Pagina principala » HOWTO » Cum să executați un audit de securitate de ultim pas (și de ce nu poate aștepta)

    Cum să executați un audit de securitate de ultim pas (și de ce nu poate aștepta)

    Dacă practicați gestionarea greșită a parolelor și igiena, este doar o chestiune de timp până când vă va arde una dintre cele mai multe încălcări de securitate pe scară largă. Opriți-vă să vă mulțumiți că ați evitat gloanțele anterioare de încălcare a securității și armura împotriva celor viitoare. Citiți mai departe pe măsură ce vă vom arăta cum să vă controlați parolele și să vă protejați.

    Care este marele acord și de ce contează acest lucru?

    În luna octombrie a acestui an, Adobe a arătat că a avut loc o încălcare majoră a securității care a afectat 3 milioane de utilizatori ai software-ului Adobe.com și Adobe. Apoi au revizuit numărul la 38 de milioane. Apoi, chiar mai șocant, când baza de date din hack a fost scursă, cercetătorii din domeniul securității care au analizat baza de date s-au întors și au spus că este mai mult 150 de milioane conturi de utilizator compromise. Acest grad de expunere a utilizatorilor face ca breșa Adobe să se încadreze în una dintre cele mai grave încălcări ale securității din istorie.

    Cu toate acestea, Adobe nu este singură pe acest front; am deschis pur și simplu cu încălcarea lor pentru că este dureros recent. Numai în ultimii ani au existat zeci de încălcări masive ale securității, în care informațiile despre utilizatori, inclusiv parolele, au fost compromise.

    LinkedIn a fost lovit în 2012 (6,46 milioane de înregistrări de utilizatori compromise). In acelasi an, eHarmony a fost lovita (1,5 milioane de inregistrari), asa cum a fost Last.fm (6,5 milioane de inregistrari de utilizatori) si Yahoo! (450.000 de înregistrări ale utilizatorilor). Rețeaua Sony Playstation a fost lovită în 2011 (101 de milioane de utilizatori au fost compromise). Gawker Media (compania mamă a unor site-uri precum Gizmodo și Lifehacker) a fost lovită în 2010 (1,3 milioane de înregistrări de utilizatori compromise). Și acestea sunt doar exemple de mari încălcări care au făcut știrile!

    Compania de compensare a drepturilor de confidențialitate menține o bază de date privind încălcările securității din 2005 până în prezent. Baza lor de date include o gamă largă de tipuri de încălcări: cardurile de credit compromise, numerele de securitate socială furate, parolele furate și dosarele medicale. Baza de date, de la publicarea acestui articol, este compusă din 4.033 încălcări conținând 617.937.023 de înregistrări ale utilizatorilor. Nu fiecare dintre aceste sute de milioane de încălcări a implicat parole de utilizator, dar milioane și milioane au făcut-o.

    Deci, de ce contează? În afară de implicațiile evidente și imediate ale securității unei încălcări, încălcările creează daune colaterale. Hackerii pot începe imediat să testeze autentificările și parolele pe care le recoltează pe alte site-uri Web.

    Majoritatea oamenilor sunt leneși cu parolele lor și există o șansă bună ca dacă cineva a folosit [email protected] cu parola bob1979, aceeași pereche de login / parolă va funcționa și pe alte site-uri web. Dacă celelalte site-uri web au un profil mai mare (cum ar fi site-urile bancare sau dacă parola utilizată la Adobe deblochează efectiv mesajele primite), atunci există o problemă. Odată ce cineva are acces la mesajele de poștă electronică ale poștei dvs. de poștă electronică, ei pot începe să reseta parola pe alte servicii și să aibă acces la ele.

    Singura modalitate de a opri acest tip de reacție în lanț de a provoca și mai multe probleme de securitate în cadrul rețelei de site-uri web și de servicii pe care le utilizați este să urmați două reguli cardinale de igienă a parolei bune:

    1. Parola dvs. de e-mail trebuie să fie lungă, puternică și complet unică printre toate datele dvs. de conectare.
    2. Fiecare login obține o parolă lungă, puternică și unică. Nu reutilizați parola. Vreodată.

    Aceste două reguli sunt oportună de la fiecare ghid de securitate pe care l-am împărtășit vreodată cu dvs., inclusiv ghidul nostru de urgență pe care îl are-a-lovit-fan-ul. Cum să recuperați după ce parola dvs. de e-mail este compromisă.

    Acum, în acest moment, probabil că te scuipă puțin, pentru că, sincer, aproape că nimeni nu are practici de securitate și parolă perfect etanșe. Nu sunteți singuri dacă lipseste igiena parolei. De fapt, este timpul pentru o mărturisire.

    Am scris zeci de articole de securitate, postări despre încălcări ale securității și alte mesaje legate de parole pe parcursul anilor în care am fost la How-To Geek. În ciuda faptului că este tocmai tipul de persoană informată care ar trebui să știe mai bine, în ciuda faptului că a folosit un manager de parole și a generat parole securizate pentru fiecare site și serviciu nou, atunci când am rulat e-mailurile prin lista de logouri compromise Adobe și am comparat-o cu parola compromisă totuși am aflat că am fost ars.

    Am făcut acest cont Adobe cu mult timp în urmă când eram mult mai relaxat cu igiena parolei, iar parola pe care o folosesc era comună zeci a site-urilor web și a serviciilor pe care le-am semnat înainte de a fi foarte serioasă în legătură cu crearea de parole bune.

    Toate acestea ar fi putut fi împiedicate dacă aș fi practicat pe deplin ceea ce am predicat și nu numai că aș fi creat parole unice și puternice, ci de asemenea mi-am auditat vechile parole pentru a ne asigura că această situație nu sa întâmplat niciodată în primul rând. Indiferent dacă nu ați încercat niciodată să fiți consecvenți și siguri cu practicile de parolă sau trebuie doar să le verificați pentru a vă lăsa la ușurință, un audit detaliat al parolei este calea către securitatea parolei și liniștea minții. Citiți mai departe cum vă vom arăta cum.

    Pregătirea pentru provocarea dvs. de securitate ulterioară

    Aveți posibilitatea să vă controlați manual parolele, dar acest lucru ar fi extrem de plictisitor și nu veți obține niciunul dintre beneficiile utilizării unui bun manager de parole universal. În loc de a controla manual totul, vom lua calea ușoară și în mare măsură automată: vom verifica parolele noastre luând LastPass Security Challenge.

    Acest ghid nu va acoperi instalarea aplicației LastPass, așa că, dacă nu aveți deja un sistem LastPass, vă încurajăm cu tărie să setați unul. Consultați Ghidul HTG pentru a începe cu LastPass pentru a începe. Deși LastPass sa actualizat de când am scris ghidul (interfața este mult mai frumoasă și mai bine raționalizată acum), puteți continua cu ușurință pașii. Dacă configurați LastPass pentru prima dată, asigurați-vă că ați importat toate parolele stocate din browserele dvs., deoarece obiectivul nostru este de a verifica fiecare parolă pe care o utilizați.

    Introduceți toate datele de conectare și parola în LastPass: Fie că sunteți nou la LastPass, fie că nu l-ați utilizat pe deplin pentru fiecare conectare, acum este momentul să vă asigurați că ați introdus fiecare conectați-vă la sistemul LastPass. Vom răspunde la sfaturile pe care le-am oferit în ghidul nostru de recuperare prin e-mail pentru a vă alinia mesajele primite de e-mail pentru mementouri:

    Căutați e-mailurile pentru mementouri de înregistrare. Nu va fi greu să vă amintiți datele dvs. de conectare utilizate frecvent, cum ar fi Facebook și banca dvs., dar există probabil zeci de servicii de expansiune pe care probabil că nu le puteți aminti că utilizați adresa dvs. de e-mail pentru a vă conecta. Utilizați căutări de cuvinte cheie cum ar fi "bun venit la", "resetare", "recuperare", "verificare", "parolă", "nume de utilizator", "conectare", "cont" . Din nou, știm că este o greșeală, dar odată ce ați făcut acest lucru cu un manager de parole alături de dvs., aveți o listă principală a întregului dvs. cont și nu veți mai trebui niciodată să faceți această vânătoare de cuvinte cheie din nou.

    Activați autentificarea cu două factori în contul dvs. LastPass: Acest pas nu este absolut necesar pentru a efectua auditul de securitate, dar în timp ce vă atragem atenția, vom face tot ce putem pentru a vă încuraja, în timp ce vă răsturnați în contul dvs. LastPass, pentru a activa autentificarea cu două factori asigurați-vă secțiunea LastPass. (Nu numai că sporește securitatea contului dvs., ci și scorul dvs. de securitate de securitate!)

    Luând provocarea de securitate LastPass

    Acum că ați importat toate parolele dvs., este timpul să vă susțineți pentru rușinea de a nu fi în 1% din hardcore ninja de securitate cu parolă. Accesați pagina LastPass Security Challenge și apăsați "Start Challenge" în partea de jos a paginii. Veți fi invitat să introduceți parola dvs. de bază, așa cum se vede în captura de ecran de mai sus, iar apoi LastPass va oferi pentru a verifica dacă oricare dintre adresele de e-mail conținute în seiful dvs. au făcut parte din orice încălcare pe care a urmărit-o. Nu există motive întemeiate să nu profiți de acest lucru:

    Dacă ești norocos, revine negativ. Dacă aveți noroc, veți obține un pop-up ca acesta, dacă vă doriți mai multe informații despre încălcările la care v-a fost implicat e-mailul:

    LastPass va emite o singură alertă de securitate pentru fiecare instanță. Dacă ați avut adresa dvs. de e-mail pentru o lungă perioadă de timp, fiți pregătiți să fiți șocați de numărul de încălcări ale parolei în care a fost încurcat. Iată un exemplu de avertizare privind încălcarea parolei:

    După ferestrele pop-up, vei fi aruncat în panoul principal al LastPass Security Challenge. Amintiți-vă mai devreme în ghid atunci când am vorbit despre modul în care am practică în prezent o igienă bună a parolei, dar că nu am reușit niciodată să actualizez în mod corespunzător o mulțime de site-uri Web vechi și servicii? Este într-adevăr arată în scorul am primit. Ouch:

    Acesta este scorul meu cu anii în valoare de parole aleatoare amestecate inch Nu fi prea șocat în cazul în care scorul dvs. este chiar mai mic dacă ați fost folosind aceeași mână de parole slabe de peste si peste din nou. Acum, că avem scorul nostru (oricât de grozav sau rușinos ar putea fi), este timpul să sapi în date. Puteți utiliza link-urile rapide lângă procentajul dvs. de scor sau doar începeți derularea. Prima oprire, să vedem rezultatele detaliate. Luați în considerare acest lucru o prezentare generală a stării parolelor dvs. de 10000 de picioare:

    În timp ce ar trebui să acordați atenție tuturor statisticilor de aici, cele foarte importante sunt "puterea medie a parolei", cât de slabă sau puternică este parola medie și, mai important, numărul de parole duplicat și numărul de site-uri cu parole duplicate “. În cauza auditului meu, au existat 8 dupes în 43 site-uri. În mod evident, am fost destul de leneș reutilizând aceeași parolă de nivel scăzut pe mai mult de câteva site-uri.

    Următorul stop, secțiunea Site-uri analizate. Aici veți găsi o descoperire foarte concretă a tuturor logărilor și parolelor organizate de utilizarea parolei duplicate (dacă ați avut copii), parole unice și, în sfârșit, logare fără o parolă stocată în LastPass. În timp ce vă uitați peste listă, uitați-vă la contrastul dintre valorile parolei. În cazul meu, una dintre datele mele de conectare a fost acordată unui scor de parolă de 45%, în timp ce datele de conectare ale fiicei mele Minecraft au fost scoase la un scor perfect de 100%. Din nou, ouch.

    Stabilirea Scorului teribil de provocare a securității

    Există două linkuri foarte utile construite chiar în listele de audit. Dacă faceți clic pe "SHOW", vă va afișa parola pentru site-ul respectiv și dacă dați clic pe "Vizitați site-ul", puteți să sarăți direct pe site-ul web pentru a putea schimba parola. Nu numai că fiecare parolă duplicat ar trebui modificată, dar orice parolă care a fost atașată unui cont care a fost încălcat (cum ar fi Adobe.com sau LinkedIn) ar trebui să fie retras definitiv.

    În funcție de numărul parolelor pe care le aveți (și de cât de sârguincioși ați fost în legătură cu practicile de parolă bune), acest pas al procesului vă poate dura zece minute sau întreaga după-amiază. Deși procesul de schimbare a parolelor diferă în funcție de aspectul site-ului pe care îl actualizați, iată câteva reguli generale pe care trebuie să le urmați (folosim actualizarea parolei din Rețineți laptele ca exemplu): accesați pagina de modificare a parolei . În mod normal, va trebui să introduceți parola actuală și apoi să generați o nouă parolă.

    Faceți acest lucru făcând clic pe sigla de blocare cu sigla circulară. LastPass se inserează în slotul pentru noua parolă (așa cum se vede în captura de ecran de mai sus). Priviți noua parolă și efectuați ajustări dacă doriți (cum ar fi prelungirea sau adăugarea în caractere speciale):

    Faceți clic pe "Utilizați parola" și confirmați că doriți să actualizați înregistrarea pe care o editați:

    Asigurați-vă că ați confirmat schimbarea și cu site-ul web. Repetați procesul pentru fiecare parolă dublă și slabă din seiful dvs. LastPass.

    În cele din urmă, ultimul lucru pe care trebuie să-l faceți este parola Master LastPass. Faceți acest lucru făcând clic pe link-ul din partea de jos a ecranului Challenge, cu eticheta "Testați puterea parolei Master LastPass". Dacă nu vedeți acest lucru:

    Trebuie să resetați parola Master LastPass Master și să măriți puterea până când primiți o confirmare plăcută, pozitivă, de 100%.

    Studierea rezultatelor și îmbunătățirea ulterioară a securității LastPass

    După ce ați făcut clic pe lista parolelor duplicate, ați șters intrările vechi și, în alt mod, l-ați stins și ați asigurat lista de login / parolă, este timpul să efectuați din nou auditul. Acum, pentru accent, scorul pe care îl vedeți mai jos a fost crescut doar prin îmbunătățirea securității parolei. (Dacă activați funcții de securitate suplimentare, cum ar fi autentificarea cu mai mulți factori, veți primi un impuls de aproximativ 10%).

    Nu-i rău! După eliminarea tuturor parolelor duplicate și aducerea tuturor parolelor existente cu până la 90% sau mai mult, sa îmbunătățit într-adevăr scorul nostru. Dacă sunteți curios de ce nu a făcut saltul la 100%, există câțiva factori în joc, dintre care cele mai proeminente sunt faptul că unele parole nu pot fi niciodată aduse la îndoială de standardele LastPass din cauza politicilor prostești în vigoare de către administratorii site-ului. De exemplu, parola de conectare a bibliotecii mele locale este un pin de patru cifre (care înregistrează un scor de 4% pe scara de securitate LastPass). Cei mai multi oameni vor avea un fel de outliers ca in lista lor si care va trage scorul lor in jos.

    În astfel de cazuri, este important să nu vă descurajați și să utilizați defalcarea detaliată ca măsură:

    În procesul de actualizare a parolei, am aliniat 17 site-uri duplicat / expirat, am creat o parolă unică pentru fiecare site și serviciu și am adus numărul de site-uri cu parole duplicate de la 43 la 0 în proces.

    Era nevoie de aproximativ o oră de timp serios focalizat (12,4% dintre aceștia au fost cheltuite de blestemați designeri de site-uri care au pus legăturile de actualizare a parolei în locuri obscure) și tot ce mi-a fost motivat a fost o încălcare a parolei de proporții catastrofale! Fac o notă aici, un succes imens.


    Acum, când v-ați auditat parolele și ați fost pompați să aveți un parol de parole unice, să profităm de acest impuls înainte. Activați ghidul nostru pentru a face LastPass chiar mai sigur prin creșterea iterațiilor parolei, restricționarea datelor de conectare pe țări și multe altele. Între desfășurarea auditului pe care l-am prezentat aici, urmând ghidul nostru de securitate LastPass și pornirea algoritmilor cu doi factori, veți avea un sistem de gestionare a parolelor care vă poate fi mândru.