Come eseguire un controllo di sicurezza Last Pass (e perché non può attendere)

Sommario:

Come eseguire un controllo di sicurezza Last Pass (e perché non può attendere)
Come eseguire un controllo di sicurezza Last Pass (e perché non può attendere)

Video: Come eseguire un controllo di sicurezza Last Pass (e perché non può attendere)

Video: Come eseguire un controllo di sicurezza Last Pass (e perché non può attendere)
Video: Most Satisfying Machines and Ingenious Tools #3 - YouTube 2024, Maggio
Anonim
Se stai praticando la gestione e l'igiene della password lassista, è solo una questione di tempo prima che una delle sempre più numerose violazioni della sicurezza su larga scala ti brucia. Smettila di essere grato di aver schivato le pallottole della sicurezza precedente e di armarti contro quelle future. Continua a leggere mentre ti mostriamo come controllare le tue password e proteggerti.
Se stai praticando la gestione e l'igiene della password lassista, è solo una questione di tempo prima che una delle sempre più numerose violazioni della sicurezza su larga scala ti brucia. Smettila di essere grato di aver schivato le pallottole della sicurezza precedente e di armarti contro quelle future. Continua a leggere mentre ti mostriamo come controllare le tue password e proteggerti.

Qual è il grande affare e perché questo è importante?

Image
Image

Nell'ottobre di quest'anno, Adobe ha rivelato che c'è stata una grave violazione della sicurezza che ha colpito 3 milioni di utenti dei software Adobe.com e Adobe. Quindi hanno rivisto il numero a 38 milioni. Poi, ancora più scioccante, quando il database dell'hack è trapelato, i ricercatori di sicurezza che hanno analizzato il database sono tornati e hanno detto che era più simile 150 milioni account utente compromessi. Questo grado di esposizione dell'utente mette la violazione Adobe in corso come una delle peggiori violazioni della sicurezza nella storia.

Ad ogni modo, Adobe non è da solo su questo fronte; abbiamo semplicemente aperto con la loro violazione perché è dolorosamente recente. Solo negli ultimi anni ci sono state dozzine di massicce violazioni della sicurezza in cui le informazioni dell'utente, incluse le password, sono state compromesse.

LinkedIn è stato colpito nel 2012 (6,46 milioni di record utente compromessi). Nello stesso anno, eHarmony è stata colpita (1,5 milioni di record di utenti) come Last.fm (6,5 milioni di record utente) e Yahoo! (450.000 record utente). La Sony Playstation Network è stata colpita nel 2011 (101 milioni di record utente compromessi). Gawker Media (la società madre di siti come Gizmodo e Lifehacker) è stata colpita nel 2010 (1,3 milioni di record utente compromessi). E quelli sono solo esempi di grandi violazioni che hanno fatto notizia!

The Privacy Rights Clearinghouse gestisce un database di violazioni della sicurezza dal 2005 ad oggi. Il loro database include una vasta gamma di tipi di violazione: carte di credito compromesse, numeri di sicurezza sociale rubati, password rubate e cartelle cliniche. Il database, come della pubblicazione di questo articolo, è composto da 4.033 violazioni contenente 617.937.023 record di utenti. Non tutte quelle centinaia di milioni di violazioni coinvolgevano le password degli utenti, ma milioni e milioni di persone lo facevano.

Quindi perché importa? A parte le ovvie e immediate implicazioni sulla sicurezza di una violazione, le violazioni creano un danno collaterale. Gli hacker possono immediatamente iniziare a testare gli accessi e le password che raccolgono su altri siti web.

La maggior parte delle persone è pigra con le loro password, e c'è una buona probabilità che se qualcuno usasse [email protected] con la password bob1979, la stessa coppia di login / password funzionerà su altri siti web. Se questi altri siti web hanno un profilo più elevato (come i siti bancari o se la password che ha utilizzato in Adobe sblocca effettivamente la sua casella di posta elettronica), allora c'è un problema. Una volta che qualcuno ha accesso alla tua casella di posta elettronica, può iniziare a reimpostare la password su altri servizi e ad accedervi.

L'unico modo per impedire questo tipo di reazione a catena di causare ancora più problemi di sicurezza all'interno della rete di siti Web e servizi che usi è seguire due regole cardine di buona igiene della password:

  1. La tua password e-mail dovrebbe essere lunga, forte e completamente unica tra tutti i tuoi accessi.
  2. Ogni login ottiene una password lunga, forte e unica. Nessun riutilizzo della password. Mai.

Queste due regole sono il punto di partenza di ogni guida alla sicurezza che abbiamo mai condiviso con te, inclusa la nostra guida di emergenza-ha-hit-the-fan Come recuperare dopo che la tua password email è stata compromessa.

A questo punto, probabilmente ti stai un po 'dimenando perché, francamente, quasi nessuno ha le pratiche e la sicurezza delle password perfettamente a tenuta d'aria. Non sei solo se manca l'igiene della password. In effetti, è il momento di una confessione.

Ho scritto dozzine di articoli sulla sicurezza, post su violazioni della sicurezza e altri post relativi alle password nel corso degli anni in cui sono stato su How-To Geek. Nonostante sia proprio il tipo di persona informata che dovrebbe conoscere meglio, nonostante l'utilizzo di un gestore di password e la generazione di password sicure per ogni nuovo sito Web e servizio, quando ho eseguito la mia e-mail attraverso l'elenco degli accessi Adobe compromessi e confrontato con la password compromessa, I ho ancora scoperto che mi ero bruciato.

Ho creato quell'account Adobe molto tempo fa quando ero molto più rilassato con la mia igiene della password e la password che usavo era comune a tutti dozzine di siti Web e servizi con cui mi ero registrato prima di diventare molto serio nel creare password valide.

Tutto ciò avrebbe potuto essere prevenuto se avessi esercitato pienamente ciò che predicavo e non solo creato password uniche e forti ma anche Ho verificato le mie vecchie password per garantire che questa situazione non sia mai accaduta. Che tu non abbia mai nemmeno tentato di essere coerente e sicuro con le tue pratiche di password o che tu debba semplicemente controllarle per metterti a tuo agio, un controllo completo delle password è il percorso verso la sicurezza delle password e la tranquillità. Continua a leggere mentre ti mostriamo come.

Preparazione per la tua sfida di sicurezza Lastpass

È possibile controllare manualmente le password, ma sarebbe estremamente noioso e non si otterrebbe alcun vantaggio dall'utilizzo di un buon gestore di password universale. Invece di controllare manualmente tutto, faremo il percorso facile e in gran parte automatizzato: controlleremo le nostre password prendendo la sfida di sicurezza LastPass.
È possibile controllare manualmente le password, ma sarebbe estremamente noioso e non si otterrebbe alcun vantaggio dall'utilizzo di un buon gestore di password universale. Invece di controllare manualmente tutto, faremo il percorso facile e in gran parte automatizzato: controlleremo le nostre password prendendo la sfida di sicurezza LastPass.

Questa guida non coprirà l'installazione di LastPass, quindi se non hai già un sistema LastPass attivo e funzionante, ti consigliamo vivamente di crearne uno. Per iniziare, consultare la Guida HTG per iniziare con LastPass. Sebbene LastPass sia aggiornato da quando abbiamo scritto la guida (l'interfaccia è molto più carina e ora è più snella), puoi comunque seguire i passaggi con facilità. Se stai configurando LastPass per la prima volta, assicurati di importarlotutti le password memorizzate dai tuoi browser, poiché il nostro obiettivo è quello di controllare ogni singola password che stai utilizzando.

Inserisci tutti i login e le password in LastPass:Se sei nuovo di zecca su LastPass o non lo hai utilizzato per tutti i login, ora è il momento di assicurarti di averlo inseritoogni accedi al sistema LastPass. Faremo eco al consiglio che abbiamo fornito nella nostra guida per il recupero della posta elettronica per il controllo della posta in arrivo per i promemoria:

Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Abilita l'autenticazione a due fattori sul tuo account LastPass: Questo passaggio non è strettamente necessario per eseguire l'audit di sicurezza, ma mentre abbiamo la tua attenzione faremo tutto il possibile per incoraggiarti, mentre stai facendo il giro del tuo account LastPass, per attivare l'autenticazione a due fattori proteggere ulteriormente il tuo deposito LastPass. (Non solo aumenta la sicurezza del tuo account, anche tu otterrai un aumento del tuo punteggio di sicurezza!)

Prendendo la sfida di sicurezza LastPass

Ora che hai importato tutte le tue password, è il momento di prepararti per la vergogna di non trovarti nell'1% dei ninja per la sicurezza delle password. Visita la pagina Sfida di sicurezza LastPass e premi "Inizia la sfida" nella parte inferiore della pagina. Ti verrà richiesto di inserire la tua password principale, come mostrato nello screenshot qui sopra, e LastPass ti offrirà di controllare se uno qualsiasi degli indirizzi e-mail contenuti nel tuo vault fosse parte di eventuali violazioni che ha tracciato. Non c'è una buona ragione per non approfittarne:
Ora che hai importato tutte le tue password, è il momento di prepararti per la vergogna di non trovarti nell'1% dei ninja per la sicurezza delle password. Visita la pagina Sfida di sicurezza LastPass e premi "Inizia la sfida" nella parte inferiore della pagina. Ti verrà richiesto di inserire la tua password principale, come mostrato nello screenshot qui sopra, e LastPass ti offrirà di controllare se uno qualsiasi degli indirizzi e-mail contenuti nel tuo vault fosse parte di eventuali violazioni che ha tracciato. Non c'è una buona ragione per non approfittarne:
Se sei fortunato, restituisce un risultato negativo. Se sei fortunato, ottieni un pop-up come questo che ti chiede se vuoi maggiori informazioni sulle violazioni di cui è stata coinvolta la tua email:
Se sei fortunato, restituisce un risultato negativo. Se sei fortunato, ottieni un pop-up come questo che ti chiede se vuoi maggiori informazioni sulle violazioni di cui è stata coinvolta la tua email:
LastPass pubblicherà un singolo avviso di sicurezza per ogni istanza. Se hai avuto il tuo indirizzo e-mail per un lungo periodo, sii pronto a rimanere scioccato dal numero di violazioni della password in cui è stato ingarbugliato. Ecco un esempio di avviso di violazione della password:
LastPass pubblicherà un singolo avviso di sicurezza per ogni istanza. Se hai avuto il tuo indirizzo e-mail per un lungo periodo, sii pronto a rimanere scioccato dal numero di violazioni della password in cui è stato ingarbugliato. Ecco un esempio di avviso di violazione della password:
Dopo i popup, verrai scaricato nel pannello principale di LastPass Security Challenge. Ricordate in precedenza nella guida quando ho parlato di come attualmente pratico l'igiene delle password ma non sono mai riuscito ad aggiornare correttamente molti siti Web e servizi precedenti? Mostra davvero nel punteggio che ho ricevuto. Ahia:
Dopo i popup, verrai scaricato nel pannello principale di LastPass Security Challenge. Ricordate in precedenza nella guida quando ho parlato di come attualmente pratico l'igiene delle password ma non sono mai riuscito ad aggiornare correttamente molti siti Web e servizi precedenti? Mostra davvero nel punteggio che ho ricevuto. Ahia:
Questo è il mio punteggio con anni di password casuali mischiati. Non essere troppo scioccato se il tuo punteggio è ancora più basso se hai usato la stessa manciata di password deboli più e più volte. Ora che abbiamo il nostro punteggio (per quanto fantastico o vergognoso possa essere), è tempo di scavare nei dati. È possibile utilizzare i collegamenti rapidi accanto alla percentuale del punteggio o semplicemente iniziare a scorrere. Prima tappa, vediamo i risultati dettagliati. Considera questa una panoramica di 10.000 piedi sullo stato delle tue password:
Questo è il mio punteggio con anni di password casuali mischiati. Non essere troppo scioccato se il tuo punteggio è ancora più basso se hai usato la stessa manciata di password deboli più e più volte. Ora che abbiamo il nostro punteggio (per quanto fantastico o vergognoso possa essere), è tempo di scavare nei dati. È possibile utilizzare i collegamenti rapidi accanto alla percentuale del punteggio o semplicemente iniziare a scorrere. Prima tappa, vediamo i risultati dettagliati. Considera questa una panoramica di 10.000 piedi sullo stato delle tue password:
Image
Image

Mentre dovresti prestare attenzione a tutte le statistiche qui, le più importanti sono "Forza media password", quanto è debole o forte la tua password media e, ancora più importante, "Numero di password duplicate" e "Numero di siti con password duplicate"”. Per la causa della mia verifica, c'erano 8 duplicati su 43 siti. Chiaramente ero stato piuttosto pigro riutilizzando la stessa password di bassa qualità su più di pochi siti.

Prossima fermata, la sezione Siti analizzati. Qui troverai una suddivisione molto concreta di tutti i tuoi accessi e password organizzati mediante l'uso di password duplicate (se hai duplicati), password univoche e infine accessi senza password memorizzati in LastPass. Mentre guardi oltre la lista, meraviglia il contrasto tra i punti di forza delle password. Nel mio caso, uno dei miei accessi finanziari è stato dato un Punteggio password del 45% mentre il login Minecraft di mia figlia ha ottenuto un punteggio perfetto del 100%. Di nuovo, ahi.

Risolvere il tuo terribile punteggio di sicurezza

Ci sono due link molto utili incorporati nelle liste di controllo. Se si fa clic su "MOSTRA", verrà visualizzata la password per quel sito e se si fa clic su "Visita sito" è possibile passare direttamente al sito Web in modo da poter modificare la password. Non solo ogni password duplicata deve essere cambiata, ma qualsiasi password che è stata collegata a un account che è stato violato (come Adobe.com o LinkedIn) deve essere ritirato in modo permanente.
Ci sono due link molto utili incorporati nelle liste di controllo. Se si fa clic su "MOSTRA", verrà visualizzata la password per quel sito e se si fa clic su "Visita sito" è possibile passare direttamente al sito Web in modo da poter modificare la password. Non solo ogni password duplicata deve essere cambiata, ma qualsiasi password che è stata collegata a un account che è stato violato (come Adobe.com o LinkedIn) deve essere ritirato in modo permanente.

A seconda di quante o poche password hai (e di quanto sei stato diligente sulle buone pratiche relative alle password), questo passaggio potrebbe richiedere dieci minuti o tutto il pomeriggio. Sebbene il processo di modifica delle password vari in base al layout del sito che stai aggiornando, ecco alcune linee guida generali da seguire (stiamo utilizzando il nostro aggiornamento della password su Remember the Milk come esempio): Visita la pagina di modifica della password. In genere è necessario inserire la password corrente e quindi generare una nuova password.

Farlo cliccando sul logo della serratura con freccia circolare.LastPass si inserisce nel nuovo slot della password (come mostrato nella schermata sopra). Controlla la tua nuova password e apporta le modifiche se lo desideri (ad esempio allungandolo o aggiungendo caratteri speciali):
Farlo cliccando sul logo della serratura con freccia circolare.LastPass si inserisce nel nuovo slot della password (come mostrato nella schermata sopra). Controlla la tua nuova password e apporta le modifiche se lo desideri (ad esempio allungandolo o aggiungendo caratteri speciali):
Fai clic su "Usa password" e quindi conferma di voler aggiornare la voce che stai modificando:
Fai clic su "Usa password" e quindi conferma di voler aggiornare la voce che stai modificando:
Assicurati di confermare anche il cambiamento con il sito web. Ripeti il processo per ogni password duplicata e debole nel tuo deposito LastPass.
Assicurati di confermare anche il cambiamento con il sito web. Ripeti il processo per ogni password duplicata e debole nel tuo deposito LastPass.

Infine, l'ultima cosa che devi controllare è la tua password master LastPass. Fare clic sul collegamento nella parte inferiore della schermata della sfida con l'etichetta "Verifica la forza della mia password master LastPass". Se non lo vedi:

Devi resettare la tua password master LastPass e aumentare la forza finché non ricevi una conferma positiva, positiva, al 100%.
Devi resettare la tua password master LastPass e aumentare la forza finché non ricevi una conferma positiva, positiva, al 100%.

Esame dei risultati e ulteriore miglioramento della sicurezza di LastPass

Dopo aver passato l'elenco delle password duplicate, cancellate le vecchie voci e in altro modo riordinato e protetto l'elenco di accesso / password, è ora di eseguire nuovamente la verifica. Ora, per dare enfasi, il punteggio che vedi qui sotto è stato portato solo migliorando la sicurezza della password. (Se abiliti funzionalità di sicurezza aggiuntive, come l'autenticazione a più fattori, riceverai un incremento di circa il 10%).

Non male! Dopo aver eliminato ogni password duplicata e portato tutte le password esistenti fino al 90% di forza o meglio, ha davvero migliorato il nostro punteggio. Se sei curioso di sapere perché non è salito al 100%, ci sono alcuni fattori in gioco, il più importante dei quali è che alcune password non possono mai essere eliminate dagli standard LastPass a causa di politiche sciocche in atto da parte degli utenti. amministratori del sito. Ad esempio, la password di login della mia biblioteca locale è un pin di quattro cifre (che segna un 4% sulla scala di sicurezza LastPass). La maggior parte delle persone avrà una sorta di outlier del genere nella loro lista e questo trascinerà il loro punteggio verso il basso.
Non male! Dopo aver eliminato ogni password duplicata e portato tutte le password esistenti fino al 90% di forza o meglio, ha davvero migliorato il nostro punteggio. Se sei curioso di sapere perché non è salito al 100%, ci sono alcuni fattori in gioco, il più importante dei quali è che alcune password non possono mai essere eliminate dagli standard LastPass a causa di politiche sciocche in atto da parte degli utenti. amministratori del sito. Ad esempio, la password di login della mia biblioteca locale è un pin di quattro cifre (che segna un 4% sulla scala di sicurezza LastPass). La maggior parte delle persone avrà una sorta di outlier del genere nella loro lista e questo trascinerà il loro punteggio verso il basso.

In questi casi, è importante non scoraggiarsi e utilizzare la suddivisione dettagliata come metrica:

Nel processo di aggiornamento della password ho sfoltito 17 siti duplicati / scaduti, creato una password univoca per ogni sito e servizio e ho portato il numero di siti con password duplicate da 43 a 0 nel processo.
Nel processo di aggiornamento della password ho sfoltito 17 siti duplicati / scaduti, creato una password univoca per ogni sito e servizio e ho portato il numero di siti con password duplicate da 43 a 0 nel processo.

Ci sono voluti solo un'ora di tempo seriamente concentrato (il 12,4% dei quali è stato speso maledire i progettisti di siti web che hanno inserito link di aggiornamento password in posti oscuri), e tutto ciò che serve per motivarmi è una violazione della password di proporzioni catastrofiche! Sto facendo un appunto qui, un enorme successo.

Ora che hai verificato le tue password e sei entusiasta di avere una stalla di password univoche, approfittiamo di questo slancio. Colpisci la nostra guida per creare LastPassanche più sicuro aumentando le iterazioni della password, limitando gli accessi per Paese e altro ancora. Tra l'esecuzione del controllo che abbiamo delineato qui, seguendo la nostra guida alla sicurezza di LastPass e attivando algoritmi a due fattori, avrai un sistema di gestione delle password a prova di proiettile di cui puoi essere orgoglioso.

Consigliato:

Perché il riavvio del router risolve così tanti problemi (e perché è necessario attendere 10 secondi)

Perché il riavvio del router risolve così tanti problemi (e perché è necessario attendere 10 secondi)

Internet non funziona, ma sai cosa fare: scollega il router o il modem, attendi dieci secondi, quindi ricollegalo. È una seconda natura a questo punto, ma perché funziona davvero? E c'è un po 'di magia nel numero dieci?

Che cosa può fare e cosa non può fare la Starter 2010 Starter Edition?

Che cosa può fare e cosa non può fare la Starter 2010 Starter Edition?

Microsoft Office 2010 Starter Edition può fare le seguenti cose, ma è supportato da pubblicità e presenta alcune limitazioni!

Il file non può essere salvato perché non è stato possibile leggere il file di origine

Il file non può essere salvato perché non è stato possibile leggere il file di origine

Se non riesci a scaricare e vedi che appdata local temp non può essere salvata perché il file di origine non può essere letto errore in Firefox, ecco cosa devi fare.

Errore: il servizio non può accettare messaggi di controllo in questo momento

Errore: il servizio non può accettare messaggi di controllo in questo momento

Se si riceve l'errore 1061 Il servizio non può accettare messaggi di controllo in questo momento durante il tentativo di eseguire IIS, C # o qualsiasi altro programma vedere questo post. Ciò accade perché il servizio di informazioni sull'applicazione non risponde alle richieste di aumentare le applicazioni all'amministratore in Windows 10.

Questa app non può essere aperta mentre il Controllo account utente è disattivato

Questa app non può essere aperta mentre il Controllo account utente è disattivato

Se non è possibile aprire un'app mentre Controllo account utente è disattivato in Windows 10 e si riceve un messaggio Questa app non può essere aperta o attivata quando UAC è disabilitato, ecco come abilitare il controllo dell'account utente.