Qual é o grande negócio e por que isso importa?
Em outubro deste ano, a Adobe revelou que houve uma grande falha de segurança que afetou 3 milhões de usuários do Adobe.com e do software da Adobe. Então eles revisaram o número para 38 milhões. Então, ainda mais chocante, quando o banco de dados do hack foi vazado, pesquisadores de segurança que analisaram o banco de dados voltaram e disseram que era mais como 150 milhões contas de usuário comprometidas. Esse grau de exposição do usuário coloca a violação da Adobe em funcionamento como uma das piores violações de segurança do histórico.
No entanto, a Adobe não está sozinha nessa frente; nós simplesmente abrimos com a brecha porque é dolorosamente recente. Nos últimos anos, houve dezenas de violações de segurança em massa, onde as informações do usuário, incluindo senhas, foram comprometidas.
LinkedIn foi atingido em 2012 (6,46 milhões de registros de usuários comprometidos). No mesmo ano, o eHarmony foi atingido (1,5 milhão de registros de usuários), assim como o Last.fm (6,5 milhões de registros de usuários) e o Yahoo! (450.000 registros de usuário). A Sony Playstation Network foi atingida em 2011 (101 milhões de registros de usuários comprometidos). A Gawker Media (controladora de sites como Gizmodo e Lifehacker) foi atingida em 2010 (1,3 milhão de registros de usuários comprometidos). E esses são apenas exemplos de grandes violações que fizeram as notícias!
A Privacy Rights Clearinghouse mantém um banco de dados de violações de segurança de 2005 até o presente. Seu banco de dados inclui uma ampla gama de tipos de violações: cartões de crédito comprometidos, números de segurança social roubados, senhas roubadas e registros médicos. A base de dados, a partir da publicação deste artigo, é composta por 4.033 violações contendo 617.937.023 registros de usuários. Nem todas as centenas de milhões de violações envolviam senhas de usuários, mas milhões e milhões delas envolviam.
Então por que isso importa? Além das implicações óbvias e imediatas de segurança de uma violação, as violações criam danos colaterais. Os hackers podem começar imediatamente a testar os logins e senhas que coletam em outros sites.
A maioria das pessoas é preguiçosa com suas senhas, e há uma boa chance de que, se alguém usou [email protected] com a senha bob1979, que o mesmo par login / senha funcione em outros sites. Se esses outros sites forem de perfil mais alto (como sites bancários ou se a senha que ele usou na Adobe realmente desbloquear sua caixa de entrada de e-mail), haverá um problema. Quando alguém tiver acesso à sua caixa de entrada de e-mail, ela poderá começar a redefinir a senha em outros serviços e também terá acesso a ela.
A única maneira de impedir que esse tipo de reação em cadeia cause ainda mais problemas de segurança dentro da rede de sites e serviços que você usa é seguir duas regras principais de boa higiene de senhas:
- Sua senha de e-mail deve ser longa, forte e completamente única entre todos os seus logins.
- Cada o login recebe uma senha longa, forte e exclusiva. Nenhuma reutilização de senha. Sempre.
Essas duas regras são o takeaway de todos os guias de segurança que já compartilhamos com você, incluindo o nosso guia de emergência, como o hit-the-fan Como recuperar depois que a senha do seu email é comprometida.
Agora, neste momento, você provavelmente está se contorcendo um pouco porque, francamente, quase ninguém tem práticas de senha e segurança perfeitamente seguras. Você não está sozinho se a sua senha de higiene está faltando. Na verdade, é hora de uma confissão.
Escrevi dezenas de artigos de segurança, postagens sobre violações de segurança e outros posts relacionados a senhas ao longo dos anos em que estive no How-To Geek. Apesar de ser precisamente o tipo de pessoa informada que deveria saber melhor, apesar de usar um gerenciador de senhas e gerar senhas seguras para cada novo site e serviço, quando corri meu e-mail pela lista de logins comprometidos da Adobe e combinei com a senha comprometida, Ainda descobri que eu tinha me queimado.
Eu fiz essa conta da Adobe há muito tempo atrás quando eu estava significativamente mais relaxado com a minha senha de higiene, e a senha que eu usei era comum dúzias de websites e serviços com os quais eu me inscrevi antes de ficar super sério em fazer boas senhas.
Tudo isso poderia ter sido evitado se eu praticasse totalmente o que eu pregava e não apenas criasse senhas únicas e fortes, mas Além disso auditado minhas senhas antigas para garantir que esta situação nunca aconteceu em primeiro lugar. Se você nunca tentou ser consistente e seguro com suas práticas de senhas ou precisa apenas fazer check-ups para se sentir à vontade, uma auditoria completa de senhas é o caminho para a segurança de senhas e tranquilidade. Leia como mostramos como.
Preparando-se para o seu desafio de segurança Lastpass
Este guia não cobre a configuração do LastPass, por isso, se você ainda não tem um sistema LastPass instalado, recomendamos que você configure um. Confira o Guia HTG para Introdução ao LastPass para começar. Embora o LastPass tenha atualizado desde que escrevemos o guia (a interface é muito mais bonita e melhor otimizada agora), você ainda pode seguir os passos com facilidade. Se você estiver configurando o LastPass pela primeira vez, não se esqueça de importartodos suas senhas armazenadas em seus navegadores, pois nossa meta é auditar cada senha que você está usando.
Digite cada login e senha no LastPass:Independentemente de você ser novo no LastPass ou de não tê-lo usado totalmente em todos os logins, agora é a hora de garantir que você tenha entradocada faça o login no sistema LastPass. Vamos repetir os conselhos que demos em nosso guia de recuperação de e-mail para vasculhar sua caixa de entrada de e-mail em busca de lembretes:
Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinations there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.
Ative a autenticação de dois fatores na sua conta do LastPass: Essa etapa não é estritamente necessária para realizar a auditoria de segurança, mas, embora tenhamos sua atenção, faremos tudo o que pudermos para encorajá-lo, enquanto estiver usando sua conta do LastPass, para ativar a autenticação de dois fatores para proteja ainda mais o seu cofre LastPass. (Isso não apenas aumenta a segurança da sua conta, mas também aumenta sua pontuação na auditoria de segurança!)
Tomando o desafio de segurança LastPass
Próxima parada, a seção Sites Analisados. Aqui você encontrará uma análise muito concreta de todos os seus logins e senhas organizados por uso de senha duplicada (se você tiver duplicatas), senhas exclusivas e, finalmente, logins sem uma senha armazenada no LastPass. Enquanto você observa a lista, fique maravilhado com o contraste entre os pontos fortes da senha. No meu caso, um dos meus logins financeiros recebeu uma pontuação de senha de 45%, enquanto o login de Minecraft da minha filha recebeu uma pontuação perfeita de 100%. Mais uma vez, ai.
Consertando sua terrível pontuação no desafio de segurança
Dependendo de quantas senhas você possui (e de quão diligente você tem sido em relação às boas práticas de senhas), essa etapa do processo pode levar dez minutos ou a tarde inteira. Embora o processo de alteração de suas senhas varie com base no layout do site que você está atualizando, aqui estão algumas diretrizes gerais a seguir (estamos usando nossa atualização de senha em Remember the Milk como exemplo): Visite a página de alteração de senha. Normalmente, você precisará inserir sua senha atual e gerar uma nova senha.
Faça isso clicando no logotipo de bloqueio com seta circular.LastPass insere no novo slot de senha (como visto na imagem acima). Examine sua nova senha e faça ajustes se desejar (como alongá-la ou adicionar caracteres especiais):
Finalmente, a última coisa que você precisa fazer auditoria é a sua senha mestra LastPass. Faça isso clicando no link na parte inferior da tela de desafio chamada "Testar a força da minha senha mestra do LastPass". Se você não vir isso:
Examinando os resultados e aprimorando ainda mais sua segurança LastPass
Depois de passar pela lista de senhas duplicadas, excluir entradas antigas e arrumar e proteger sua lista de login / senha, é hora de executar a auditoria novamente. Agora, para ênfase, a pontuação que você vê abaixo foi trazida apenas pela melhoria da segurança da senha. (Se você ativar recursos de segurança adicionais, como a autenticação multifator, receberá um aumento de cerca de 10%).
Nesses casos, é importante não desanimar e usar sua análise detalhada como uma métrica:
Levou apenas uma hora de tempo seriamente focado (12,4% dos quais foram gastos amaldiçoando designers de sites que colocam links de atualização de senha em lugares obscuros), e tudo que precisei para me motivar foi uma quebra de senha de proporções catastróficas! Estou fazendo uma nota aqui, enorme sucesso.
Agora que você auditou suas senhas e está entusiasmado com a existência de senhas únicas e estáveis, aproveite esse momento para frente. Hit up nosso guia para fazer LastPassaté mais seguro, aumentando as iterações de senha, restringindo logins por país e muito mais. Entre a execução da auditoria que descrevemos aqui, seguindo nosso guia de segurança LastPass e ativando algoritmos de dois fatores, você terá um sistema de gerenciamento de senhas à prova de balas do qual pode se orgulhar.