Como executar uma auditoria de segurança do Last Pass (e por que ela não pode esperar)

Índice:

Como executar uma auditoria de segurança do Last Pass (e por que ela não pode esperar)
Como executar uma auditoria de segurança do Last Pass (e por que ela não pode esperar)

Vídeo: Como executar uma auditoria de segurança do Last Pass (e por que ela não pode esperar)

Vídeo: Como executar uma auditoria de segurança do Last Pass (e por que ela não pode esperar)
Vídeo: Minecraft Live 2020: Full Show - YouTube 2024, Maio
Anonim
Se você está praticando o gerenciamento e a higiene frouxa de senhas, é só uma questão de tempo até que uma das violações de segurança em grande escala cada vez mais numerosas queimem você. Pare de agradecer por ter evitado as últimas balas de segurança e se blindar contra as futuras. Leia como mostramos como auditar suas senhas e se proteger.
Se você está praticando o gerenciamento e a higiene frouxa de senhas, é só uma questão de tempo até que uma das violações de segurança em grande escala cada vez mais numerosas queimem você. Pare de agradecer por ter evitado as últimas balas de segurança e se blindar contra as futuras. Leia como mostramos como auditar suas senhas e se proteger.

Qual é o grande negócio e por que isso importa?

Image
Image

Em outubro deste ano, a Adobe revelou que houve uma grande falha de segurança que afetou 3 milhões de usuários do Adobe.com e do software da Adobe. Então eles revisaram o número para 38 milhões. Então, ainda mais chocante, quando o banco de dados do hack foi vazado, pesquisadores de segurança que analisaram o banco de dados voltaram e disseram que era mais como 150 milhões contas de usuário comprometidas. Esse grau de exposição do usuário coloca a violação da Adobe em funcionamento como uma das piores violações de segurança do histórico.

No entanto, a Adobe não está sozinha nessa frente; nós simplesmente abrimos com a brecha porque é dolorosamente recente. Nos últimos anos, houve dezenas de violações de segurança em massa, onde as informações do usuário, incluindo senhas, foram comprometidas.

LinkedIn foi atingido em 2012 (6,46 milhões de registros de usuários comprometidos). No mesmo ano, o eHarmony foi atingido (1,5 milhão de registros de usuários), assim como o Last.fm (6,5 milhões de registros de usuários) e o Yahoo! (450.000 registros de usuário). A Sony Playstation Network foi atingida em 2011 (101 milhões de registros de usuários comprometidos). A Gawker Media (controladora de sites como Gizmodo e Lifehacker) foi atingida em 2010 (1,3 milhão de registros de usuários comprometidos). E esses são apenas exemplos de grandes violações que fizeram as notícias!

A Privacy Rights Clearinghouse mantém um banco de dados de violações de segurança de 2005 até o presente. Seu banco de dados inclui uma ampla gama de tipos de violações: cartões de crédito comprometidos, números de segurança social roubados, senhas roubadas e registros médicos. A base de dados, a partir da publicação deste artigo, é composta por 4.033 violações contendo 617.937.023 registros de usuários. Nem todas as centenas de milhões de violações envolviam senhas de usuários, mas milhões e milhões delas envolviam.

Então por que isso importa? Além das implicações óbvias e imediatas de segurança de uma violação, as violações criam danos colaterais. Os hackers podem começar imediatamente a testar os logins e senhas que coletam em outros sites.

A maioria das pessoas é preguiçosa com suas senhas, e há uma boa chance de que, se alguém usou [email protected] com a senha bob1979, que o mesmo par login / senha funcione em outros sites. Se esses outros sites forem de perfil mais alto (como sites bancários ou se a senha que ele usou na Adobe realmente desbloquear sua caixa de entrada de e-mail), haverá um problema. Quando alguém tiver acesso à sua caixa de entrada de e-mail, ela poderá começar a redefinir a senha em outros serviços e também terá acesso a ela.

A única maneira de impedir que esse tipo de reação em cadeia cause ainda mais problemas de segurança dentro da rede de sites e serviços que você usa é seguir duas regras principais de boa higiene de senhas:

  1. Sua senha de e-mail deve ser longa, forte e completamente única entre todos os seus logins.
  2. Cada o login recebe uma senha longa, forte e exclusiva. Nenhuma reutilização de senha. Sempre.

Essas duas regras são o takeaway de todos os guias de segurança que já compartilhamos com você, incluindo o nosso guia de emergência, como o hit-the-fan Como recuperar depois que a senha do seu email é comprometida.

Agora, neste momento, você provavelmente está se contorcendo um pouco porque, francamente, quase ninguém tem práticas de senha e segurança perfeitamente seguras. Você não está sozinho se a sua senha de higiene está faltando. Na verdade, é hora de uma confissão.

Escrevi dezenas de artigos de segurança, postagens sobre violações de segurança e outros posts relacionados a senhas ao longo dos anos em que estive no How-To Geek. Apesar de ser precisamente o tipo de pessoa informada que deveria saber melhor, apesar de usar um gerenciador de senhas e gerar senhas seguras para cada novo site e serviço, quando corri meu e-mail pela lista de logins comprometidos da Adobe e combinei com a senha comprometida, Ainda descobri que eu tinha me queimado.

Eu fiz essa conta da Adobe há muito tempo atrás quando eu estava significativamente mais relaxado com a minha senha de higiene, e a senha que eu usei era comum dúzias de websites e serviços com os quais eu me inscrevi antes de ficar super sério em fazer boas senhas.

Tudo isso poderia ter sido evitado se eu praticasse totalmente o que eu pregava e não apenas criasse senhas únicas e fortes, mas Além disso auditado minhas senhas antigas para garantir que esta situação nunca aconteceu em primeiro lugar. Se você nunca tentou ser consistente e seguro com suas práticas de senhas ou precisa apenas fazer check-ups para se sentir à vontade, uma auditoria completa de senhas é o caminho para a segurança de senhas e tranquilidade. Leia como mostramos como.

Preparando-se para o seu desafio de segurança Lastpass

Você poderia manualmente auditar suas senhas, mas isso seria muito tedioso e você não obteria nenhum dos benefícios de usar um bom gerenciador de senhas universal. Em vez de fazer a auditoria manualmente de tudo, seguiremos o caminho fácil e amplamente automatizado: auditaremos nossas senhas fazendo o LastPass Security Challenge.
Você poderia manualmente auditar suas senhas, mas isso seria muito tedioso e você não obteria nenhum dos benefícios de usar um bom gerenciador de senhas universal. Em vez de fazer a auditoria manualmente de tudo, seguiremos o caminho fácil e amplamente automatizado: auditaremos nossas senhas fazendo o LastPass Security Challenge.

Este guia não cobre a configuração do LastPass, por isso, se você ainda não tem um sistema LastPass instalado, recomendamos que você configure um. Confira o Guia HTG para Introdução ao LastPass para começar. Embora o LastPass tenha atualizado desde que escrevemos o guia (a interface é muito mais bonita e melhor otimizada agora), você ainda pode seguir os passos com facilidade. Se você estiver configurando o LastPass pela primeira vez, não se esqueça de importartodos suas senhas armazenadas em seus navegadores, pois nossa meta é auditar cada senha que você está usando.

Digite cada login e senha no LastPass:Independentemente de você ser novo no LastPass ou de não tê-lo usado totalmente em todos os logins, agora é a hora de garantir que você tenha entradocada faça o login no sistema LastPass. Vamos repetir os conselhos que demos em nosso guia de recuperação de e-mail para vasculhar sua caixa de entrada de e-mail em busca de lembretes:

Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

Ative a autenticação de dois fatores na sua conta do LastPass: Essa etapa não é estritamente necessária para realizar a auditoria de segurança, mas, embora tenhamos sua atenção, faremos tudo o que pudermos para encorajá-lo, enquanto estiver usando sua conta do LastPass, para ativar a autenticação de dois fatores para proteja ainda mais o seu cofre LastPass. (Isso não apenas aumenta a segurança da sua conta, mas também aumenta sua pontuação na auditoria de segurança!)

Tomando o desafio de segurança LastPass

Agora que você importou todas as suas senhas, é hora de se preparar para a vergonha de não estar presente nos 1% dos ninjas de segurança por senha. Visite a página do Desafio de Segurança do LastPass e pressione "Iniciar o Desafio" na parte inferior da página. Você será solicitado a inserir sua senha mestra, conforme visto na captura de tela acima, e, em seguida, o LastPass oferecerá para verificar se algum dos endereços de e-mail contidos no seu cofre fazia parte de qualquer violação que tenha rastreado. Não há uma boa razão para não tirar vantagem disso:
Agora que você importou todas as suas senhas, é hora de se preparar para a vergonha de não estar presente nos 1% dos ninjas de segurança por senha. Visite a página do Desafio de Segurança do LastPass e pressione "Iniciar o Desafio" na parte inferior da página. Você será solicitado a inserir sua senha mestra, conforme visto na captura de tela acima, e, em seguida, o LastPass oferecerá para verificar se algum dos endereços de e-mail contidos no seu cofre fazia parte de qualquer violação que tenha rastreado. Não há uma boa razão para não tirar vantagem disso:
Se tiver sorte, retorna um negativo. Se tiver sorte, você receberá um pop-up como este, perguntando se deseja mais informações sobre as violações em que seu e-mail esteve envolvido:
Se tiver sorte, retorna um negativo. Se tiver sorte, você receberá um pop-up como este, perguntando se deseja mais informações sobre as violações em que seu e-mail esteve envolvido:
O LastPass emitirá um único alerta de segurança para cada instância. Se você já tem seu endereço de e-mail há muito tempo, esteja preparado para ficar chocado com a quantidade de violações de senha em que ele está confuso. Veja um exemplo de um aviso de violação de senha:
O LastPass emitirá um único alerta de segurança para cada instância. Se você já tem seu endereço de e-mail há muito tempo, esteja preparado para ficar chocado com a quantidade de violações de senha em que ele está confuso. Veja um exemplo de um aviso de violação de senha:
Depois dos pop-ups, você será colocado no painel principal do LastPass Security Challenge. Lembre-se de que, no início do guia, falei sobre como atualmente pratico uma boa higiene com senhas, mas que nunca atualizei adequadamente muitos sites e serviços antigos da Web. Isso realmente mostra a pontuação que recebi. Ouch:
Depois dos pop-ups, você será colocado no painel principal do LastPass Security Challenge. Lembre-se de que, no início do guia, falei sobre como atualmente pratico uma boa higiene com senhas, mas que nunca atualizei adequadamente muitos sites e serviços antigos da Web. Isso realmente mostra a pontuação que recebi. Ouch:
Essa é a minha pontuação com anos de senhas aleatórias misturadas. Não fique muito chocado se sua pontuação for ainda menor se você estiver usando o mesmo punhado de senhas fracas repetidas vezes. Agora que temos nossa pontuação (por mais incrível ou vergonhosa que seja), é hora de pesquisar os dados. Você pode usar os links rápidos ao lado de sua porcentagem de pontuação ou apenas iniciar a rolagem. Primeira parada, vamos verificar os resultados detalhados. Considere isto uma visão geral de 10.000 pés do estado de suas senhas:
Essa é a minha pontuação com anos de senhas aleatórias misturadas. Não fique muito chocado se sua pontuação for ainda menor se você estiver usando o mesmo punhado de senhas fracas repetidas vezes. Agora que temos nossa pontuação (por mais incrível ou vergonhosa que seja), é hora de pesquisar os dados. Você pode usar os links rápidos ao lado de sua porcentagem de pontuação ou apenas iniciar a rolagem. Primeira parada, vamos verificar os resultados detalhados. Considere isto uma visão geral de 10.000 pés do estado de suas senhas:
Embora você deva prestar atenção a todas as estatísticas aqui, as mais importantes são “Força média da senha”, quão fraca ou forte é sua senha média e, ainda mais importante, “Número de senhas duplicadas” e “Número de sites com senhas duplicadas
Embora você deva prestar atenção a todas as estatísticas aqui, as mais importantes são “Força média da senha”, quão fraca ou forte é sua senha média e, ainda mais importante, “Número de senhas duplicadas” e “Número de sites com senhas duplicadas

Próxima parada, a seção Sites Analisados. Aqui você encontrará uma análise muito concreta de todos os seus logins e senhas organizados por uso de senha duplicada (se você tiver duplicatas), senhas exclusivas e, finalmente, logins sem uma senha armazenada no LastPass. Enquanto você observa a lista, fique maravilhado com o contraste entre os pontos fortes da senha. No meu caso, um dos meus logins financeiros recebeu uma pontuação de senha de 45%, enquanto o login de Minecraft da minha filha recebeu uma pontuação perfeita de 100%. Mais uma vez, ai.

Consertando sua terrível pontuação no desafio de segurança

Existem dois links muito úteis embutidos nas listagens de auditoria. Se você clicar em "SHOW", ele mostrará a senha do site e, se você clicar em "Visitar site", poderá ir direto para o site para alterar a senha. Não apenas todas as senhas duplicadas devem ser alteradas, mas qualquer senha que tenha sido anexada a uma conta que tenha sido violada (como Adobe.com ou LinkedIn) deve ser retirada permanentemente.
Existem dois links muito úteis embutidos nas listagens de auditoria. Se você clicar em "SHOW", ele mostrará a senha do site e, se você clicar em "Visitar site", poderá ir direto para o site para alterar a senha. Não apenas todas as senhas duplicadas devem ser alteradas, mas qualquer senha que tenha sido anexada a uma conta que tenha sido violada (como Adobe.com ou LinkedIn) deve ser retirada permanentemente.

Dependendo de quantas senhas você possui (e de quão diligente você tem sido em relação às boas práticas de senhas), essa etapa do processo pode levar dez minutos ou a tarde inteira. Embora o processo de alteração de suas senhas varie com base no layout do site que você está atualizando, aqui estão algumas diretrizes gerais a seguir (estamos usando nossa atualização de senha em Remember the Milk como exemplo): Visite a página de alteração de senha. Normalmente, você precisará inserir sua senha atual e gerar uma nova senha.

Image
Image

Faça isso clicando no logotipo de bloqueio com seta circular.LastPass insere no novo slot de senha (como visto na imagem acima). Examine sua nova senha e faça ajustes se desejar (como alongá-la ou adicionar caracteres especiais):

Clique em "Usar senha" e confirme se deseja atualizar a entrada que você está editando:
Clique em "Usar senha" e confirme se deseja atualizar a entrada que você está editando:
Certifique-se de confirmar a alteração com o site também. Repita o processo para cada senha duplicada e fraca no seu cofre LastPass.
Certifique-se de confirmar a alteração com o site também. Repita o processo para cada senha duplicada e fraca no seu cofre LastPass.

Finalmente, a última coisa que você precisa fazer auditoria é a sua senha mestra LastPass. Faça isso clicando no link na parte inferior da tela de desafio chamada "Testar a força da minha senha mestra do LastPass". Se você não vir isso:

Você precisa redefinir sua senha mestra LastPass e aumentar a força até receber uma confirmação de força 100% positiva e positiva.
Você precisa redefinir sua senha mestra LastPass e aumentar a força até receber uma confirmação de força 100% positiva e positiva.

Examinando os resultados e aprimorando ainda mais sua segurança LastPass

Depois de passar pela lista de senhas duplicadas, excluir entradas antigas e arrumar e proteger sua lista de login / senha, é hora de executar a auditoria novamente. Agora, para ênfase, a pontuação que você vê abaixo foi trazida apenas pela melhoria da segurança da senha. (Se você ativar recursos de segurança adicionais, como a autenticação multifator, receberá um aumento de cerca de 10%).

Não é ruim! Depois de eliminar todas as senhas duplicadas e trazer todas as senhas existentes com 90% ou mais de força, isso realmente melhorou nossa pontuação. Se você está curioso para saber por que não saltou para 100%, existem alguns fatores em jogo, sendo que o mais importante é que algumas senhas nunca são atualizadas pelos padrões LastPass por causa das políticas tolas implementadas pela empresa. administradores do site. Por exemplo, a senha de login da minha biblioteca local é um pin de quatro dígitos (que marca 4% na escala de segurança LastPass). A maioria das pessoas terá algum tipo de discrepâncias como essa em sua lista e isso irá diminuir sua pontuação.
Não é ruim! Depois de eliminar todas as senhas duplicadas e trazer todas as senhas existentes com 90% ou mais de força, isso realmente melhorou nossa pontuação. Se você está curioso para saber por que não saltou para 100%, existem alguns fatores em jogo, sendo que o mais importante é que algumas senhas nunca são atualizadas pelos padrões LastPass por causa das políticas tolas implementadas pela empresa. administradores do site. Por exemplo, a senha de login da minha biblioteca local é um pin de quatro dígitos (que marca 4% na escala de segurança LastPass). A maioria das pessoas terá algum tipo de discrepâncias como essa em sua lista e isso irá diminuir sua pontuação.

Nesses casos, é importante não desanimar e usar sua análise detalhada como uma métrica:

No processo de atualização de senha, eu apaguei 17 sites duplicados / expirados, criei uma senha exclusiva para cada site e serviço e reduzi o número de sites com senhas duplicadas de 43 para 0 no processo.
No processo de atualização de senha, eu apaguei 17 sites duplicados / expirados, criei uma senha exclusiva para cada site e serviço e reduzi o número de sites com senhas duplicadas de 43 para 0 no processo.

Levou apenas uma hora de tempo seriamente focado (12,4% dos quais foram gastos amaldiçoando designers de sites que colocam links de atualização de senha em lugares obscuros), e tudo que precisei para me motivar foi uma quebra de senha de proporções catastróficas! Estou fazendo uma nota aqui, enorme sucesso.

Agora que você auditou suas senhas e está entusiasmado com a existência de senhas únicas e estáveis, aproveite esse momento para frente. Hit up nosso guia para fazer LastPassaté mais seguro, aumentando as iterações de senha, restringindo logins por país e muito mais. Entre a execução da auditoria que descrevemos aqui, seguindo nosso guia de segurança LastPass e ativando algoritmos de dois fatores, você terá um sistema de gerenciamento de senhas à prova de balas do qual pode se orgulhar.

Recomendado:

Como assinar um pacote on-line (para que você não tenha que esperar em casa)

Como assinar um pacote on-line (para que você não tenha que esperar em casa)

Você não precisa esperar em casa para assinar um pacote, mesmo que tenha um pacote que exija uma assinatura. Tanto a UPS quanto a FedEx permitem que você assine vários pacotes on-line, e o Serviço Postal dos EUA também permite que você autorize entregas que podem não ocorrer se você não estivesse pessoalmente.

Por que reiniciar seu roteador corrige tantos problemas (e por que você tem que esperar 10 segundos)

Por que reiniciar seu roteador corrige tantos problemas (e por que você tem que esperar 10 segundos)

A internet está inativa, mas você sabe o que fazer: desconecte seu roteador ou modem, aguarde dez segundos e conecte-o novamente. Agora é uma segunda natureza, mas por que isso realmente funciona? E há alguma mágica no número de dez segundos?

Por que você não pode "excluir com segurança" um arquivo e o que fazer

Por que você não pode "excluir com segurança" um arquivo e o que fazer

Alguns utilitários têm uma opção de "exclusão segura" que promete apagar com segurança um arquivo do seu disco rígido, removendo todos os vestígios dele. Versões mais antigas do Mac OS X têm uma opção “Secure Empty Trash” que tenta fazer algo semelhante. A Apple removeu esse recurso recentemente porque ele simplesmente não funciona de maneira confiável em unidades modernas.

Novos dispositivos do Windows 10 que você pode esperar para ver este ano

Novos dispositivos do Windows 10 que você pode esperar para ver este ano

Os parceiros OEM da Microsoft exibiram alguns maravilhosos dispositivos Windows 10 na Computex 2016, incluindo laptops 2 em 1, laptops e desktops para jogos e computadores com mochila

Salvar uma página da Web como prova de que ela apareceu primeiro na Internet

Salvar uma página da Web como prova de que ela apareceu primeiro na Internet

O Wayback Machine permite que você capture manualmente e por demanda e salve uma determinada página da Web para o futuro, e salve-a como uma prova de que ela apareceu primeiro na Internet.