If-Koubou

Cara Menjalankan Audit Keamanan Laluan Terakhir (dan Mengapa Tidak Dapat Ditunggu)

Cara Menjalankan Audit Keamanan Laluan Terakhir (dan Mengapa Tidak Dapat Ditunggu) (Bagaimana caranya)

Jika Anda mempraktekkan manajemen kata sandi yang lemah dan kebersihan, hanya masalah waktu sampai salah satu dari sekian banyak pelanggaran keamanan skala besar membakar Anda. Berhentilah merasa bersyukur, Anda menghindari pelanggar keamanan masa lalu dan melindungi diri sendiri dengan yang akan datang. Baca terus selagi kami tunjukkan cara mengaudit kata sandi dan melindungi diri Anda.

Apa Big Deal dan Mengapa Apakah Hal ini?

Pada bulan Oktober tahun ini, Adobe mengungkapkan bahwa telah terjadi pelanggaran keamanan besar yang mempengaruhi 3 juta pengguna Adobe.com dan perangkat lunak Adobe. Kemudian mereka merevisi jumlahnya menjadi 38 juta. Kemudian, lebih mengejutkan lagi, ketika database dari peretasan bocor, peneliti keamanan yang menganalisa database kembali dan mengatakan itu lebih seperti 150 juta akun pengguna yang disusupi. Tingkat paparan pengguna ini menempatkan pelanggaran Adobe dalam operasi sebagai salah satu pelanggaran keamanan terburuk dalam sejarah.

Adobe tidak sendirian di bagian depan ini; kami hanya membuka dengan pelanggaran mereka karena baru-baru ini sangat menyakitkan. Dalam beberapa tahun terakhir saja ada puluhan pelanggaran keamanan besar-besaran di mana informasi pengguna, termasuk kata sandi, telah dikompromikan.

LinkedIn dipukul pada tahun 2012 (6,46 juta catatan pengguna dikompromikan). Pada tahun yang sama, eHarmony dipukuli (1,5 juta catatan pengguna) seperti Last.fm (6,5 juta catatan pengguna) dan Yahoo! (450.000 catatan pengguna). Sony Playstation Network dipukul pada tahun 2011 (101 juta catatan pengguna dikompromikan). Gawker Media (perusahaan induk dari situs seperti Gizmodo dan Lifehacker) dipukul pada tahun 2010 (1,3 juta catatan pengguna dikompromikan). Dan itu hanyalah contoh pelanggaran besar yang membuat berita!

Privacy Rights Clearinghouse menyimpan database pelanggaran keamanan dari tahun 2005 hingga sekarang. Database mereka mencakup berbagai jenis pelanggaran: kartu kredit yang dikompromikan, nomor jaminan sosial yang dicuri, sandi yang dicuri, dan catatan medis. Database, sejak publikasi artikel ini, terdiri dari 4.033 pelanggaran mengandung 617,937,023 catatan pengguna. Tidak setiap satu dari ratusan juta pelanggaran itu melibatkan kata sandi pengguna, tetapi jutaan dari mereka melakukannya.

Jadi mengapa itu penting? Selain implikasi keamanan yang jelas dan segera dari pelanggaran, pelanggaran menciptakan kerusakan agunan. Peretas dapat segera mulai menguji login dan kata sandi yang mereka panen di situs web lain.

Kebanyakan orang malas dengan kata sandinya, dan ada peluang bagus jika seseorang menggunakan [email protected] dengan kata sandi bob1979, bahwa pasangan login / kata sandi yang sama akan bekerja di situs web lain. Jika situs web lain tersebut memiliki profil yang lebih tinggi (seperti situs perbankan atau jika kata sandi yang digunakan di Adobe benar-benar membuka kotak masuk emailnya), maka ada masalah. Setelah seseorang memiliki akses ke kotak masuk email Anda, mereka dapat mulai mengatur ulang kata sandi pada layanan lain dan mendapatkan akses ke mereka juga.

Satu-satunya cara untuk menghentikan reaksi berantai semacam ini dari menyebabkan lebih banyak masalah keamanan dalam jaringan situs web dan layanan yang Anda gunakan adalah mengikuti dua aturan utama kebersihan kata sandi yang baik:

  1. Kata sandi email Anda harus panjang, kuat, dan benar-benar unik di antara semua info masuk Anda.
  2. Setiap login mendapat kata sandi yang panjang, kuat, dan unik. Tidak ada penggunaan kembali kata sandi.Pernah.

Kedua aturan tersebut adalah takeaway dari setiap panduan keamanan yang pernah kami bagikan dengan Anda, termasuk panduan darurat kami yang telah dipukul-the-fan-nya. Cara Memulihkan Setelah Kata Sandi Email Anda Terganggu.

Sekarang pada titik ini, Anda mungkin menggeliat sedikit karena, sejujurnya, hampir tidak ada orang yang memiliki praktik kata sandi dan keamanan yang sangat ketat. Anda tidak sendirian jika kebersihan kata sandi Anda kurang. Sebenarnya, ini waktunya untuk pengakuan.

Saya telah menulis lusinan artikel keamanan, posting tentang pelanggaran keamanan, dan posting yang berhubungan dengan sandi lainnya selama bertahun-tahun saya sudah di How-To Geek. Meskipun merupakan jenis orang yang berpengetahuan yang seharusnya tahu lebih baik, meskipun menggunakan pengelola kata sandi dan membuat kata sandi aman untuk setiap situs web dan layanan baru, ketika saya menjalankan email saya melalui daftar login Adobe yang diretas dan mencocokkannya dengan kata sandi yang disusupi, saya masih menemukan bahwa aku telah terbakar.

Saya membuat akun Adobe itu sejak lama ketika saya secara signifikan lebih lemah dengan kata sandi kebersihan saya, dan kata sandi yang saya gunakan adalah hal biasa di puluhan situs web dan layanan yang telah saya daftar sebelumnya sebelum saya benar-benar serius membuat sandi yang bagus.

Semua itu dapat dicegah jika saya sepenuhnya mempraktekkan apa yang saya khotbahkan dan bukan hanya menciptakan kata sandi yang unik dan kuat tetapi juga dia mengaudit kata sandi lama saya untuk memastikan situasi ini tidak pernah terjadi di tempat pertama. Apakah Anda pernah mencoba untuk konsisten dan aman dengan praktik kata sandi Anda atau Anda hanya perlu memeriksanya untuk membuat Anda nyaman, audit kata sandi yang menyeluruh adalah jalan menuju keamanan kata sandi dan ketenangan pikiran. Baca terus selagi kami tunjukkan caranya.

Mempersiapkan Tantangan Keamanan Jalan Pintas Anda

Anda dapat secara manual mengaudit kata sandi Anda, tetapi itu akan sangat membosankan dan Anda tidak akan memperoleh manfaat menggunakan pengelola kata sandi universal yang baik. Daripada mengaudit semuanya secara manual, kita akan mengambil rute yang mudah dan sebagian besar otomatis: kita akan mengaudit kata sandi kita dengan mengambil Tantangan Keamanan LastPass.

Panduan ini tidak akan mencakup pengaturan LastPass, jadi jika Anda belum memiliki sistem LastPass dan berjalan, kami sangat menyarankan Anda untuk menyiapkannya. Lihat Panduan HTG untuk Memulai dengan LastPass untuk memulai.Meskipun LastPass telah diperbarui sejak kami menulis panduan (antarmuka jauh lebih bagus dan lebih efisien saat ini), Anda tetap dapat mengikuti langkah-langkahnya dengan mudah. Jika Anda menyiapkan LastPass untuk pertama kalinya, pastikan untuk mengimporsemua kata sandi yang disimpan dari browser Anda, karena tujuan kami adalah untuk mengaudit setiap kata sandi yang Anda gunakan.

Masukkan setiap login dan kata sandi ke LastPass:Apakah Anda baru menggunakan LastPass atau Anda belum sepenuhnya menggunakannya untuk setiap login, sekarang adalah waktu untuk memastikan Anda telah masuksetiap login ke sistem LastPass. Kami akan mengulangi saran yang kami berikan di panduan pemulihan email kami untuk menyisir kotak masuk email Anda untuk pengingat:

Cari email Anda untuk pengingat pendaftaran.Tidak akan sulit untuk mengingat login yang sering digunakan seperti Facebook dan bank Anda, tetapi ada kemungkinan puluhan layanan penghamparan yang Anda bahkan tidak ingat bahwa Anda menggunakan email untuk masuk. Gunakan pencarian kata kunci seperti "selamat datang", "reset", "pemulihan", "verifikasi", "kata sandi", "nama pengguna", "masuk", "akun" dan kombinasi di sana seperti "reset kata sandi" atau "verifikasi akun" . Sekali lagi, kami tahu ini merepotkan, tetapi setelah Anda melakukan ini dengan pengelola kata sandi di sisi Anda, Anda memiliki daftar utama dari semua akun Anda dan Anda tidak perlu melakukan pencarian kata kunci ini lagi.

Aktifkan autentikasi dua faktor di akun LastPass Anda: Langkah ini tidak benar-benar diperlukan untuk melakukan audit keamanan, tetapi sementara kami memiliki perhatian Anda, kami akan melakukan segala yang kami bisa untuk mendorong Anda, saat Anda menyia-nyiakan uang di akun LastPass Anda, untuk mengaktifkan otentikasi dua faktor ke lebih jauh amankan brankas LastPass Anda. (Tidak hanya meningkatkan keamanan akun Anda, Anda juga akan mendapatkan peningkatan dalam skor audit keamanan Anda!)

Mengambil Tantangan Keamanan LastPass

Sekarang setelah Anda mengimpor semua kata sandi Anda, inilah saatnya untuk menahan diri karena malu karena tidak berada dalam 1% ninja keamanan kata sandi hardcore. Kunjungi halaman Tantangan Keamanan LastPass dan tekan "Mulai Tantangan" di bagian bawah halaman. Anda akan diminta untuk memasukkan kata sandi utama Anda, seperti yang terlihat pada gambar di atas, dan kemudian LastPass akan menawarkan untuk memeriksa apakah ada alamat email yang terkandung dalam lemari besi Anda adalah bagian dari setiap pelanggaran yang dilacaknya. Tidak ada alasan kuat untuk tidak memanfaatkan ini:

Jika Anda beruntung, hasilnya negatif. Jika Anda beruntung, Anda mendapatkan munculan seperti ini menanyakan apakah Anda ingin informasi lebih lanjut tentang pelanggaran email Anda terlibat dalam:

LastPass akan mengeluarkan satu peringatan keamanan untuk setiap kejadian. Jika Anda sudah lama memiliki alamat surel Anda, bersiaplah untuk terkejut melihat berapa banyak kata sandi yang dilanggar. Berikut ini contoh pemberitahuan pelanggaran kata sandi:

Setelah munculan, Anda akan dibuang ke panel utama Tantangan Keamanan LastPass. Ingat sebelumnya di panduan ketika saya berbicara tentang bagaimana saya saat ini mempraktekkan kebersihan kata sandi yang baik tetapi saya tidak pernah sempat memperbarui banyak situs web dan layanan yang lama? Itu benar-benar menunjukkan dalam skor yang saya terima. Aduh:

Itu adalah skor saya dengan sandi acak bertahun-tahun yang tercampur. Jangan terlalu kaget jika skor Anda bahkan lebih rendah jika Anda telah menggunakan sandi yang lemah yang sama berulang kali. Sekarang kami memiliki skor kami (betapapun mengagumkan atau memalukannya), inilah saatnya untuk menggali data. Anda dapat menggunakan tautan cepat di samping persentase skor Anda atau mulai gulir. Perhentian pertama, mari kita periksa hasil terperinci. Pertimbangkan ini ikhtisar 10.000 kaki dari keadaan kata sandi Anda:

Meskipun Anda harus memperhatikan semua statistik di sini, yang benar-benar penting adalah "Kekuatan kata sandi rata-rata", seberapa lemah atau kuat kata sandi rata-rata Anda dan, bahkan lebih penting lagi, "Jumlah kata sandi duplikat" dan "Jumlah situs yang memiliki kata sandi ganda ". Dalam penyebab audit saya, ada 8 penipuan di 43 situs. Jelas saya sangat malas menggunakan kembali kata sandi tingkat rendah yang sama di lebih dari beberapa situs.

Perhentian selanjutnya, bagian Situs yang Dianalisa. Di sini Anda akan menemukan pemecahan yang sangat konkret dari semua login dan kata sandi Anda yang diatur oleh penggunaan kata sandi duplikat (jika Anda memiliki duplikat), kata sandi unik, dan akhirnya, login tanpa kata sandi yang disimpan di LastPass. Saat Anda melihat daftar, kagumi kontras antara kekuatan kata sandi. Dalam kasus saya, salah satu login keuangan saya diberi Sandi Skor 45% sementara login Minecraft putri saya diberi nilai sempurna 100%. Sekali lagi, aduh.

Memperbaiki Skor Tantangan Keamanan Terrible Anda

Ada dua tautan yang sangat berguna yang dibangun langsung ke dalam daftar audit. Jika Anda mengklik "TAMPILKAN" itu akan menunjukkan kata sandi untuk situs itu dan jika Anda mengklik "Kunjungi Situs" Anda dapat melompat langsung ke situs web sehingga Anda dapat mengubah kata sandi. Tidak hanya setiap kata sandi duplikat harus diubah, tetapi kata sandi yang dilampirkan ke akun yang dilanggar (seperti Adobe.com atau LinkedIn) harus dihentikan secara permanen.

Bergantung pada berapa banyak atau sedikit kata sandi yang Anda miliki (dan seberapa rajinnya Anda tentang praktik kata sandi yang baik), langkah proses ini mungkin membutuhkan waktu sepuluh menit atau sepanjang sore. Meskipun proses mengubah kata sandi Anda akan bervariasi berdasarkan tata letak situs yang Anda perbarui, berikut adalah beberapa panduan umum untuk diikuti (kami menggunakan pembaruan kata sandi kami di Remember the Milk sebagai contoh): Kunjungi halaman perubahan kata sandi . Biasanya Anda perlu memasukkan kata sandi Anda saat ini dan kemudian membuat kata sandi baru.

Lakukan dengan mengklik logo kunci-dengan-melingkar-panah.LastPass memasukkan ke dalam slot kata sandi baru (seperti yang terlihat pada gambar di atas). Lihat kata sandi baru Anda dan buat penyesuaian jika Anda menginginkannya (seperti memperpanjang atau menambah karakter khusus):

Klik "Gunakan Kata Sandi" dan kemudian konfirmasikan Anda ingin memperbarui entri yang Anda edit:

Pastikan untuk mengonfirmasi perubahan dengan situs web juga. Ulangi proses untuk setiap kata sandi duplikat dan lemah di lemari besi LastPass Anda.

Akhirnya, hal terakhir yang perlu Anda audit adalah Kata Sandi Utama MasterPass Anda. Lakukan dengan mengklik tautan di bagian bawah layar Tantangan berlabel "Uji kekuatan Kata Sandi Tuanku LastPass". Jika Anda tidak melihat ini:

Anda perlu mengatur ulang Kata Sandi Tuan MasterPass Anda dan meningkatkan kekuatan sampai Anda menerima konfirmasi kekuatan yang bagus, positif, 100%.

Menyurvei Hasil dan Meningkatkan Lebih Lanjut Keamanan LastPass Anda

Setelah Anda menemukan daftar kata sandi duplikat, menghapus entri lama, dan jika tidak merapikan dan mengamankan daftar login / kata sandi Anda, inilah saatnya untuk menjalankan audit kembali. Sekarang, untuk penekanan, skor yang Anda lihat di bawah ini dibawakan semata-mata dengan meningkatkan keamanan kata sandi. (Jika Anda mengaktifkan fitur keamanan tambahan, seperti otentikasi multi-faktor, Anda akan menerima dorongan sekitar 10%).

Tidak buruk! Setelah menghilangkan setiap kata sandi duplikat dan membawa semua kata sandi yang ada hingga kekuatan 90% atau lebih baik, itu benar-benar meningkatkan skor kami. Jika Anda penasaran mengapa tidak melonjak hingga 100%, ada beberapa faktor yang berperan, yang paling menonjol di antaranya adalah bahwa beberapa kata sandi tidak akan pernah dapat dihilangkan oleh standar LastPass karena kebijakan konyol yang diterapkan oleh administrator situs. Sebagai contoh, kata sandi login perpustakaan lokal saya adalah pin empat digit (yang skor 4% pada skala keamanan LastPass). Kebanyakan orang akan memiliki semacam outlier seperti itu dalam daftar mereka dan itu akan menurunkan skor mereka.

Dalam kasus seperti itu, penting untuk tidak berkecil hati, dan menggunakan rincian rinci Anda sebagai metrik:

Dalam proses pembaruan kata sandi, saya memangkas 17 situs duplikat / kedaluwarsa, membuat kata sandi unik untuk setiap situs dan layanan, dan membawa jumlah situs dengan kata sandi duplikat turun dari 43 ke 0 dalam prosesnya.

Hanya butuh sekitar satu jam waktu yang terfokus serius (12,4% dihabiskan untuk mengutuk para perancang situs web yang memasang tautan pembaruan kata sandi di tempat-tempat yang tidak jelas), dan yang dibutuhkan untuk membuat saya termotivasi adalah pelanggaran kata sandi dari proporsi bencana! Saya membuat catatan di sini, sukses besar.

Sekarang Anda telah mengaudit kata sandi Anda dan Anda terpompa tentang memiliki kata sandi yang unik, mari manfaatkan momentum ke depan itu. Hit up panduan kami untuk membuat LastPassbahkan lebih aman dengan meningkatkan pengulangan kata sandi, membatasi proses masuk berdasarkan negara, dan banyak lagi. Antara menjalankan audit yang kami uraikan di sini, mengikuti panduan keamanan LastPass kami, dan mengaktifkan algoritma dua-faktor, Anda akan memiliki sistem manajemen kata sandi antipeluru yang dapat Anda banggakan.