Cara Menjalankan Audit Keamanan Pass Terakhir (dan Mengapa Tidak Bisa Menunggu)
Jika Anda mempraktikkan manajemen kata sandi yang longgar dan kebersihan, hanya masalah waktu sampai salah satu dari pelanggaran keamanan berskala besar yang semakin banyak membakar Anda. Berhentilah bersyukur Anda berhasil menghindari peluru menembus keamanan masa lalu dan melindungi diri dari peluru yang akan datang. Baca terus saat kami menunjukkan kepada Anda cara mengaudit kata sandi Anda dan melindungi diri Anda sendiri.
Apa Masalah Besar dan Mengapa Hal Ini Penting??
Pada bulan Oktober tahun ini, Adobe mengungkapkan bahwa telah terjadi pelanggaran keamanan besar yang memengaruhi 3 juta pengguna perangkat lunak Adobe.com dan Adobe. Kemudian mereka merevisi jumlahnya menjadi 38 juta. Kemudian, bahkan lebih mengejutkan, ketika database dari peretasan bocor, peneliti keamanan yang menganalisis basis data kembali dan mengatakan itu lebih seperti 150 juta akun pengguna yang dikompromikan. Tingkat paparan pengguna ini membuat pelanggaran Adobe dalam menjalankannya sebagai salah satu pelanggaran keamanan terburuk dalam sejarah.
Adobe hampir tidak sendirian di bagian depan ini; kami hanya membuka dengan pelanggaran mereka karena ini baru saja menyakitkan. Dalam beberapa tahun terakhir saja ada puluhan pelanggaran keamanan besar-besaran di mana informasi pengguna, termasuk kata sandi, telah disusupi.
LinkedIn terpukul pada 2012 (6,46 juta catatan pengguna dikompromikan). Pada tahun yang sama, eHarmony dipukul (1,5 juta catatan pengguna) seperti Last.fm (6,5 juta catatan pengguna) dan Yahoo! (450.000 catatan pengguna). Sony Playstation Network terpukul pada 2011 (101 juta catatan pengguna dikompromikan). Gawker Media (perusahaan induk dari situs-situs seperti Gizmodo dan Lifehacker) dipukul pada 2010 (1,3 juta catatan pengguna dikompromikan). Dan itu hanyalah contoh pelanggaran besar yang menjadi berita!
Privacy Rights Clearinghouse memiliki basis data pelanggaran keamanan dari tahun 2005 hingga saat ini. Basis data mereka mencakup berbagai jenis pelanggaran: kartu kredit yang dikompromikan, nomor jaminan sosial yang dicuri, kata sandi yang dicuri, dan catatan medis. Basis data, sejak publikasi artikel ini, terdiri dari 4.033 pelanggaran mengandung 617.937.023 catatan pengguna. Tidak setiap satu dari ratusan juta pelanggaran itu melibatkan kata sandi pengguna, tetapi jutaan demi jutaan melakukannya.
Jadi mengapa itu penting? Selain dari implikasi keamanan yang jelas dan langsung dari suatu pelanggaran, pelanggaran tersebut menciptakan kerusakan jaminan. Peretas dapat segera mulai menguji login dan kata sandi yang mereka panen di situs web lain.
Kebanyakan orang malas dengan kata sandi mereka, dan ada kemungkinan besar bahwa jika seseorang menggunakan [email protected] dengan kata sandi bob1979, bahwa pasangan login / kata sandi yang sama akan berfungsi di situs web lain. Jika situs-situs lain tersebut memiliki profil yang lebih tinggi (seperti situs perbankan atau jika kata sandi yang digunakannya di Adobe benar-benar membuka kotak masuk emailnya), maka ada masalah. Setelah seseorang memiliki akses ke kotak masuk email Anda, mereka dapat mulai mengatur ulang kata sandi pada layanan lain dan mendapatkan akses juga.
Satu-satunya cara untuk menghentikan reaksi berantai semacam ini dari menyebabkan lebih banyak masalah keamanan dalam jaringan situs web dan layanan yang Anda gunakan adalah dengan mengikuti dua aturan utama kebersihan kata sandi yang baik:
- Kata sandi email Anda harus panjang, kuat, dan sepenuhnya unik di antara semua login Anda.
- Setiap login mendapat kata sandi yang panjang, kuat, dan unik. Tidak ada kata sandi yang digunakan kembali. Pernah.
Kedua aturan tersebut adalah takeaway dari setiap panduan keamanan yang pernah kami bagikan dengan Anda, termasuk panduan darurat yang memiliki fitur-fan-the-fan Bagaimana Cara Memulihkan Setelah Email Anda Kata Sandi Disusupi.
Sekarang pada titik ini, Anda mungkin sedikit menggeliat karena, terus terang, hampir tidak ada orang yang memiliki praktik dan keamanan kata sandi kedap udara yang sempurna. Anda tidak sendirian jika kebersihan kata sandi Anda kurang. Sebenarnya, ini saatnya untuk pengakuan dosa.
Saya telah menulis lusinan artikel keamanan, posting tentang pelanggaran keamanan, dan posting terkait kata sandi lainnya selama bertahun-tahun saya berada di How-To Geek. Meskipun persis jenis orang yang tahu yang harus tahu lebih baik, meskipun menggunakan manajer kata sandi dan menghasilkan kata sandi aman untuk setiap situs web dan layanan baru, ketika saya menjalankan email saya melalui daftar login Adobe yang dikompromikan dan mencocokkannya dengan kata sandi yang dikompromikan, saya masih menemukan bahwa saya terbakar.
Saya membuat akun Adobe itu sejak lama ketika saya secara signifikan lebih longgar dengan kebersihan kata sandi saya, dan kata sandi yang saya gunakan adalah umum di puluhan situs web dan layanan yang telah saya daftarkan sebelum saya menjadi sangat serius membuat kata sandi yang baik.
Semua itu bisa dicegah jika saya sepenuhnya mempraktekkan apa yang saya khotbahkan dan tidak hanya membuat kata sandi yang unik dan kuat tetapi juga diaudit kata sandi lama saya untuk memastikan situasi ini tidak pernah terjadi sejak awal. Apakah Anda pernah mencoba untuk konsisten dan aman dengan praktik kata sandi Anda atau Anda hanya perlu memeriksanya untuk membuat diri Anda nyaman, audit kata sandi yang menyeluruh adalah jalan untuk keamanan kata sandi dan ketenangan pikiran. Baca terus saat kami menunjukkan caranya.
Mempersiapkan Tantangan Keamanan Lastpass Anda
Anda dapat secara manual mengaudit kata sandi Anda, tetapi itu akan sangat membosankan dan Anda tidak akan mendapatkan manfaat dari menggunakan pengelola kata sandi universal yang baik. Alih-alih mengaudit semuanya secara manual, kami akan mengambil rute yang mudah dan terotomatisasi: kami akan mengaudit kata sandi kami dengan mengambil Tantangan Keamanan LastPass.
Panduan ini tidak akan membahas pengaturan LastPass, jadi jika Anda belum menjalankan dan menjalankan sistem LastPass, kami sangat menyarankan Anda untuk mengaturnya. Lihat Panduan HTG untuk Memulai dengan LastPass untuk memulai. Meskipun LastPass telah diperbarui sejak kami menulis panduan (antarmuka jauh lebih cantik dan lebih efisien sekarang), Anda masih dapat mengikuti langkah-langkah dengan mudah. Jika Anda mengatur LastPass untuk pertama kalinya, pastikan untuk mengimpor semua kata sandi Anda yang tersimpan dari browser Anda, karena tujuan kami adalah untuk mengaudit setiap kata sandi yang Anda gunakan.
Masukkan setiap login dan kata sandi ke dalam LastPass: Apakah Anda baru dengan LastPass atau belum sepenuhnya menggunakannya untuk setiap login, sekaranglah saatnya untuk memastikan Anda telah masuk setiap masuk ke sistem LastPass. Kami akan mengulangi saran yang kami berikan di panduan pemulihan email kami untuk menyisir kotak masuk email Anda untuk pengingat:
Cari email Anda untuk pengingat pendaftaran. Tidak akan sulit untuk mengingat login yang sering Anda gunakan seperti Facebook dan bank Anda, tetapi ada kemungkinan puluhan layanan pengeluaran yang bahkan Anda mungkin tidak ingat bahwa Anda menggunakan email Anda untuk login. Gunakan pencarian kata kunci seperti "selamat datang", "reset", "pemulihan", "verifikasi", "kata sandi", "nama pengguna", "login", "akun" dan kombinasi seperti "setel ulang kata sandi" atau "verifikasi akun" . Sekali lagi, kami tahu ini merepotkan, tetapi setelah Anda melakukan ini dengan pengelola kata sandi di sisi Anda, Anda memiliki daftar induk semua akun Anda dan Anda tidak perlu lagi berburu kata kunci ini.
Aktifkan otentikasi dua faktor pada akun LastPass Anda: Langkah ini tidak sepenuhnya diperlukan untuk melakukan audit keamanan, tetapi sementara kami mendapatkan perhatian Anda, kami akan melakukan semua yang kami bisa untuk mendorong Anda, saat Anda mucking di dalam akun LastPass Anda, untuk mengaktifkan otentikasi dua faktor untuk lebih jauh mengamankan brankas LastPass Anda. (Tidak hanya meningkatkan keamanan akun Anda, Anda juga akan mendapat peningkatan dalam nilai audit keamanan Anda!)
Mengambil Tantangan Keamanan LastPass
Sekarang setelah Anda mengimpor semua kata sandi, sekarang saatnya untuk menguatkan diri Anda sendiri karena tidak ada 1% dari ninja keamanan kata sandi hardcore. Kunjungi halaman Tantangan Keamanan LastPass dan tekan "Mulai Tantangan" di bagian bawah halaman. Anda akan diminta memasukkan kata sandi utama Anda, seperti yang terlihat pada tangkapan layar di atas, dan LastPass akan menawarkan untuk memeriksa apakah ada alamat email yang ada di lemari besi Anda yang merupakan bagian dari setiap pelanggaran yang telah dilacak. Tidak ada alasan bagus untuk tidak memanfaatkan ini:
Jika Anda beruntung, hasilnya negatif. Jika Anda beruntung, Anda akan mendapat pop-up seperti ini yang menanyakan apakah Anda ingin informasi lebih lanjut tentang pelanggaran yang melibatkan email Anda:
LastPass akan mengeluarkan satu peringatan keamanan untuk setiap instance. Jika Anda sudah memiliki alamat email untuk waktu yang lama, bersiaplah untuk kaget dengan berapa banyak pelanggaran kata sandi yang telah dilibatkan. Berikut adalah contoh pemberitahuan pelanggaran kata sandi:
Setelah pop-up, Anda akan dibuang ke panel utama Tantangan Keamanan LastPass. Ingat sebelumnya dalam panduan ini ketika saya berbicara tentang bagaimana saat ini saya mempraktikkan kebersihan kata sandi yang baik tetapi saya tidak pernah sempat memperbarui banyak situs web dan layanan yang lebih lama dengan benar? Itu benar-benar menunjukkan skor yang saya terima. Aduh:
Itu adalah skor saya dengan kata sandi acak senilai bertahun-tahun. Jangan terlalu kaget jika skor Anda bahkan lebih rendah jika Anda telah menggunakan beberapa kata sandi lemah yang sama berulang kali. Sekarang kita memiliki skor kita (betapapun mengagumkan atau memalukannya itu), saatnya untuk menggali data. Anda dapat menggunakan tautan cepat di samping persentase skor Anda atau mulai menggulir. Perhentian pertama, mari kita periksa hasil terperinci. Pertimbangkan ini ikhtisar 10.000 kaki tentang keadaan kata sandi Anda:
Meskipun Anda harus memperhatikan semua statistik di sini, yang paling penting adalah "Kekuatan kata sandi rata-rata", seberapa lemah atau kuat kata sandi rata-rata Anda dan, yang lebih penting, "Jumlah kata sandi duplikat" dan "Jumlah situs yang memiliki kata sandi duplikat ” Dalam penyebab audit saya, ada 8 dupes di 43 situs. Jelas saya cukup malas menggunakan kembali kata sandi tingkat rendah yang sama di lebih dari beberapa situs.
Perhentian berikutnya, bagian Situs yang dianalisis. Di sini Anda akan menemukan perincian yang sangat nyata dari semua login dan kata sandi Anda yang diatur oleh penggunaan kata sandi duplikat (jika Anda memiliki duplikat), kata sandi unik, dan akhirnya, login tanpa kata sandi yang disimpan di LastPass. Saat Anda melihat daftar, kagumi perbedaan antara kekuatan kata sandi. Dalam kasus saya, salah satu login keuangan saya diberi Skor Kata Sandi 45% sedangkan info masuk Minecraft anak saya diberi nilai 100% sempurna. Sekali lagi, aduh.
Memperbaiki Skor Tantangan Keamanan Anda yang Mengerikan
Ada dua tautan sangat berguna yang dibangun langsung ke dalam daftar audit. Jika Anda mengklik "TAMPILKAN" itu akan menampilkan kata sandi untuk situs itu dan jika Anda mengklik "Kunjungi Situs" Anda dapat melompat langsung ke situs web sehingga Anda dapat mengubah kata sandi. Tidak hanya setiap kata sandi rangkap harus diubah, tetapi kata sandi apa pun yang dilampirkan ke akun yang dilanggar (seperti Adobe.com atau LinkedIn) harus dihentikan secara permanen.
Bergantung pada seberapa banyak atau sedikit kata sandi yang Anda miliki (dan seberapa rajin Anda menerapkan kata sandi yang baik), langkah proses ini mungkin akan memakan waktu sepuluh menit atau sepanjang sore. Meskipun proses mengubah kata sandi Anda akan bervariasi berdasarkan tata letak situs yang Anda perbarui, berikut adalah beberapa panduan umum untuk diikuti (kami menggunakan pembaruan kata sandi kami di Remember the Milk sebagai contoh): Kunjungi halaman penggantian kata sandi . Biasanya Anda harus memasukkan kata sandi saat ini dan kemudian menghasilkan kata sandi baru.
Lakukan dengan mengklik logo kunci-dengan-panah-bundar. LastPass memasukkan slot kata sandi baru (seperti terlihat pada gambar di atas). Lihatlah kata sandi baru Anda dan sesuaikan jika Anda menginginkannya (seperti memperpanjang atau menambahkan karakter khusus):
Klik "Gunakan Kata Sandi" dan kemudian konfirmasikan bahwa Anda ingin memperbarui entri yang sedang Anda edit:
Pastikan untuk mengonfirmasi perubahan dengan situs web juga. Ulangi proses ini untuk setiap kata sandi duplikat dan lemah di brankas LastPass Anda.
Akhirnya, hal terakhir yang perlu Anda audit adalah Kata Sandi Master LastPass Anda. Lakukan dengan mengklik tautan di bagian bawah layar Tantangan berlabel "Uji kekuatan Kata Sandi Master LastPass saya". Jika Anda tidak melihat ini:
Anda perlu mengatur ulang Kata Sandi Master LastPass Anda dan meningkatkan kekuatan sampai Anda menerima konfirmasi kekuatan yang bagus, positif, 100%.
Survei Hasil dan Lebih Meningkatkan Keamanan LastPass Anda
Setelah Anda membaca daftar kata sandi duplikat, menghapus entri lama, dan merapikan dan mengamankan daftar login / kata sandi Anda, sekarang saatnya untuk menjalankan audit lagi. Sekarang, untuk penekanan, skor yang Anda lihat di bawah ini dibesarkan semata-mata dengan meningkatkan keamanan kata sandi. (Jika Anda mengaktifkan fitur keamanan tambahan, seperti otentikasi multi-faktor, Anda akan menerima peningkatan sekitar 10%).
Tidak buruk! Setelah menghilangkan setiap kata sandi rangkap dan membawa semua kata sandi yang ada hingga kekuatan 90% atau lebih baik, itu benar-benar meningkatkan skor kami. Jika Anda penasaran mengapa tidak melonjak hingga 100%, ada beberapa faktor yang berperan, yang paling menonjol di antaranya adalah bahwa beberapa kata sandi tidak akan pernah bisa dihilangkan dengan standar LastPass karena kebijakan konyol yang diterapkan administrator situs. Misalnya, kata sandi masuk perpustakaan lokal saya adalah pin empat digit (yang mendapat skor 4% pada skala keamanan LastPass). Kebanyakan orang akan memiliki semacam outlier seperti itu dalam daftar mereka dan itu akan menurunkan skor mereka.
Dalam kasus seperti itu, penting untuk tidak berkecil hati, dan menggunakan rincian Anda sebagai metrik:
Dalam proses pembaruan kata sandi, saya memangkas 17 situs duplikat / kedaluwarsa, membuat kata sandi unik untuk setiap situs dan layanan, dan menurunkan jumlah situs dengan kata sandi duplikat dari 43 menjadi 0 dalam proses.
Hanya butuh sekitar satu jam waktu yang benar-benar fokus (12,4% dari yang dihabiskan untuk mengutuk desainer situs web yang menempatkan tautan pembaruan kata sandi di tempat-tempat yang tidak jelas), dan semua yang diperlukan untuk membuat saya termotivasi adalah pelanggaran sandi dengan proporsi bencana! Saya membuat catatan di sini, sukses besar.
Sekarang setelah Anda mengaudit kata sandi dan Anda dipompa untuk memiliki kestabilan kata sandi unik, mari manfaatkan momentum ke depan itu. Kunjungi panduan kami untuk membuat LastPass bahkan lebih aman dengan meningkatkan iterasi kata sandi, membatasi login berdasarkan negara, dan banyak lagi. Antara menjalankan audit yang kami uraikan di sini, mengikuti panduan keamanan LastPass kami, dan mengaktifkan dua faktor algoritma, Anda akan memiliki sistem manajemen kata sandi antipeluru yang dapat Anda banggakan.