So führen Sie ein Last Pass Security Audit aus (und warum es nicht warten kann)
Wenn Sie laxes Passwortmanagement und Hygiene üben, ist es nur eine Frage der Zeit, bis Sie durch eine der zahlreichen Sicherheitslücken in größerem Umfang verbrannt werden. Hören Sie auf, dankbar zu sein, dass Sie die vergangenen Sicherheitsverletzungskugeln ausgetrieben haben und sich gegen die zukünftigen ausrüsten. Lesen Sie weiter, während wir Ihnen zeigen, wie Sie Ihre Kennwörter überprüfen und sich schützen können.
Was ist der große Deal und warum ist dies wichtig??
Im Oktober dieses Jahres gab Adobe bekannt, dass ein schwerwiegender Sicherheitsverstoß vorliegt, von dem 3 Millionen Benutzer von Adobe.com und Adobe-Software betroffen waren. Dann haben sie die Zahl auf 38 Millionen erhöht. Umso schockierender war es dann, als die Datenbank aus dem Hack durchgesickert war. Sicherheitsforscher, die die Datenbank analysierten, kamen zurück und sagten, es sei eher so 150 Millionen kompromittierte Benutzerkonten. Aufgrund dieser hohen Benutzerpräsenz gilt der Adobe-Verstoß als einer der schlimmsten Sicherheitsverletzungen in der Geschichte.
Adobe ist an dieser Front jedoch kaum alleine; Wir haben einfach mit ihrem Bruch begonnen, weil es schmerzhaft neu ist. Allein in den letzten Jahren kam es zu Dutzenden massiver Sicherheitsverletzungen, bei denen Benutzerinformationen, einschließlich Passwörter, manipuliert wurden.
LinkedIn wurde im Jahr 2012 betroffen (6,46 Millionen Datensätze von Nutzern). Im selben Jahr wurde eHarmony (1,5 Millionen Benutzerdatensätze) ebenso betroffen wie Last.fm (6,5 Millionen Benutzerdatensätze) und Yahoo! (450.000 Benutzerdatensätze). Das Sony Playstation Network wurde im Jahr 2011 getroffen (101 Millionen Benutzerrekorde). Gawker Media (die Muttergesellschaft von Websites wie Gizmodo und Lifehacker) wurde im Jahr 2010 betroffen (1,3 Millionen gefährdete Datensätze). Und das sind nur Beispiele für große Verstöße, aus denen die Nachricht kam!
Das Privacy Rights Clearinghouse führt eine Datenbank mit Sicherheitsverletzungen von 2005 bis heute. Ihre Datenbank umfasst eine Vielzahl von Sicherheitsverletzungen: Kreditkarten, gestohlene Sozialversicherungsnummern, gestohlene Passwörter und Krankenakten. Die Datenbank besteht zum Zeitpunkt der Veröffentlichung dieses Artikels aus 4.033 Verstöße enthaltend 617,937,023 Benutzerdatensätze. Nicht bei jedem dieser Hunderte von Millionen Verstößen gab es Benutzerpasswörter, aber Millionen von Millionen davon.
Warum ist es wichtig? Abgesehen von den offensichtlichen und unmittelbaren Sicherheitsauswirkungen eines Verstoßes führen die Verstöße zu Kollateralschäden. Die Hacker können sofort mit dem Testen der von ihnen gesammelten Logins und Passwörter auf anderen Websites beginnen.
Die meisten Leute sind mit ihren Passwörtern faul, und es besteht eine gute Chance, dass jemand, der [email protected] mit dem Kennwort bob1979 verwendet, dasselbe Login / Kennwort-Paar auf anderen Websites verwendet. Wenn diese anderen Websites ein höheres Profil aufweisen (wie beispielsweise Banking-Websites oder wenn das von Adobe verwendete Kennwort tatsächlich seinen E-Mail-Posteingang entsperrt), gibt es ein Problem. Sobald jemand Zugriff auf Ihr E-Mail-Postfach hat, kann er das Kennwort für andere Dienste zurücksetzen und auch auf diese zugreifen.
Der einzige Weg, um zu verhindern, dass diese Art von Kettenreaktion noch mehr Sicherheitsprobleme innerhalb des von Ihnen verwendeten Netzwerks von Websites und Diensten verursacht, besteht darin, zwei grundlegende Regeln guter Passwort-Hygiene zu befolgen:
- Ihr E-Mail-Passwort sollte unter allen Anmeldedaten lang und eindeutig sein.
- Jeden login erhält ein langes, starkes und eindeutiges Passwort. Keine Wiederverwendung des Passworts. Je.
Diese beiden Regeln sind der Wegweiser aus jedem Sicherheitsleitfaden, den wir Ihnen jemals zur Verfügung gestellt haben, einschließlich unseres Notfall-Leitfadens, den der Fan finden sollte. So können Sie sich erholen, nachdem Ihr E-Mail-Passwort gefährdet ist.
Jetzt winden Sie sich wahrscheinlich ein wenig, denn ehrlich gesagt, kaum jemand hat absolut luftdichte Passwort-Praktiken und Sicherheit. Sie sind nicht alleine, wenn Ihre Passwort-Hygiene fehlt. In der Tat ist es Zeit für ein Geständnis.
Ich habe in den letzten Jahren, in denen ich bei How-To Geek war, Dutzende von Sicherheitsartikeln, Posts über Sicherheitsverletzungen und andere Passwörter geschrieben. Obwohl ich genau die Art von informierter Person bin, die es besser wissen sollte, obwohl ich einen Passwort-Manager verwende und sichere Kennwörter für jede neue Website und jeden neuen Dienst generiert habe, als ich meine E-Mail durch die Liste der gefährdeten Adobe-Anmeldungen lief und sie mit dem angegriffenen Kennwort abgeglichen habe Ich fand immer noch heraus, dass ich verbrannt worden war.
Ich habe dieses Adobe-Konto vor langer Zeit erstellt, als ich mit meiner Passwort-Hygiene wesentlich locker war und das Passwort, das ich verwendete, allgemein üblich war Dutzende von Websites und Diensten, mit denen ich mich angemeldet hatte, bevor ich es sehr ernst nahm, gute Passwörter zu erstellen.
All das hätte verhindert werden können, wenn ich meine Predigten vollständig geübt hätte und nicht nur eindeutige und sichere Passwörter erstellt hätte, sondern ebenfalls überprüfte meine alten Passwörter, um sicherzustellen, dass diese Situation überhaupt nicht vorgekommen ist. Egal, ob Sie noch nie versucht haben, mit Ihren Kennwortpraktiken konsistent und sicher zu sein, oder Sie müssen sie nur überprüfen, um sich zu entspannen, eine gründliche Kennwortüberprüfung ist der Weg zur Kennwortsicherheit und zur Sicherheit. Lesen Sie weiter, wie wir Ihnen zeigen, wie.
Vorbereitung auf Ihre Lastpass-Sicherheitsherausforderung
Sie könnten Ihre Passwörter manuell prüfen, aber das wäre enorm langwierig und Sie würden keinen der Vorteile eines guten universellen Passwort-Managers nutzen. Anstatt alles manuell zu prüfen, gehen wir den einfachen und weitgehend automatisierten Weg: Wir überprüfen unsere Kennwörter mit der LastPass-Sicherheitsherausforderung.
In diesem Handbuch wird die Einrichtung von LastPass nicht behandelt. Wenn Sie also noch kein LastPass-System installiert haben, empfehlen wir Ihnen dringend, eines einzurichten. Lesen Sie den HTG-Leitfaden für Erste Schritte mit LastPass, um zu beginnen. Obwohl LastPass seit der Erstellung des Handbuchs aktualisiert wurde (die Benutzeroberfläche ist jetzt viel schöner und besser gestaltet), können Sie den Schritten trotzdem problemlos folgen. Wenn Sie LastPass zum ersten Mal einrichten, müssen Sie unbedingt importieren alles Ihre gespeicherten Passwörter von Ihren Browsern. Unser Ziel ist es, jedes einzelne von Ihnen verwendete Passwort zu überprüfen.
Geben Sie jedes Login und Passwort in LastPass ein: Unabhängig davon, ob Sie bei LastPass ganz neu sind oder nicht bei jedem Login vollständig verwendet wurden, ist es jetzt an der Zeit, sicherzustellen, dass Sie sich angemeldet haben jeden Melden Sie sich beim LastPass-System an. Wir werden uns an die Ratschläge in unserem E-Mail-Wiederherstellungshandbuch halten, in denen Sie Ihr E-Mail-Postfach nach Erinnerungen abfragen:
Suchen Sie in Ihrer E-Mail nach Registrierungserinnerungen. Es ist nicht schwer, sich an Ihre häufig verwendeten Anmeldungen wie Facebook und Ihre Bank zu erinnern, aber es gibt wahrscheinlich Dutzende von aufwändigen Diensten, an die Sie sich vielleicht gar nicht erinnern, dass Sie Ihre E-Mail für die Anmeldung verwenden. Verwenden Sie Stichwortsuchen wie "Willkommen bei", "Zurücksetzen", "Wiederherstellen", "Verifizieren", "Kennwort", "Benutzername", "Anmelden", "Konto" und Kombinationen daraus wie "Kennwort zurücksetzen" oder "Konto überprüfen". . Wiederum wissen wir, dass dies ein Problem ist, aber wenn Sie dies einmal mit einem Passwort-Manager an Ihrer Seite getan haben, haben Sie eine Master-Liste mit allen Ihren Konten, und Sie müssen diese Keyword-Suche nie wieder durchführen.
Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr LastPass-Konto: Dieser Schritt ist für die Durchführung der Sicherheitsüberprüfung nicht unbedingt erforderlich. Während wir jedoch Ihre Aufmerksamkeit haben, werden wir alles tun, um Sie zu ermutigen, während Sie sich in Ihrem LastPass-Konto herumtreiben, um die Zwei-Faktor-Authentifizierung zu aktivieren Sichern Sie Ihren LastPass-Tresor weiter. (Dies erhöht nicht nur die Sicherheit Ihres Kontos, sondern erhöht auch Ihren Sicherheitsauditwert!)
Die LastPass-Sicherheitsherausforderung annehmen
Nachdem Sie nun alle Ihre Passwörter importiert haben, ist es an der Zeit, sich auf die Schande einzustellen, nicht in den 1% der Hardcore-Passwort-Sicherheits-Ninjas zu sein. Besuchen Sie die LastPass Security Challenge-Seite und klicken Sie unten auf der Seite auf "Start the Challenge". Sie werden aufgefordert, Ihr Master-Passwort einzugeben (siehe Abbildung oben), und LastPass bietet an, zu überprüfen, ob eine der in Ihrem Tresor enthaltenen E-Mail-Adressen zu den festgestellten Verstößen gehört. Es gibt keinen guten Grund, dies nicht zu nutzen:
Wenn Sie Glück haben, gibt es ein negatives Ergebnis. Wenn Sie Glück haben, erhalten Sie ein Popup wie dieses, in dem Sie gefragt werden, ob Sie weitere Informationen zu den Verstößen erhalten möchten, an denen Ihre E-Mail beteiligt war:
LastPass gibt für jede Instanz eine einzige Sicherheitswarnung aus. Wenn Sie Ihre E-Mail-Adresse lange Zeit hatten, seien Sie darauf vorbereitet, geschockt zu sein, in wie viele Passwortverletzungen sie sich verheddert hat. Hier ein Beispiel für eine Passwortverletzung:
Nach den Pop-ups werden Sie im Hauptfenster der LastPass Security Challenge angezeigt. Erinnern Sie sich an den Anfang des Handbuchs, als ich darüber sprach, wie ich derzeit gute Passwort-Hygiene praktiziere, aber ich war nie dazu gekommen, viele ältere Websites und Dienste ordnungsgemäß zu aktualisieren. Es zeigt sich wirklich in der Partitur, die ich erhalten habe. Autsch:
Das ist meine Punktzahl mit jahrelangen zufälligen Passwörtern. Seien Sie nicht zu schockiert, wenn Ihre Punktzahl noch niedriger ist, wenn Sie immer wieder dieselbe Handvoll schwacher Passwörter verwendet haben. Nun, da wir unsere Punktzahl haben (egal wie großartig oder beschämend es auch sein mag), ist es Zeit, sich in die Daten einzuarbeiten. Sie können die Quick Links neben Ihrem Ergebnisprozentsatz verwenden oder einfach mit dem Scrollen beginnen. Erster Stopp, schauen wir uns die detaillierten Ergebnisse an. Betrachten Sie dies als 10.000 Fuß Überblick über den Status Ihrer Passwörter:
Während Sie hier auf alle Statistiken achten sollten, sind die wirklich wichtigen Werte "Durchschnittliche Kennwortstärke", wie schwach oder stark Ihr durchschnittliches Kennwort ist, und, was noch wichtiger ist, "Anzahl der doppelten Kennwörter" und "Anzahl der Standorte mit doppelten Kennwörtern" ”. Bei meiner Prüfung gab es 8 Dupes an 43 Standorten. Ich war offensichtlich ziemlich faul, das gleiche Passwort auf mehr als ein paar Websites zu verwenden.
Nächster Stopp, Abschnitt "Analysierte Sites". Hier finden Sie eine sehr konkrete Aufschlüsselung aller Anmeldungen und Kennwörter, die durch die Verwendung von doppelten Kennwörtern (falls Sie Duplikate hatten), eindeutige Kennwörter und schließlich Anmeldungen ohne in LastPass gespeicherte Kennwörter organisiert wurden. Bewundern Sie den Kontrast zwischen den Kennwortstärken, während Sie die Liste durchsehen. In meinem Fall erhielt einer meiner finanziellen Logins einen 45% Passwort-Score, während der Minecraft-Login meiner Tochter einen perfekten 100% -Wert erhielt. Wieder autsch.
Fehlerbehebung für Ihre schrecklichen Sicherheitsherausforderungen
Es gibt zwei sehr nützliche Links, die direkt in die Audit-Listen integriert sind. Wenn Sie auf „SHOW“ klicken, wird Ihnen das Passwort für diese Site angezeigt. Wenn Sie auf „Site besuchen“ klicken, können Sie direkt zur Website springen, um das Passwort zu ändern. Es sollte nicht nur jedes doppelte Kennwort geändert werden, sondern jedes Kennwort, das einem verletzten Konto angehängt wurde (z. B. Adobe.com oder LinkedIn), sollte endgültig eingestellt werden.
Je nachdem, wie viele oder wenige Passwörter Sie haben (und wie sorgfältig Sie sich mit guten Passwortpraktiken befasst haben), kann dieser Schritt des Prozesses zehn Minuten oder den ganzen Nachmittag dauern. Obwohl das Ändern der Passwörter je nach Layout der Website, die Sie aktualisieren, unterschiedlich ist, sind hier einige allgemeine Richtlinien zu beachten (wir verwenden unser Passwort-Update bei Remember the Milk als Beispiel): Besuchen Sie die Seite zum Ändern des Passworts . Normalerweise müssen Sie Ihr aktuelles Passwort eingeben und dann ein neues Passwort generieren.
Klicken Sie dazu auf das Logo mit dem runden Pfeil. LastPass fügt sich in den neuen Passwortschlitz ein (siehe Abbildung oben). Sehen Sie sich Ihr neues Passwort an und nehmen Sie gegebenenfalls Anpassungen vor (z. B. Verlängern oder Hinzufügen von Sonderzeichen):
Klicken Sie auf "Passwort verwenden" und bestätigen Sie dann, dass Sie den Eintrag, den Sie bearbeiten, aktualisieren möchten:
Stellen Sie sicher, dass Sie die Änderung auch auf der Website bestätigen. Wiederholen Sie den Vorgang für jedes doppelte und schwache Kennwort in Ihrem LastPass-Tresor.
Das letzte, was Sie prüfen müssen, ist Ihr LastPass-Master-Passwort. Klicken Sie dazu auf den Link am unteren Rand des Challenge-Bildschirms mit der Aufschrift "Test the Stärke meines LastPass-Master-Passworts". Wenn Sie das nicht sehen:
Sie müssen Ihr LastPass-Master-Passwort zurücksetzen und die Stärke erhöhen, bis Sie eine positive, positive Bestätigung von 100% erhalten.
Umfragen der Ergebnisse und weitere Verbesserung Ihrer LastPass-Sicherheit
Nachdem Sie die Liste der doppelten Kennwörter durchgebrannt, alte Einträge gelöscht und anderweitig aufgeräumt und Ihre Anmelde- / Kennwortliste gesichert haben, ist es an der Zeit, die Überprüfung erneut durchzuführen. Zur Betonung wurde die unten gezeigte Bewertung nur durch die Verbesserung der Kennwortsicherheit erhöht. (Wenn Sie zusätzliche Sicherheitsfunktionen wie die Multi-Faktor-Authentifizierung aktivieren, erhalten Sie eine Steigerung um etwa 10%.).
Nicht schlecht! Nachdem wir jedes doppelte Passwort entfernt und alle vorhandenen Passwörter auf eine Stärke von mindestens 90% gebracht haben, hat es unsere Punktzahl wirklich verbessert. Wenn Sie neugierig sind, warum es nicht zu 100% gestiegen ist, gibt es ein paar Faktoren, von denen die prominentesten sind, dass einige Passwörter aufgrund von dummen Richtlinien des LastPass-Standards niemals durch LastPass-Standards zum Schnupfen gebracht werden können Site-Administratoren. Das Anmeldekennwort meiner lokalen Bibliothek ist beispielsweise eine vierstellige PIN (die 4% der LastPass-Sicherheitsskala entspricht). Die meisten Leute werden eine Art Ausreißer wie diese in ihrer Liste haben und ihre Punktzahl nach unten ziehen.
In solchen Fällen ist es wichtig, sich nicht entmutigen zu lassen und Ihre detaillierte Aufgliederung als Messgröße zu verwenden:
Bei der Aktualisierung der Kennwörter habe ich 17 Duplikate / abgelaufene Websites gelöscht, ein eindeutiges Kennwort für jede Site und jeden Dienst erstellt und dabei die Anzahl der Sites mit doppelten Passwörtern von 43 auf 0 gesenkt.
Es dauerte nur etwa eine Stunde ernsthafter Konzentration (12,4% davon wurden mit dem Schimpfen von Website-Designern verbracht, die Links zur Kennwortaktualisierung an dunklen Orten anbrachten), und alles, was mich zur Motivation brachte, war ein Passwort-Verstoß mit katastrophalen Ausmaßen! Ich mache hier eine Notiz, großer Erfolg.
Jetzt, da Sie Ihre Passwörter geprüft haben und Sie über eine Vielzahl einzigartiger Passwörter verfügen, können wir diese Vorwärtsbewegung nutzen. Finden Sie unseren Leitfaden zur Erstellung von LastPass sogar sicherer, indem Sie die Kennwort-Iterationen erhöhen, Anmeldungen nach Land einschränken und vieles mehr. Zwischen dem Ausführen des hier beschriebenen Audits, dem LastPass-Sicherheitshandbuch und dem Aktivieren von Zwei-Faktor-Algorithmen steht ein kugelsicheres Kennwortverwaltungssystem zur Verfügung, auf das Sie stolz sein können.