xuống.
Trong những trường hợp như vậy, điều quan trọng là không được nản lòng và sử dụng bảng phân tích chi tiết của bạn làm số liệu:
Trong quá trình cập nhật mật khẩu, tôi đã cắt bỏ 17 trang web trùng lặp / hết hạn, tạo một mật khẩu duy nhất cho mọi trang web và dịch vụ và đưa số lượng trang web có mật khẩu trùng lặp xuống từ 43 xuống 0 trong quá trình.
Chỉ mất khoảng một giờ thời gian tập trung nghiêm túc (12,4% trong số đó đã dành cho những người thiết kế trang web chửi bới, đặt các liên kết cập nhật mật khẩu ở những nơi tối nghĩa), và tất cả những gì tôi cần để có động lực là một mật khẩu vi phạm tỷ lệ thảm khốc! Tôi đang ghi chú ở đây, thành công lớn.
Bây giờ bạn đã kiểm tra mật khẩu của mình và bạn được hỏi về việc có một mật khẩu duy nhất ổn định, hãy tận dụng động lực đó. Nhấn lên hướng dẫn của chúng tôi để tạo LastPass cũng an toàn hơn bằng cách tăng số lần lặp mật khẩu, hạn chế đăng nhập theo quốc gia và hơn thế nữa. Giữa việc chạy kiểm toán, chúng tôi đã phác thảo ở đây, theo hướng dẫn bảo mật LastPass của chúng tôi và bật thuật toán hai yếu tố, bạn sẽ có một hệ thống quản lý mật khẩu chống đạn mà bạn có thể tự hào.