Homepage » come » Come eseguire un controllo sicurezza ultimo passaggio (e perché non può attendere)

    Come eseguire un controllo sicurezza ultimo passaggio (e perché non può attendere)

    Se stai praticando la gestione e l'igiene della password lassista, è solo una questione di tempo prima che una delle sempre più numerose violazioni della sicurezza su larga scala ti brucia. Smettila di essere grato di aver schivato le pallottole della sicurezza precedente e di armarti contro quelle future. Continua a leggere mentre ti mostriamo come controllare le tue password e proteggerti.

    Qual è il grande affare e perché questo è importante?

    Nell'ottobre di quest'anno, Adobe ha rivelato che c'è stata una grave violazione della sicurezza che ha colpito 3 milioni di utenti dei software Adobe.com e Adobe. Quindi hanno rivisto il numero a 38 milioni. Poi, ancora più scioccante, quando il database dell'hack è trapelato, i ricercatori di sicurezza che hanno analizzato il database sono tornati e hanno detto che era più simile 150 milioni account utente compromessi. Questo grado di esposizione dell'utente mette la violazione Adobe in esecuzione come una delle peggiori violazioni della sicurezza nella storia.

    Ad ogni modo, Adobe non è da solo su questo fronte; abbiamo semplicemente aperto con la loro violazione perché è dolorosamente recente. Solo negli ultimi anni ci sono state dozzine di massicce violazioni della sicurezza in cui le informazioni dell'utente, incluse le password, sono state compromesse.

    LinkedIn è stato colpito nel 2012 (6,46 milioni di record utente compromessi). Nello stesso anno, eHarmony è stata colpita (1,5 milioni di record di utenti) così come Last.fm (6,5 milioni di record utente) e Yahoo! (450.000 record utente). La Sony Playstation Network è stata colpita nel 2011 (101 milioni di record utente compromessi). Gawker Media (la società madre di siti come Gizmodo e Lifehacker) è stata colpita nel 2010 (1,3 milioni di record utente compromessi). E quelli sono solo esempi di grandi violazioni che hanno fatto notizia!

    The Privacy Rights Clearinghouse gestisce un database di violazioni della sicurezza dal 2005 ad oggi. Il loro database include una vasta gamma di tipi di violazione: carte di credito compromesse, numeri di sicurezza sociale rubati, password rubate e cartelle cliniche. Il database, come della pubblicazione di questo articolo, è composto da 4.033 violazioni contenente 617.937.023 record di utente. Non tutte quelle centinaia di milioni di violazioni coinvolgevano le password degli utenti, ma milioni e milioni di persone lo facevano.

    Quindi perché importa? A parte le ovvie e immediate implicazioni sulla sicurezza di una violazione, le violazioni creano danni collaterali. Gli hacker possono immediatamente iniziare a testare gli accessi e le password che raccolgono su altri siti web.

    La maggior parte delle persone è pigra con le loro password, e c'è una buona possibilità che se qualcuno usasse [email protected] con la password bob1979, la stessa coppia di login / password funzionerà su altri siti web. Se questi altri siti web hanno un profilo più elevato (come i siti bancari o se la password che ha utilizzato in Adobe sblocca effettivamente la sua casella di posta elettronica), allora c'è un problema. Una volta che qualcuno ha accesso alla tua casella di posta elettronica, può iniziare a reimpostare la password su altri servizi e ad accedervi.

    L'unico modo per impedire questo tipo di reazione a catena di causare ancora più problemi di sicurezza all'interno della rete di siti Web e servizi che usi è seguire due regole cardine di buona igiene della password:

    1. La tua password e-mail dovrebbe essere lunga, forte e completamente unica tra tutti i tuoi accessi.
    2. Ogni login ottiene una password lunga, forte e unica. Nessun riutilizzo della password. Mai.

    Queste due regole sono il punto di partenza di ogni guida alla sicurezza che abbiamo mai condiviso con te, inclusa la nostra guida di emergenza ha-hit-the-fan Come recuperare dopo che la tua password di posta elettronica è compromessa.

    Ora, a questo punto, ti stai probabilmente dimenando un po 'perché, francamente, quasi nessuno ha procedure e sicurezza della password perfettamente a tenuta d'aria. Non sei solo se manca l'igiene della password. In effetti, è tempo per una confessione.

    Ho scritto dozzine di articoli sulla sicurezza, post su violazioni della sicurezza e altri post relativi alle password nel corso degli anni in cui sono stato su How-To Geek. Nonostante sia proprio il tipo di persona informata che dovrebbe conoscere meglio, nonostante l'utilizzo di un gestore di password e la generazione di password sicure per ogni nuovo sito Web e servizio, quando ho eseguito la mia e-mail attraverso l'elenco degli accessi Adobe compromessi e confrontato con la password compromessa, I ho ancora scoperto che mi ero bruciato.

    Ho creato quell'account Adobe molto tempo fa quando ero molto più rilassato con la mia igiene della password e la password che ho usato era comune a tutti dozzine di siti Web e servizi con cui mi ero registrato prima di diventare molto serio nel creare buone password.

    Tutto ciò avrebbe potuto essere evitato se avessi esercitato pienamente ciò che predicavo e non solo creato password uniche e forti, ma anche Ho verificato le mie vecchie password per garantire che questa situazione non sia mai accaduta. Che tu non abbia mai nemmeno tentato di essere coerente e sicuro con le tue pratiche di password o hai solo bisogno di controllarle per metterti a tuo agio, un controllo completo delle password è il percorso verso la sicurezza delle password e la tranquillità. Continua a leggere mentre ti mostriamo come.

    Prepararsi per la tua sfida di sicurezza Lastpass

    È possibile controllare manualmente le password, ma ciò sarebbe estremamente noioso e non si otterrebbero i vantaggi dell'utilizzo di un buon gestore di password universale. Invece di controllare manualmente tutto, faremo il percorso facile e in gran parte automatizzato: verificheremo le nostre password prendendo la sfida di sicurezza LastPass.

    Questa guida non coprirà l'installazione di LastPass, quindi se non hai già un sistema LastPass attivo e funzionante, ti consigliamo vivamente di crearne uno. Per iniziare, consultare la Guida HTG per iniziare con LastPass. Anche se LastPass è stato aggiornato da quando abbiamo scritto la guida (l'interfaccia è molto più carina e più snella ora), puoi comunque seguire i passaggi con facilità. Se stai configurando LastPass per la prima volta, assicurati di importarlo tutti le password memorizzate dai tuoi browser, poiché il nostro obiettivo è quello di controllare ogni singola password che stai utilizzando.

    Inserisci tutti i login e le password in LastPass: Se sei nuovo di zecca su LastPass o non lo hai utilizzato per tutti i login, ora è il momento di assicurarti di averlo inserito ogni accedi al sistema LastPass. Faremo eco al consiglio che abbiamo dato nella nostra guida per il recupero della posta elettronica per il controllo della posta in arrivo per i promemoria:

    Cerca la tua email per i promemoria di registrazione. Non sarà difficile ricordare i tuoi accessi usati frequentemente come Facebook e la tua banca ma probabilmente ci sono decine di servizi che potrebbero non ricordare nemmeno che usi la tua email per accedere. Utilizza le ricerche di parole chiave come "benvenuto", "ripristina", "ripristino", "verifica", "password", "nome utente", "accesso", "account" e combinazioni di "password di ripristino" o "verifica account" simili . Ancora una volta, sappiamo che questo è un problema, ma una volta che hai fatto questo con un gestore di password al tuo fianco, hai un elenco principale di tutto il tuo account e non dovrai mai più fare questa ricerca di parole chiave.

    Abilita l'autenticazione a due fattori sul tuo account LastPass: Questo passaggio non è strettamente necessario per eseguire l'audit di sicurezza, ma mentre abbiamo la vostra attenzione faremo tutto il possibile per incoraggiarvi, mentre state giocando nell'account LastPass, per attivare l'autenticazione a due fattori proteggere ulteriormente il tuo LastPass Vault. (Non solo aumenta la sicurezza del tuo account, avrai anche una spinta nel tuo punteggio di sicurezza!)

    Prendendo la sfida di sicurezza LastPass

    Ora che hai importato tutte le tue password, è il momento di prepararti per la vergogna di non trovarti nell'1% dei ninja per la sicurezza delle password. Visita la pagina Sfida di sicurezza LastPass e premi "Inizia la sfida" in fondo alla pagina. Ti verrà richiesto di inserire la tua password principale, come mostrato nello screenshot qui sopra, e LastPass ti offrirà di controllare se uno qualsiasi degli indirizzi e-mail contenuti nel tuo vault fosse parte di eventuali violazioni che ha tracciato. Non c'è una buona ragione per non approfittarne:

    Se sei fortunato, restituisce un risultato negativo. Se sei fortunato, ricevi un pop-up come questo che ti chiede se desideri maggiori informazioni sulle violazioni a cui la tua email è stata coinvolta:

    LastPass pubblicherà un singolo avviso di sicurezza per ogni istanza. Se hai avuto il tuo indirizzo e-mail per un lungo periodo, sii pronto a rimanere scioccato dal numero di violazioni della password in cui è stato ingarbugliato. Ecco un esempio di avviso di violazione della password:

    Dopo i popup, verrai scaricato nel pannello principale di LastPass Security Challenge. Ricordate in precedenza nella guida quando ho parlato di come attualmente pratico l'igiene delle password ma non sono mai riuscito ad aggiornare correttamente molti siti Web e servizi precedenti? Mostra davvero nel punteggio che ho ricevuto. Ahia:

    Questo è il mio punteggio con anni di password casuali mischiati. Non essere troppo scioccato se il tuo punteggio è ancora più basso se hai usato la stessa manciata di password deboli più e più volte. Ora che abbiamo il nostro punteggio (per quanto fantastico o vergognoso possa essere), è tempo di scavare nei dati. È possibile utilizzare i collegamenti rapidi accanto alla percentuale del punteggio o semplicemente iniziare a scorrere. Prima tappa, vediamo i risultati dettagliati. Considera questa una panoramica di 10.000 piedi sullo stato delle tue password:

    Mentre dovresti prestare attenzione a tutte le statistiche qui, le più importanti sono "Forza media delle password", quanto è debole o forte la tua password media e, ancora più importante, "Numero di password duplicate" e "Numero di siti con password duplicate" ”. Per la causa della mia verifica, c'erano 8 duplicati su 43 siti. Chiaramente ero stato piuttosto pigro riutilizzando la stessa password di bassa qualità su più di pochi siti.

    Prossima fermata, la sezione Siti analizzati. Qui troverai una suddivisione molto concreta di tutti i tuoi accessi e password organizzati tramite l'uso di password duplicate (se hai duplicati), password univoche e, infine, accessi senza password memorizzati in LastPass. Mentre guardi oltre la lista, meraviglia il contrasto tra i punti di forza delle password. Nel mio caso, uno dei miei accessi finanziari ha ricevuto un punteggio password del 45% mentre il login Minecraft di mia figlia ha ottenuto un punteggio perfetto del 100%. Di nuovo, ahi.

    Risolvere il tuo terribile punteggio di sicurezza

    Ci sono due link molto utili incorporati nelle liste di controllo. Se si fa clic su "MOSTRA", verrà visualizzata la password per quel sito e se si fa clic su "Visita sito" è possibile passare direttamente al sito Web in modo da poter modificare la password. Non solo si dovrebbe cambiare ogni password duplicata, ma qualsiasi password che è stata collegata a un account che è stato violato (come Adobe.com o LinkedIn) deve essere ritirato in modo permanente.

    A seconda di quante o poche password hai (e di quanto sei stato diligente sulle buone pratiche relative alle password), questo passaggio potrebbe richiedere dieci minuti o tutto il pomeriggio. Sebbene il processo di modifica delle password vari in base al layout del sito che stai aggiornando, ecco alcune linee guida generali da seguire (stiamo utilizzando il nostro aggiornamento della password su Remember the Milk come esempio): Visita la pagina di modifica della password . In genere è necessario inserire la password corrente e quindi generare una nuova password.

    Farlo cliccando sul logo della serratura con freccia circolare. LastPass si inserisce nel nuovo slot della password (come mostrato nella schermata sopra). Controlla la tua nuova password e apporta le modifiche se lo desideri (come allungarlo o aggiungerlo in caratteri speciali):

    Fai clic su "Usa password" e quindi conferma di voler aggiornare la voce che stai modificando:

    Assicurati di confermare anche il cambiamento con il sito web. Ripeti il ​​processo per ogni password duplicata e debole nel tuo deposito LastPass.

    Infine, l'ultima cosa che devi controllare è la tua password master LastPass. Fare clic sul collegamento nella parte inferiore della schermata della sfida con l'etichetta "Verifica la forza della mia password master LastPass". Se non lo vedi:

    Devi resettare la tua password master LastPass e aumentare la forza finché non ricevi una conferma positiva, positiva, al 100%.

    Esaminare i risultati e migliorare ulteriormente la sicurezza di LastPass

    Dopo aver passato l'elenco delle password duplicate, cancellate le vecchie voci e in altro modo riordinato e protetto l'elenco di accesso / password, è il momento di eseguire nuovamente la verifica. Ora, per dare enfasi, il punteggio che vedi qui sotto è stato portato solo migliorando la sicurezza della password. (Se abiliti funzioni di sicurezza aggiuntive, come l'autenticazione a più fattori, riceverai una spinta di circa il 10%).

    Non male! Dopo aver eliminato ogni password duplicata e portato tutte le password esistenti fino al 90% di forza o meglio, ha davvero migliorato il nostro punteggio. Se sei curioso di sapere perché non è salito al 100%, ci sono alcuni fattori in gioco, il più importante dei quali è che alcune password non possono mai essere portate a snuff dagli standard LastPass a causa di politiche sciocche in atto dal amministratori del sito. Ad esempio, la password di login della mia biblioteca locale è un pin di quattro cifre (che ha ottenuto il 4% della scala di sicurezza LastPass). La maggior parte delle persone avrà una sorta di outlier del genere nella loro lista e questo trascinerà il loro punteggio verso il basso.

    In questi casi, è importante non scoraggiarsi e utilizzare la suddivisione dettagliata come metrica:

    Nel processo di aggiornamento della password ho sfoltito 17 siti duplicati / scaduti, creato una password univoca per ogni sito e servizio e ho portato il numero di siti con password duplicate da 43 a 0 nel processo.

    Ci sono voluti circa un'ora di tempo seriamente concentrato (il 12,4% dei quali è stato speso maledire i progettisti di siti web che hanno inserito link di aggiornamento password in posti oscuri), e tutto ciò che serve per motivarmi è una violazione della password di proporzioni catastrofiche! Sto facendo un appunto qui, un enorme successo.


    Ora che hai verificato le tue password e sei entusiasta di avere una stalla di password uniche, approfittiamo di questo impulso. Colpisci la nostra guida per creare LastPass anche più sicuro aumentando le iterazioni della password, limitando gli accessi per Paese e altro ancora. Tra l'esecuzione del controllo che abbiamo delineato qui, seguendo la nostra guida alla sicurezza di LastPass e attivando algoritmi a due fattori, avrai un sistema di gestione delle password a prova di proiettile di cui puoi essere orgoglioso.