Mājas lapa » » Kā palaist pēdējās caurlaides drošības revīziju (un kāpēc tā nevar gaidīt)

    Kā palaist pēdējās caurlaides drošības revīziju (un kāpēc tā nevar gaidīt)

    Ja jūs praktizējat paralēlas paroles vadību un higiēnu, tas ir tikai laika jautājums, kamēr viens no arvien lielākiem plaša mēroga drošības pārkāpumiem jums nodeg. Pietura būt pateicīgam, jūs dodged pagātnes drošības pārkāpumu lodes un bruņas sevi pret nākotnes. Lasiet, kā parādīsim, kā pārbaudīt savas paroles un aizsargāt sevi.

    Kas ir lielais darījums un kāpēc šis jautājums ir?

    Šā gada oktobrī Adobe atklāja, ka ir noticis būtisks drošības pārkāpums, kas skāra 3 miljonus Adobe.com un Adobe programmatūras lietotāju. Tad viņi pārskatīja numuru līdz 38 miljoniem. Tad, vēl vairāk satriecoši, kad noplūda datu bāze no hakeru, drošības pētnieki, kas analizēja datu bāzi, atgriezās un teica, ka tas ir vairāk līdzīgs 150 miljoni lietotāju konti. Šī lietotāja pakļaušanas pakāpe padara Adobe pārkāpumu par vienu no sliktākajiem vēstures drošības pārkāpumiem.

    Tomēr Adobe šajā jomā nav vienīgais; mēs vienkārši atklājām ar pārkāpumu, jo tas ir sāpīgi nesen. Tikai dažu pēdējo gadu laikā ir bijuši desmitiem masveida drošības pārkāpumu, ja lietotāju informācija, tostarp paroles, ir apdraudēta.

    LinkedIn tika skarts 2012. gadā (646 miljoni lietotāju ierakstu tika apdraudēti). Tajā pašā gadā eHarmony tika sasniegts (1,5 miljoni lietotāju ierakstu), tāpat kā Last.fm (6,5 miljoni lietotāju ierakstu) un Yahoo! (450 000 lietotāju ieraksti). Sony Playstation tīkls tika skarts 2011. gadā (101 miljoni lietotāju ierakstu tika apdraudēti). Gawker Media (vietņu, piemēram, Gizmodo un Lifehacker) mātes uzņēmums tika skarts 2010. gadā (1,3 miljoni lietotāju ierakstu tika apdraudēta). Un tie ir tikai piemēri lieliem pārkāpumiem, kas radīja ziņas!

    Privacy Rights Clearinghouse uztur datu bāzi par drošības pārkāpumiem no 2005. gada līdz pat šai dienai. To datu bāzē ir plašs pārkāpumu veidu klāsts: apdraudētas kredītkartes, nozagti sociālā nodrošinājuma numuri, nozagtas paroles un medicīniskie dati. Datubāzi, sākot ar šā panta publicēšanu, veido 4033 pārkāpumi satur 617 937 023 lietotāju ieraksti. Ne katrs no šiem simtiem miljonu pārkāpumu attiecās uz lietotāju parolēm, bet miljoniem no tiem miljoniem.

    Tad kāpēc tas ir svarīgi? Neraugoties uz pārkāpuma acīmredzamajām un tūlītējām sekām, pārkāpumi rada papildu kaitējumu. Hackers var nekavējoties sākt pārbaudīt pieteikšanās un paroles, ko tās iegūst citās tīmekļa vietnēs.

    Lielākā daļa cilvēku ir slinki ar savām parolēm, un ir laba iespēja, ka, ja kāds lietos [email protected] ar paroli bob1979, tas pats pieteikšanās / paroles pāris strādās citās tīmekļa vietnēs. Ja šīs citas tīmekļa vietnes ir augstākas profila (piemēram, bankas vietnes vai ja parole, ko viņš izmantojis programmā Adobe faktiski atbloķē savu e-pasta iesūtni), tad ir problēma. Kad kāds varēs piekļūt jūsu e-pasta iesūtnei, viņi var sākt atiestatīt citu pakalpojumu paroli un piekļūt tiem.

    Vienīgais veids, kā pārtraukt šāda veida ķēdes reakciju radīt vēl lielākas drošības problēmas tīmekļa vietņu un pakalpojumu tīklā, ir sekot diviem labas paroles higiēnas pamatnoteikumiem:

    1. Jūsu e-pasta parolei jābūt garai, spēcīgai un pilnīgi unikālai starp visiem jūsu pieteikumiem.
    2. Katrs pieteikšanās saņem garu, spēcīgu un unikālu paroli. Nav paroles atkārtotas izmantošanas. Kādreiz.

    Šie divi noteikumi ir izņemšana no katras drošības rokasgrāmatas, ko mēs jebkad esam kopējuši ar jums, ieskaitot mūsu avārijas vadlīnijas Kā atgūt pēc jūsu e-pasta paroles ir apdraudēta.

    Tagad šajā brīdī jūs, iespējams, mazliet satriecāt, jo, atklāti sakot, gandrīz nevienam nav pilnīgi hermētiskas paroles prakses un drošības. Jūs neesat viens pats, ja trūkst paroles higiēnas. Patiesībā ir pienācis laiks atzīties.

    Esmu rakstījis desmitiem drošības rakstu, ziņu par drošības pārkāpumiem un citus ar paroli saistītus ziņojumus, kas ir bijuši How-To Geek laikā. Neskatoties uz to, ka tieši tā ir informēta persona, kurai labāk jāzina, neraugoties uz to, ka izmantojat paroles pārvaldnieku un izveidojot drošas paroles katrai jaunai tīmekļa vietnei un pakalpojumam, kad es e-pastu izmantoju, izmantojot sarakstu ar apdraudētajiem Adobe pieteikumiem un saskaņojot to ar apdraudēto paroli, es joprojām uzzināju, ka esmu aizdedzinājis.

    Esmu izveidojis šo Adobe kontu jau sen, kad man bija daudz vieglāka ar savu paroles higiēnu, un mana parole man bija izplatīta visā desmitiem tīmekļa vietnēm un pakalpojumiem, kurus es pierakstīju, pirms es saņēmu super nopietnus labas paroles.

    To visu varēja novērst, ja es pilnībā praktizētu to, ko es sludināju, nevis tikai radīju unikālas un spēcīgas paroles arī pārbaudīja manas vecās paroles, lai nodrošinātu, ka šī situācija nekad nav notikusi. Vai jūs nekad neesat pat mēģinājis būt konsekventiem un drošiem ar savu paroli, vai arī jums vienkārši ir jāpārbauda, ​​vai tie ir vienkārši, rūpīga paroles pārbaude ir ceļš uz paroli un mieru. Lasiet, kā mēs jums parādīsim.

    Sagatavošanās Jūsu Lastpass drošības izaicinājumam

    Jūs varētu manuāli pārbaudīt savas paroles, bet tas būtu ārkārtīgi garlaicīgs, un jūs nevarētu gūt labumu no labas universālās paroles pārvaldnieka izmantošanas. Tā vietā, lai manuāli pārbaudītu visu, mēs veiksim vieglu un lielā mērā automatizētu maršrutu: mēs pārbaudīsim savas paroles, ņemot LastPass drošības izaicinājumu.

    Šī rokasgrāmata neattiecas uz LastPass iestatīšanu, tādēļ, ja jums vēl nav LastPass sistēmas un tā darbojas, mēs iesakām to iestatīt. Iepazīstieties ar HTG rokasgrāmatu, lai sāktu darbu ar LastPass. Lai gan LastPass ir atjauninājies kopš rokasgrāmatas sastādīšanas (saskarne ir daudz skaistāka un tagad ir labāk saprotama), jūs joprojām varat sekot soļiem viegli. Ja iestatāt LastPass pirmo reizi, pārliecinieties, ka importējat viss saglabātās paroles no jūsu pārlūkprogrammām, jo ​​mūsu mērķis ir pārbaudīt katru lietoto paroli.

    Ievadiet LastPass katru pieteikumvārdu un paroli: Neatkarīgi no tā, vai esat pavisam jauns ar LastPass, vai arī neesat to pilnībā izmantojis katram pieteikumam, tagad ir pienācis laiks pārliecināties, ka esat ievadījis katrs pierakstieties LastPass sistēmā. Mēs atkārtojam mūsu e-pasta atgūšanas rokasgrāmatā sniegtos ieteikumus, lai kombinētu jūsu e-pasta iesūtni atgādinājumiem:

    Meklējiet e-pasta ziņojumus, lai reģistrētos atgādinājumus. Nebūs grūti atcerēties jūsu bieži izmantotos pieteikumus, piemēram, Facebook un jūsu banku, bet, iespējams, ir vairāki desmiti pakalpojumu, kurus, iespējams, pat atceraties, ka izmantojat e-pastu, lai pieteiktos. Izmantojiet atslēgvārdu meklējumus, piemēram, “welcome to”, “reset”, “recovery”, “check”, “password”, “username”, “login”, “account” un to kombinācijas, piemēram, “reset password” vai “account” . Atkal, mēs zinām, ka tas ir apgrūtinošs, bet pēc tam, kad esat to izdarījis ar savu paroli, jums ir galvenais jūsu konta saraksts, un jums nekad nebūs jādara šis atslēgvārds..

    Iespējot divfaktoru autentifikāciju LastPass kontā: Šis solis nav obligāti nepieciešams, lai veiktu drošības revīziju, bet, kamēr mums ir jūsu uzmanība, mēs darīsim visu iespējamo, lai mudinātu jūs, kamēr jūs ielūkojāt LastPass kontā, ieslēgt divfaktoru autentifikāciju turpiniet nodrošināt LastPass velvi. (Ne tikai tas palielina jūsu konta drošību, bet arī palielināsies jūsu drošības audita rezultāts!)

    LastPass drošības izaicinājums

    Tagad, kad esat importējis visas savas paroles, ir pienācis laiks sevi pierādīt, ka nevajag būt par 1% no hardcore paroles drošības ninjas. Apmeklējiet lapu LastPass Security Challenge un lapas apakšā nospiediet “Start the Challenge”. Jums tiks piedāvāts ievadīt savu galveno paroli, kā redzams augstāk redzamajā attēlā, un tad LastPass piedāvās pārbaudīt, vai kāda no jūsu glabātavā iekļautajām e-pasta adresēm bija daļa no jebkādiem pārkāpumiem, kurus tā ir izsekojusi. Nav iemesla to neizmantot:

    Ja esat laimīgs, tas atgriež negatīvu. Ja esat laimīgs, jūs saņemat šādu uznirstošo logu, kurā tiek prasīts, vai vēlaties iegūt plašāku informāciju par jūsu e-pasta pārkāpumiem:

    LastPass katram gadījumam izdos vienu drošības ziņojumu. Ja jūsu e-pasta adrese jau ilgu laiku bijusi, būsiet gatavs būt satriekts par to, cik daudz parole ir pārkāpta. Šeit ir paziņojums par paroles pārkāpumu:

    Pēc uznirstošajiem logiem jums tiks dempings LastPass drošības izaicinājuma galvenajā panelī. Atcerieties agrāk rokasgrāmatā, kad es runāju par to, kā es pašlaik praktizēju labu paroles higiēnu, bet es nekad neesmu guvis apkārt, lai pareizi atjauninātu daudz vecāku tīmekļa vietņu un pakalpojumu? Tas patiešām tiek parādīts saņemtajā rezultātu. Ouch:

    Tas ir mans rezultāts ar gadu vērtīgu nejaušu paroļu sajaukumu. Neesiet pārāk šokēts, ja jūsu rezultāts ir vēl zemāks, ja jūs esat izmantojis to pašu vājš paroles atkal un atkal. Tagad, kad mums ir mūsu rezultāts (tomēr tas ir awesome vai apkaunojošs, tas varētu būt), ir pienācis laiks bakstīt datus. Jūs varat izmantot ātrās saites, kas atrodas blakus jūsu punktu skaitam vai vienkārši sākt ritināšanu. Vispirms pārbaudiet detalizētus rezultātus. Apsveriet šo 10 000 pēdu pārskatu par savu paroļu stāvokli:

    Lai gan jums ir jāpievērš uzmanība visiem šeit esošajiem statistikas datiem, patiešām svarīgākie ir “vidējā paroles stiprība”, cik vāja vai spēcīga ir jūsu vidējā parole un, vēl svarīgāk, “dublikātu paroļu skaits” un “vietņu skaits, kurām ir dublētas paroles ”. Manas revīzijas cēloņos 43 vietnēs bija 8 dupes. Skaidrs, ka man bija diezgan slinks, atkārtoti izmantojot to pašu zemas kvalitātes paroli vairāk nekā dažās vietnēs.

    Nākamā pietura, sadaļā Analizētās vietnes. Šeit jūs atradīsiet ļoti precīzu visu jūsu pieteikšanās un paroļu sadalījumu, ko organizē dublēt paroles lietošana (ja jums bija dublikāti), unikālās paroles un, visbeidzot, pieteikšanās bez paroles, kas saglabātas LastPass. Kamēr jūs meklējat sarakstu, apbrīnojiet kontrastu starp paroles stiprumiem. Manā gadījumā vienam no maniem finanšu pieteikumiem tika piešķirts 45% paroles rādītājs, savukārt manas meitas Minecraft pieteikumam tika piešķirts 100% rezultāts. Atkal,.

    Nosakot savu briesmīgo drošības izaicinājumu rezultātu

    Revīzijas sarakstos ir izveidotas divas ļoti noderīgas saites. Ja noklikšķināsiet uz “SHOW”, tas parādīs šīs vietnes paroli un, noklikšķinot uz “Visit Site”, jūs varat pāriet pa labi uz tīmekļa vietni, lai jūs varētu mainīt paroli. Ne tikai būtu jāmaina katras paroles dublikāts, bet arī jebkura parole, kas tika pievienota kontam, kurš tika pārkāpts (piemēram, Adobe.com vai LinkedIn), ir jāatstāj pastāvīgi..

    Atkarībā no tā, cik daudz vai vairākas paroles jums ir (un cik rūpīgi jūs esat bijis par labu paroles praksi), šis procesa solis var aizņemt desmit minūtes vai visu pēcpusdienu. Lai gan paroles maiņas process mainīsies atkarībā no atjaunojamās vietnes izkārtojuma, šeit ir dažas vispārīgas vadlīnijas, kas jāievēro (mēs izmantojam mūsu paroles atjauninājumu pie Atcerēties pienu kā piemēru). . Parasti jums vajadzēs ievadīt savu pašreizējo paroli un pēc tam ģenerēt jaunu paroli.

    Dariet to, noklikšķinot uz bloķēšanas ar apaļu bultiņu. LastPass ievieto jauno paroles slotu (kā redzams iepriekšējā attēlā). Apskatiet savu jauno paroli un veiciet korekcijas, ja vēlaties (piemēram, pagarinot vai pievienojot īpašas rakstzīmes):

    Noklikšķiniet uz “Lietot paroli” un pēc tam apstipriniet, ka vēlaties atjaunināt rediģēto ierakstu:

    Pārliecinieties, ka apstiprināt izmaiņas, izmantojot arī vietni. Atkārtojiet šo procesu katram LastPass velves dublējumam un vājai parolei.

    Visbeidzot, pēdējā lieta, kas jāpārbauda, ​​ir jūsu LastPass galvenā parole. Dariet to, noklikšķinot uz saites, kas atrodas ekrāna apakšējā daļā ar nosaukumu “Pārbaudīt manu LastPass Master Password stiprumu”. Ja jūs to neredzat:

    Jums ir nepieciešams atiestatīt savu LastPass galveno paroli un palielināt spēku, līdz saņemsiet jauku, pozitīvu un 100% spēka apstiprinājumu.

    Rezultātu izpēte un Jūsu LastPass drošības uzlabošana

    Pēc tam, kad esat nokļuvis dublēto paroļu sarakstā, izdzēsti veci ieraksti un citādi ir kārtoti un nodrošināti jūsu pieteikšanās / paroles saraksts, ir pienācis laiks vēlreiz veikt revīziju. Tagad, lai uzsvērtu, zemāk redzamais rezultāts tika audzēts tikai, uzlabojot paroles drošību. (Ja iespējojat papildu drošības funkcijas, piemēram, daudzfaktoru autentifikāciju, saņemsiet aptuveni 10% palielinājumu).

    Nav slikti! Pēc katras paroles dublikāta likvidēšanas un visu esošo paroļu līdz pat 90% stiprināšanai, tas patiešām uzlaboja mūsu rezultātu. Ja jūs esat ziņkārīgs, kāpēc tas nav pārlēkts uz 100%, ir daži faktori, no kuriem vissvarīgākais ir tas, ka dažas paroles nekad nevar pacelt no šņaucamās tabletes, izmantojot LastPass standartus, jo tā ir dumjota politika. vietņu administratori. Piemēram, manas vietējās bibliotēkas ieejas parole ir četrciparu taps (kas novērtē 4% LastPass drošības skalā). Lielākajai daļai cilvēku būs sava veida iznākumi savā sarakstā, un tas samazinās rezultātu.

    Šādos gadījumos ir svarīgi, lai jūs netiktu kavēti, un izmantot detalizētu sadalījumu kā metriku:

    Paroles atjaunināšanas procesā es izgriezu 17 dublikātus / derīguma termiņus, izveidoju unikālu paroli katrai vietnei un pakalpojumam, kā arī to, ka vietņu skaits ar dublētām parolēm ir samazinājies no 43 uz 0 šajā procesā.

    Tas aizņēma tikai aptuveni vienu stundu nopietnā laikā (12,4% no tiem tika izmantoti lāstu tīmekļa vietņu dizaineri, kas ielādēja paroles atjaunināšanas saites neskaidrā vietā), un viss, kas vajadzīgs, lai mani motivētu, bija katastrofālu proporciju parole! Es šeit piezīmju, milzīgus panākumus.

    Tagad, kad esat pārbaudījis jūsu paroles un esat sūknēts par to, ka jums ir unikāla parole, izmantojiet šo priekšu. Sasniedziet mūsu rokasgrāmatu par LastPass izgatavošanu pat drošāka, palielinot paroles iterācijas, ierobežojot pieteikšanās pa valstīm un vairāk. Laikā no revīzijas, kuru mēs šeit aprakstījām, sekojot mūsu LastPass drošības rokasgrāmatai un ieslēdzot divu faktoru algoritmus, jums būs drošs paroles pārvaldības sistēma, ar kuru var lepoties.

    Parādās plānotā uzdevuma izpilde bez komandu loga
    Kā palaist vienkāršu vietējo minecraft serveri (ar un bez moduļiem)
    Kā palaist DirectX diagnostiku XP
    Nākamais raksts
    Kā palaist vietējo minecraftu PE serveri izklaides un noturīgas pasaules celtniecībai
    Iepriekšējais raksts
    Kā palaist pilnīgu Linux darbvirsmu pārlūkprogrammas cilnē jūsu Chromebook datorā