Pagrindinis » kaip » Kaip paleisti paskutinio leidimo saugumo auditą (ir kodėl jis negali laukti)

    Kaip paleisti paskutinio leidimo saugumo auditą (ir kodėl jis negali laukti)

    Jei praktikuojate slaptą slaptažodžių valdymą ir higieną, tai tik laiko klausimas, kol vienas iš daugelio didelio masto saugumo pažeidimų nudegina jus. Nustokite būti dėkingais, kai pasitraukėte nuo praeities saugumo pažeidimų ir šarvų save prieš ateityje. Skaitykite, kaip parodysime, kaip patikrinti savo slaptažodžius ir apsaugoti save.

    Kas yra „Big Deal“ ir kodėl ši problema?

    Šių metų spalio mėnesį „Adobe“ atskleidė, kad įvyko didelis saugumo pažeidimas, kuris paveikė 3 mln. „Adobe.com“ ir „Adobe“ programinės įrangos vartotojų. Tada jie peržiūrėjo skaičių iki 38 mln. Tada, dar labiau šokiruojantis, kai nutekėjo duomenų bazė iš duomenų bazės, saugumo tyrėjai, analizavę duomenų bazę, sugrįžo ir sakė, kad jis labiau panašus į 150 mln vartotojų abonementai. Šis vartotojų ekspozicijos laipsnis „Adobe“ pažeidimą atlieka kaip vieną iš didžiausių saugumo pažeidimų istorijoje.

    Vis dėlto „Adobe“ šioje srityje nėra vienintelis; mes paprasčiausiai atidarėme jų pažeidimą, nes jis skausmingai neseniai. Vien per pastaruosius kelerius metus buvo daugybė saugumo pažeidimų, kai naudotojų informacija, įskaitant slaptažodžius, buvo pažeista.

    2012 m. Nukentėjo „LinkedIn“ (6,46 mln. Vartotojų įrašų). Tais pačiais metais „eHarmony“ nukentėjo (1,5 mln. Vartotojų įrašų), kaip ir „Last.fm“ (6,5 mln. Vartotojų įrašų) ir „Yahoo! (450 000 vartotojų įrašų). „Sony Playstation Network“ nukentėjo 2011 m. „Gawker Media“ („Gizmodo“ ir „Lifehacker“ svetainių patronuojanti bendrovė) buvo nukentėjusi 2010 m. Ir tai yra tik didžiųjų pažeidimų, padariusių naujienas, pavyzdžiai!

    „Privacy Rights Clearinghouse“ saugo nuo 2005 m. Iki dabartinio saugumo pažeidimų duomenų bazę. Jų duomenų bazėje yra daug pažeidimų tipų: pažeistos kredito kortelės, pavogti socialinio draudimo numeriai, pavogti slaptažodžiai ir medicininiai įrašai. Duomenų bazę nuo šio straipsnio paskelbimo sudaro 4033 pažeidimai kurių sudėtyje yra 617 937 023 vartotojo įrašai. Ne kiekvienas iš šimtų milijonų pažeidimų buvo susijęs su naudotojų slaptažodžiais, tačiau milijonai jų buvo milijonai.

    Tad kodėl tai svarbu? Be akivaizdžių ir neatidėliotinų pažeidimo pasekmių, pažeidimai sukelia papildomą žalą. Įsilaužėliai gali iš karto pradėti išbandyti prisijungimus ir slaptažodžius, kuriuos jie renkasi kitose interneto svetainėse.

    Dauguma žmonių yra tingūs su savo slaptažodžiais, ir yra didelė tikimybė, kad jei kas nors naudos [email protected] su slaptažodžiu bob1979, tas pats prisijungimo / slaptažodžio pora veiks kitose interneto svetainėse. Jei šios kitos svetainės yra didesnės (pvz., Bankų svetainės arba jei „Adobe“ naudojamas slaptažodis faktiškai atveria savo el. Pašto dėžutę), tai yra problema. Kai kas nors turi prieigą prie jūsų el. Pašto dėžutės, jie gali pradėti iš naujo nustatyti slaptažodžius kitoms paslaugoms ir taip pat gauti prieigą prie jų.

    Vienintelis būdas sustabdyti tokios grandininės reakcijos atsiradimą dėl dar didesnių saugumo problemų interneto svetainių ir paslaugų tinkle yra sekti dvi pagrindines geros slaptažodžio higienos taisykles:

    1. Jūsų el. Pašto slaptažodis turi būti ilgas, stiprus ir visiškai unikalus tarp visų jūsų prisijungimų.
    2. Kiekvienas prisijungimas gauna ilgą, tvirtą ir unikalų slaptažodį. Nėra slaptažodžio pakartotinio naudojimo. Visada.

    Šios dvi taisyklės yra išeities iš kiekvieno saugumo vadove, kurį mes kada nors dalinomės su jumis, įskaitant mūsų skubios pagalbos vadovą Kaip atkurti el. Pašto slaptažodį.

    Šiuo metu jūs tikriausiai truputį sudraskate, nes atvirai kalbant, beveik niekas neturi visiškai sandaraus slaptažodžio ir saugumo. Jūs nesate vienišas, jei trūksta slaptažodžio higienos. Tiesą sakant, atėjo laikas prisipažinti.

    Per tuos metus, kai buvau „How-To Geek“, parašiau dešimtys saugumo straipsnių, pranešimų apie saugumo pažeidimus ir kitus su slaptažodžiu susijusius pranešimus. Nepaisant to, kad būtent toks informuotas asmuo, kuris turėtų žinoti geriau, nepaisant to, kad naudojasi slaptažodžių valdytoju ir kurdamas saugius slaptažodžius kiekvienai naujai svetainei ir paslaugai, kai bėgau savo el. Paštą per kompromiso „Adobe“ prisijungimo sąrašą ir suderinčiau jį su kompromisiniu slaptažodžiu, aš vis dar sužinojau, kad aš sudegiau.

    Aš padariau šią „Adobe“ paskyrą seniai, kai buvau gerokai atsipalaidavęs su mano slaptažodžio higiena, o mano naudojamas slaptažodis buvo dažnas tuzinai svetainių ir paslaugų, kurias aš prisiregistravau prieš tai, kai gavau labai rimtą gerų slaptažodžių kūrimą.

    Visa tai būtų buvę galima išvengti, jei aš visiškai praktikuojau tai, ką skelbiau, o ne tik sukūriau unikalius ir stiprius slaptažodžius taip pat patikrino mano senus slaptažodžius, kad būtų užtikrinta, jog ši situacija niekada nebuvo. Nesvarbu, ar niekada net nesistengėte būti nuoseklus ir saugus savo slaptažodžių praktikoje, ar tiesiog turite juos patikrinti, kad galėtumėte pasimėgauti, išsamus slaptažodžio auditas yra kelias į slaptažodžio saugumą ir ramybę. Skaitykite, kaip parodysime, kaip.

    Pasiruošimas „Lastpass“ saugumo iššūkiui

    Jūs galite rankiniu būdu patikrinti savo slaptažodžius, bet tai būtų nepaprastai varginantis ir jūs negalėtumėte gauti jokios naudos naudojant gerą universalų slaptažodį. Užuot tikrinęs viską rankiniu būdu, mes imsimės paprasto ir automatizuoto maršruto: mes ketiname patikrinti savo slaptažodžius naudodami „LastPass“ saugos iššūkį.

    Šis vadovas neaptiks „LastPass“ nustatymo, todėl, jei dar neturite „LastPass“ sistemos ir nenaudojate, primygtinai rekomenduojame ją nustatyti. Išbandykite „HTG Guide to Getting Started with LastPass“, kad pradėtumėte. Nors „LastPass“ atnaujino, nes parašėme vadovą (sąsaja yra daug gražesnė ir geriau supaprastinta), vis tiek galite lengvai atlikti veiksmus. Jei nustatote „LastPass“ pirmą kartą, įsitikinkite, kad importuojate visi jūsų saugomi slaptažodžiai iš jūsų naršyklių, nes mūsų tikslas yra patikrinti kiekvieną naudojamą slaptažodį.

    Įveskite kiekvieną prisijungimo vardą ir slaptažodį į „LastPass“: Nesvarbu, ar esate visiškai naujas „LastPass“, ar ne visai jį naudojote kiekvienam prisijungimui, dabar yra laikas įsitikinti, kad įvedėte kiekvienas prisijungti prie „LastPass“ sistemos. Mes pakartosime patarimus, kuriuos pateikėme el. Pašto atkūrimo vadove, kad galėtumėte šukuoti el. Pašto dėžutę priminimams:

    Ieškokite savo el. Laiškų registracijos priminimų. Nebus sunku prisiminti jūsų dažnai naudojamus prisijungimus, pvz., „Facebook“ ir jūsų banką, tačiau yra daugybė paslaugų, kurias netgi negalite prisiminti, kad prisijungiate prie savo el. Naudokite raktinių žodžių paieškas, pvz., „Sveiki atvykę“, „Atstatyti“, „Atkurti“, „Patikrinti“, „Slaptažodis“, „Vartotojo vardas“, „Prisijungimas“, „Paskyra“ ir jų deriniai, kaip „naujo slaptažodžio“ arba „Patvirtinti paskyrą“ . Vėlgi, mes žinome, kad tai yra problema, bet kai tai padarysite naudodamiesi slaptažodžių valdytoju iš jūsų pusės, turite visų savo paskyros pagrindinį sąrašą ir niekada neturėsite dar kartą atlikti šio raktinio žodžio medžioklės.

    Įgalinkite dviejų veiksnių autentifikavimą „LastPass“ paskyroje: Šis žingsnis nėra būtinas saugumo auditui atlikti, tačiau, kai mes atkreipiame jūsų dėmesį, mes darysime viską, ką galime, kad paskatintume jus, kai jūs mėgstate „LastPass“ paskyroje, įjungti dviejų veiksnių autentifikavimą toliau saugokite „LastPass“ skliautą. (Ne tik padidina paskyros saugumą, bet ir padidinsite saugumo audito rezultatą!)

    „LastPass“ saugumo iššūkis

    Dabar, kai importavote visus savo slaptažodžius, atėjo laikas pagražinti, kad nesigaili 1% „hardcore“ slaptažodžio saugumo ninjas. Apsilankykite „LastPass Security Challenge“ puslapyje ir puslapio apačioje paspauskite „Pradėti iššūkį“. Jūs būsite paraginti įvesti pagrindinį slaptažodį, kaip matyti iš aukščiau esančio ekrano, ir paskui „LastPass“ pasiūlys patikrinti, ar bet kuris iš jūsų saugykloje esančių el. Pašto adresų buvo bet kokių pažeidimų, kuriuos jis stebėjo, dalis. Nėra jokios pagrindinės priežasties pasinaudoti šia galimybe:

    Jei esate laimingas, jis grąžina neigiamą. Jei esate laimingas, pasirodys toks iššokantis langas, kuriame klausiama, ar norite gauti daugiau informacijos apie jūsų el. Pašto pažeidimus:

    „LastPass“ kiekvienam atvejui išduos vieną saugos įspėjimą. Jei ilgą laiką turėjote el. Pašto adresą, būkite pasiruošę būti sukrėstas dėl to, kiek slaptažodžių pažeidimų jis buvo suklastotas. Čia pateikiamas pranešimas apie slaptažodžio pažeidimą:

    Po iškylančių langų, jums bus iškelta į pagrindinį „LastPass“ saugos iššūkio skydelį. Atminkite anksčiau, kai kalbėjau apie tai, kaip aš šiuo metu praktikuoju gerą slaptažodžio higieną, bet aš niekada nesugebėjau tinkamai atnaujinti daugelio senesnių interneto svetainių ir paslaugų? Tai tikrai parodo gautą rezultatą. Ouch:

    Tai yra mano rezultatas su metų verte atsitiktiniais slaptažodžiais. Negalima būti pernelyg sukrėstas, jei jūsų rezultatas yra dar mažesnis, jei vėl ir vėl naudojote tą patį silpnų slaptažodžių. Dabar, kai mes turime savo rezultatą (tačiau tai gali būti nuostabus ar gėdingas), atėjo laikas įterpti į duomenis. Greitąsias nuorodas galite naudoti šalia savo balų procentinės dalies arba tiesiog pradėti slinkti. Pirmasis sustojimas, patikrinkime išsamius rezultatus. Apsvarstykite šį 10 000 pėdų apžvalgą apie slaptažodžių būklę:

    Nors turėtumėte atkreipti dėmesį į visus statistinius duomenis, tikrai svarbūs yra „Vidutinis slaptažodžio stiprumas“, kaip silpnas ar stiprus jūsų vidutinis slaptažodis ir, dar svarbiau, „Dublikatų slaptažodžių skaičius“ ir „Sklypų, turinčių pasikartojančius slaptažodžius, skaičius “. Mano audito priežastimi 43 vietose buvo 8 dupės. Aišku, aš buvau gana tingus pakartotinai panaudodamas tą patį žemos kokybės slaptažodį daugiau nei keliose svetainėse.

    Toliau sustabdykite skyrių „Analizuotos svetainės“. Čia rasite labai konkretų visų prisijungimo ir slaptažodžių, suskirstytų pagal slaptažodžio naudojimą (jei turite dublikatus), unikalius slaptažodžius ir galiausiai prisijungus be „LastPass“ slaptažodžio, suskirstymą. Žiūrėdami į sąrašą, stebėkite kontrastą tarp slaptažodžių. Mano atveju, vienas iš mano finansinių prisijungimų buvo suteiktas 45% slaptažodžio balui, o mano dukters „Minecraft“ prisijungimas gavo puikų 100% rezultatą. Vėlgi.

    Tvirtas jūsų siaubingas saugumo iššūkis

    Į audito sąrašą įtrauktos dvi labai naudingos nuorodos. Jei paspausite „RODYTI“, jis parodys jums tos svetainės slaptažodį ir spustelėsite „Aplankyti svetainę“, galite pereiti prie svetainės, kad galėtumėte pakeisti slaptažodį. Ne tik turėtų būti pakeistas kiekvienas slaptažodžio dublikatas, bet ir bet koks slaptažodis, kuris buvo priskirtas prie pažeidžiamos paskyros (pvz., „Adobe.com“ arba „LinkedIn“), turėtų būti nuolat pašalintas.

    Priklausomai nuo to, kiek ar kelis slaptažodžius turite (ir kaip rūpestingai dirbote apie gerą slaptažodį), šis žingsnis gali užtrukti dešimt minučių arba visą popietę. Nors slaptažodžių keitimo procesas priklausys nuo atnaujintos svetainės išdėstymo, čia pateikiamos kelios bendrosios gairės, kurių reikia laikytis (mes naudojame savo slaptažodžio atnaujinimą kaip „Pavyzdys“ „Prisiminti pieną“): apsilankykite slaptažodžio keitimo puslapyje . Paprastai jums reikės įvesti dabartinį slaptažodį ir generuoti naują slaptažodį.

    Padarykite tai spustelėję užrakto su apvalia rodykle logotipą. „LastPass“ įterpia į naują slaptažodžio lizdą (kaip parodyta aukščiau esančiame paveikslėlyje). Peržiūrėkite naują slaptažodį ir, jei norite, atlikite pakeitimus (pvz., Pailgindami jį arba pridėdami specialių simbolių):

    Spustelėkite „Naudoti slaptažodį“ ir patvirtinkite, kad norite atnaujinti redaguojamą įrašą:

    Įsitikinkite, kad patvirtinkite pakeitimą ir svetainėje. Pakartokite procesą kiekvienam dublikatui ir silpnam slaptažodžiui „LastPass“ saugykloje.

    Galiausiai paskutinis dalykas, kurį reikia atlikti, yra „LastPass“ pagrindinis slaptažodis. Padarykite tai spustelėdami nuorodą, esančią ekrano „Iššūkis“ apačioje, pavadinimu „Išbandykite savo„ LastPass “pagrindinio slaptažodžio stiprumą”. Jei nematote:

    Turite iš naujo nustatyti „LastPass“ pagrindinį slaptažodį ir padidinti stiprumą, kol gausite gražų, teigiamą, 100% stiprumo patvirtinimą.

    Rezultatų tyrimas ir tolesnis „LastPass“ saugumo stiprinimas

    Po to, kai paslėpėte pasikartojančių slaptažodžių sąrašą, ištrinote senus įrašus ir kitaip tvarkėte ir užtikrinote savo prisijungimo / slaptažodžių sąrašą, atėjo laikas vėl atlikti auditą. Dabar, norėdami pabrėžti, žemiau pateiktas rezultatas buvo išaugintas tik pagerinant slaptažodžio saugumą. (Jei įgalinsite papildomų saugumo funkcijų, pvz., Kelių veiksnių autentifikavimą, gausite maždaug 10% padidinimą).

    Neblogai! Pašalinus kiekvieną slaptažodžio dublikatą ir prijungus visus esamus slaptažodžius iki 90% ar daugiau, tai tikrai pagerino mūsų rezultatą. Jei smalsu, kodėl jis neperšokė iki 100%, yra keletas veiksnių, kurių svarbiausi yra tai, kad kai kurie slaptažodžiai niekada negali būti uždrausti „LastPass“ standartais dėl to, kad yra kvaili politika. svetainės administratoriai. Pvz., Mano vietinės bibliotekos prisijungimo slaptažodis yra keturių skaitmenų kaištis (kuris įvertina 4% LastPass apsaugos skalės). Dauguma žmonių savo sąraše turės tam tikrus išskirtinius pranašumus, kurie bus nuvilti.

    Tokiais atvejais svarbu nesipriešinti ir naudoti detalų suskirstymą kaip metriką:

    Slaptažodžio atnaujinimo procese aš perskaičiau 17 pasikartojančių / pasibaigiančių svetainių, sukūriau unikalų slaptažodį kiekvienai svetainei ir paslaugai, o svetainių skaičius su dviem slaptažodžiais sumažėjo nuo 43 iki 0 šiame procese.

    Tai užtruko tik apie vieną valandą rimtai sutelkto laiko (12,4 proc. Aš čia užsirašau, didžiulė sėkmė.

    Dabar, kai patikrinote savo slaptažodžius ir esate pumpuojami apie tai, kad turite stabilių slaptažodžių, pasinaudokime tuo į priekį. Pasiekite mūsų „LastPass“ kūrimo vadovą netgi saugesnis, padidinant slaptažodžių iteracijas, apribojant prisijungimus pagal šalį ir dar daugiau. Tarp atlikto audito, kurį apibūdinome čia, vadovaudamiesi „LastPass“ saugos vadovu ir įjungę dviejų veiksnių algoritmus, turėsite nešiojamojo slaptažodžio valdymo sistemą, kurią galite didžiuotis.

    Kaip paleisti suplanuotą užduotį be komandų lango
    Kaip paleisti paprastą vietinį minecraft serverį (su ir be modų)
    Kaip paleisti „DirectX“ diagnostiką „XP“
    Kitas straipsnis
    Kaip paleisti vietinį „Minecraft PE“ serverį, skirtą pramogoms ir patvariam pasauliui statyti
    Ankstesnis straipsnis
    Kaip paleisti visą „Linux“ darbalaukį „Chromebook“ naršyklės skirtuke