Qual è il grande affare e perché questo è importante?
Nell'ottobre di quest'anno, Adobe ha rivelato che c'è stata una grave violazione della sicurezza che ha colpito 3 milioni di utenti dei software Adobe.com e Adobe. Quindi hanno rivisto il numero a 38 milioni. Poi, ancora più scioccante, quando il database dell'hack è trapelato, i ricercatori di sicurezza che hanno analizzato il database sono tornati e hanno detto che era più simile 150 milioni account utente compromessi. Questo grado di esposizione dell'utente mette la violazione Adobe in corso come una delle peggiori violazioni della sicurezza nella storia.
Ad ogni modo, Adobe non è da solo su questo fronte; abbiamo semplicemente aperto con la loro violazione perché è dolorosamente recente. Solo negli ultimi anni ci sono state dozzine di massicce violazioni della sicurezza in cui le informazioni dell'utente, incluse le password, sono state compromesse.
LinkedIn è stato colpito nel 2012 (6,46 milioni di record utente compromessi). Nello stesso anno, eHarmony è stata colpita (1,5 milioni di record di utenti) come Last.fm (6,5 milioni di record utente) e Yahoo! (450.000 record utente). La Sony Playstation Network è stata colpita nel 2011 (101 milioni di record utente compromessi). Gawker Media (la società madre di siti come Gizmodo e Lifehacker) è stata colpita nel 2010 (1,3 milioni di record utente compromessi). E quelli sono solo esempi di grandi violazioni che hanno fatto notizia!
The Privacy Rights Clearinghouse gestisce un database di violazioni della sicurezza dal 2005 ad oggi. Il loro database include una vasta gamma di tipi di violazione: carte di credito compromesse, numeri di sicurezza sociale rubati, password rubate e cartelle cliniche. Il database, come della pubblicazione di questo articolo, è composto da 4.033 violazioni contenente 617.937.023 record di utenti. Non tutte quelle centinaia di milioni di violazioni coinvolgevano le password degli utenti, ma milioni e milioni di persone lo facevano.
Quindi perché importa? A parte le ovvie e immediate implicazioni sulla sicurezza di una violazione, le violazioni creano un danno collaterale. Gli hacker possono immediatamente iniziare a testare gli accessi e le password che raccolgono su altri siti web.
La maggior parte delle persone è pigra con le loro password, e c'è una buona probabilità che se qualcuno usasse [email protected] con la password bob1979, la stessa coppia di login / password funzionerà su altri siti web. Se questi altri siti web hanno un profilo più elevato (come i siti bancari o se la password che ha utilizzato in Adobe sblocca effettivamente la sua casella di posta elettronica), allora c'è un problema. Una volta che qualcuno ha accesso alla tua casella di posta elettronica, può iniziare a reimpostare la password su altri servizi e ad accedervi.
L'unico modo per impedire questo tipo di reazione a catena di causare ancora più problemi di sicurezza all'interno della rete di siti Web e servizi che usi è seguire due regole cardine di buona igiene della password:
- La tua password e-mail dovrebbe essere lunga, forte e completamente unica tra tutti i tuoi accessi.
- Ogni login ottiene una password lunga, forte e unica. Nessun riutilizzo della password. Mai.
Queste due regole sono il punto di partenza di ogni guida alla sicurezza che abbiamo mai condiviso con te, inclusa la nostra guida di emergenza-ha-hit-the-fan Come recuperare dopo che la tua password email è stata compromessa.
A questo punto, probabilmente ti stai un po 'dimenando perché, francamente, quasi nessuno ha le pratiche e la sicurezza delle password perfettamente a tenuta d'aria. Non sei solo se manca l'igiene della password. In effetti, è il momento di una confessione.
Ho scritto dozzine di articoli sulla sicurezza, post su violazioni della sicurezza e altri post relativi alle password nel corso degli anni in cui sono stato su How-To Geek. Nonostante sia proprio il tipo di persona informata che dovrebbe conoscere meglio, nonostante l'utilizzo di un gestore di password e la generazione di password sicure per ogni nuovo sito Web e servizio, quando ho eseguito la mia e-mail attraverso l'elenco degli accessi Adobe compromessi e confrontato con la password compromessa, I ho ancora scoperto che mi ero bruciato.
Ho creato quell'account Adobe molto tempo fa quando ero molto più rilassato con la mia igiene della password e la password che usavo era comune a tutti dozzine di siti Web e servizi con cui mi ero registrato prima di diventare molto serio nel creare password valide.
Tutto ciò avrebbe potuto essere prevenuto se avessi esercitato pienamente ciò che predicavo e non solo creato password uniche e forti ma anche Ho verificato le mie vecchie password per garantire che questa situazione non sia mai accaduta. Che tu non abbia mai nemmeno tentato di essere coerente e sicuro con le tue pratiche di password o che tu debba semplicemente controllarle per metterti a tuo agio, un controllo completo delle password è il percorso verso la sicurezza delle password e la tranquillità. Continua a leggere mentre ti mostriamo come.
Preparazione per la tua sfida di sicurezza Lastpass
Questa guida non coprirà l'installazione di LastPass, quindi se non hai già un sistema LastPass attivo e funzionante, ti consigliamo vivamente di crearne uno. Per iniziare, consultare la Guida HTG per iniziare con LastPass. Sebbene LastPass sia aggiornato da quando abbiamo scritto la guida (l'interfaccia è molto più carina e ora è più snella), puoi comunque seguire i passaggi con facilità. Se stai configurando LastPass per la prima volta, assicurati di importarlotutti le password memorizzate dai tuoi browser, poiché il nostro obiettivo è quello di controllare ogni singola password che stai utilizzando.
Inserisci tutti i login e le password in LastPass:Se sei nuovo di zecca su LastPass o non lo hai utilizzato per tutti i login, ora è il momento di assicurarti di averlo inseritoogni accedi al sistema LastPass. Faremo eco al consiglio che abbiamo fornito nella nostra guida per il recupero della posta elettronica per il controllo della posta in arrivo per i promemoria:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Abilita l'autenticazione a due fattori sul tuo account LastPass: Questo passaggio non è strettamente necessario per eseguire l'audit di sicurezza, ma mentre abbiamo la tua attenzione faremo tutto il possibile per incoraggiarti, mentre stai facendo il giro del tuo account LastPass, per attivare l'autenticazione a due fattori proteggere ulteriormente il tuo deposito LastPass. (Non solo aumenta la sicurezza del tuo account, anche tu otterrai un aumento del tuo punteggio di sicurezza!)
Prendendo la sfida di sicurezza LastPass
Mentre dovresti prestare attenzione a tutte le statistiche qui, le più importanti sono "Forza media password", quanto è debole o forte la tua password media e, ancora più importante, "Numero di password duplicate" e "Numero di siti con password duplicate"”. Per la causa della mia verifica, c'erano 8 duplicati su 43 siti. Chiaramente ero stato piuttosto pigro riutilizzando la stessa password di bassa qualità su più di pochi siti.
Prossima fermata, la sezione Siti analizzati. Qui troverai una suddivisione molto concreta di tutti i tuoi accessi e password organizzati mediante l'uso di password duplicate (se hai duplicati), password univoche e infine accessi senza password memorizzati in LastPass. Mentre guardi oltre la lista, meraviglia il contrasto tra i punti di forza delle password. Nel mio caso, uno dei miei accessi finanziari è stato dato un Punteggio password del 45% mentre il login Minecraft di mia figlia ha ottenuto un punteggio perfetto del 100%. Di nuovo, ahi.
Risolvere il tuo terribile punteggio di sicurezza
A seconda di quante o poche password hai (e di quanto sei stato diligente sulle buone pratiche relative alle password), questo passaggio potrebbe richiedere dieci minuti o tutto il pomeriggio. Sebbene il processo di modifica delle password vari in base al layout del sito che stai aggiornando, ecco alcune linee guida generali da seguire (stiamo utilizzando il nostro aggiornamento della password su Remember the Milk come esempio): Visita la pagina di modifica della password. In genere è necessario inserire la password corrente e quindi generare una nuova password.
Infine, l'ultima cosa che devi controllare è la tua password master LastPass. Fare clic sul collegamento nella parte inferiore della schermata della sfida con l'etichetta "Verifica la forza della mia password master LastPass". Se non lo vedi:
Esame dei risultati e ulteriore miglioramento della sicurezza di LastPass
Dopo aver passato l'elenco delle password duplicate, cancellate le vecchie voci e in altro modo riordinato e protetto l'elenco di accesso / password, è ora di eseguire nuovamente la verifica. Ora, per dare enfasi, il punteggio che vedi qui sotto è stato portato solo migliorando la sicurezza della password. (Se abiliti funzionalità di sicurezza aggiuntive, come l'autenticazione a più fattori, riceverai un incremento di circa il 10%).
In questi casi, è importante non scoraggiarsi e utilizzare la suddivisione dettagliata come metrica:
Ci sono voluti solo un'ora di tempo seriamente concentrato (il 12,4% dei quali è stato speso maledire i progettisti di siti web che hanno inserito link di aggiornamento password in posti oscuri), e tutto ciò che serve per motivarmi è una violazione della password di proporzioni catastrofiche! Sto facendo un appunto qui, un enorme successo.
Ora che hai verificato le tue password e sei entusiasta di avere una stalla di password univoche, approfittiamo di questo slancio. Colpisci la nostra guida per creare LastPassanche più sicuro aumentando le iterazioni della password, limitando gli accessi per Paese e altro ancora. Tra l'esecuzione del controllo che abbiamo delineato qui, seguendo la nostra guida alla sicurezza di LastPass e attivando algoritmi a due fattori, avrai un sistema di gestione delle password a prova di proiettile di cui puoi essere orgoglioso.