Startpagina » hoe » Hoe u een beveiligingsaudit uit de laatste doorloop kunt uitvoeren (en waarom deze niet kan wachten)

    Hoe u een beveiligingsaudit uit de laatste doorloop kunt uitvoeren (en waarom deze niet kan wachten)

    Als u laks wachtwoordbeheer en hygiëne aan het oefenen bent, is dit slechts een kwestie van tijd totdat een van de steeds talrijker wordende grootschalige beveiligingsinbreuken u verbrandt. Niet meer dankbaar dat je de kogels van de veiligheidsbarrière ontweken hebt en jezelf tegen de toekomstige kogels hebt gepantserd. Lees verder terwijl we u laten zien hoe u uw wachtwoorden kunt controleren en uzelf kunt beschermen.

    Wat is de Big Deal en waarom doet dit er toe?

    In oktober van dit jaar onthulde Adobe dat er een groot beveiligingslek was opgetreden dat betrekking had op 3 miljoen gebruikers van Adobe.com en Adobe-software. Toen herzagen ze het aantal tot 38 miljoen. Toen, nog schokkender, toen de database van de hack werd gelekt, kwamen beveiligingsonderzoekers die de database analyseerden terug en zeiden dat het meer op 150 miljoen gecompromitteerde gebruikersaccounts. Deze graad van gebruikersblootstelling zet de Adobe-inbreuk in de running als een van de ergste inbreuken op de beveiliging in de geschiedenis.

    Adobe staat echter op dit gebied nauwelijks alleen; we openden eenvoudig met hun bres omdat het pijnlijk recent was. Alleen al de laatste paar jaar zijn er tientallen massale beveiligingsinbreuken geweest waarbij gebruikersinformatie, inclusief wachtwoorden, in het gedrang kwam.

    LinkedIn werd in 2012 getroffen (6.46 miljoen gebruikersrecords aangetast). Datzelfde jaar werd eHarmony getroffen (1,5 miljoen gebruikersrecords) zoals Last.fm (6,5 miljoen gebruikersrecords) en Yahoo! (450.000 gebruikersrecords). Het Sony Playstation Network werd in 2011 getroffen (101 miljoen geregistreerde gebruikersrecords). Gawker Media (het moederbedrijf van sites zoals Gizmodo en Lifehacker) werd in 2010 getroffen (1,3 miljoen gebruikersrecords aangetast). En dat zijn slechts voorbeelden van grote inbreuken die het nieuws hebben gemaakt!

    De Privacyrechten Clearinghouse onderhoudt een database van beveiligingsinbreuken van 2005 tot heden. Hun database bevat een breed scala aan soorten overtredingen: gecompromitteerde creditcards, gestolen burgerservicenummers, gestolen wachtwoorden en medische dossiers. De database, vanaf de publicatie van dit artikel, bestaat uit 4.033 overtredingen bevattende 617.937.023 gebruikersrecords. Niet al die honderden miljoenen inbreuken hadden betrekking op gebruikerswachtwoorden, maar miljoenen van hen deden dat wel.

    Dus waarom maakt het uit? Afgezien van de voor de hand liggende en onmiddellijke veiligheidsimplicaties van een inbreuk, veroorzaken de inbreuken bijkomstige schade. De hackers kunnen onmiddellijk beginnen met het testen van de aanmeldingen en wachtwoorden die ze op andere websites verzamelen.

    De meeste mensen zijn lui met hun wachtwoord en er is een goede kans dat als iemand [email protected] gebruikt met het wachtwoord bob1979, hetzelfde aanmeld / wachtwoord-paar op andere websites werkt. Als die andere websites een hoger profiel hebben (zoals banksites of als het wachtwoord dat hij bij Adobe gebruikte, zijn e-mailinbox daadwerkelijk ontgrendelt), is er een probleem. Zodra iemand toegang heeft tot uw e-mailinbox, kunnen ze het wachtwoord voor andere services opnieuw instellen en ook toegang krijgen tot deze services.

    De enige manier om te voorkomen dat dit soort kettingreacties nog meer beveiligingsproblemen veroorzaken binnen het netwerk van websites en services die u gebruikt, is om twee hoofdregels voor goede wachtwoordhygiëne te volgen:

    1. Uw e-mailwachtwoord moet lang, krachtig en volledig uniek zijn tussen al uw aanmeldingen.
    2. elk login krijgt een lang, krachtig en uniek wachtwoord. Geen hergebruik van het wachtwoord. Ooit.

    Die twee regels zijn de afhaalmaaltijden van elke beveiligingsgids die we ooit met u hebben gedeeld, inclusief onze handleiding voor noodgevallen-door-de-fan Hoe u uw wachtwoord kunt herstellen nadat uw e-mailadres is geweigerd.

    Nu zul je waarschijnlijk een beetje kronkelen omdat eerlijk gezegd bijna niemand perfect luchtdichte wachtwoordpraktijken en beveiliging heeft. Je bent niet alleen als je wachtwoordhygiëne ontbreekt. In feite is het tijd voor een bekentenis.

    Ik heb tientallen beveiligingsartikelen, berichten over beveiligingsinbreuken en andere berichten met betrekking tot wachtwoorden geschreven in de loop van de jaren dat ik bij How-To Geek ben geweest. Ondanks dat het precies het soort geïnformeerde persoon is dat beter zou moeten weten, ondanks het gebruik van een wachtwoordbeheerder en het genereren van veilige wachtwoorden voor elke nieuwe website en service, toen ik mijn e-mail door de lijst van aangetaste Adobe-logins leidde en deze matcht met het aangetaste wachtwoord, er nog steeds achter dat ik ben verbrand.

    Ik heb dat Adobe-account lang geleden gemaakt toen ik beduidend laks was met mijn wachtwoordhygiëne, en het wachtwoord dat ik gebruikte was heel gewoon tientallen van websites en services waarmee ik eerder had ingestemd voordat ik super serieus werd over het maken van goede wachtwoorden.

    Dat alles had voorkomen kunnen worden als ik volledig had gepraktiseerd wat ik had gepredikt en niet alleen unieke en sterke wachtwoorden had gemaakt, maar ook controleerde mijn oude wachtwoorden om er zeker van te zijn dat deze situatie nooit is gebeurd. Of u nog nooit hebt geprobeerd om consistent en veilig te zijn met uw wachtwoordpraktijken of u hoeft alleen maar te controleren of u zich op uw gemak voelt, een grondige wachtwoordcontrole is het pad naar wachtwoordbeveiliging en gemoedsrust. Lees verder terwijl we u laten zien hoe.

    Voorbereiding op uw Lastpass-beveiligingsuitdaging

    U zou uw wachtwoorden handmatig kunnen controleren, maar dat zou enorm vervelend zijn en u zou niet profiteren van het gebruik van een goede universele wachtwoordbeheerder. In plaats van alles handmatig te controleren, gaan we de eenvoudige en grotendeels geautomatiseerde route nemen: we gaan onze wachtwoorden controleren door de LastPass-beveiligingsuitdaging te nemen.

    Deze handleiding behandelt niet het instellen van LastPass, dus als u nog geen LastPass-systeem hebt, raden we u ten zeerste aan om een ​​LastPass-systeem in te stellen. Bekijk de HTG-handleiding om aan de slag te gaan met LastPass om aan de slag te gaan. Hoewel LastPass is bijgewerkt sinds we de handleiding hebben geschreven (de interface is nu veel mooier en beter gestroomlijnd), kun je de stappen nog steeds gemakkelijk volgen. Als u LastPass voor de eerste keer instelt, moet u het importeren allemaal uw opgeslagen wachtwoorden van uw browsers, omdat het ons doel is om elk wachtwoord dat u gebruikt te controleren.

    Voer elke login en wachtwoord in LastPass in: Of je nu LastBas nieuw hebt of je hebt het nog niet volledig gebruikt voor elke login, nu is het tijd om te zorgen dat je bent ingelogd elk log in op het LastPass-systeem. We gaan het advies dat we hebben gegeven in onze gids voor het herstellen van e-mail herhalen voor het combineren van uw e-mailinbox voor herinneringen:

    Doorzoek uw e-mail voor registratieherinneringen. Het zal niet moeilijk zijn om uw vaak gebruikte aanmeldingen zoals Facebook en uw bank te onthouden, maar er zijn waarschijnlijk tientallen uitbestedingsservices waarvan u zich misschien niet eens herinnert dat u uw e-mailadres gebruikt om in te loggen. Gebruik trefwoorden zoals "welcome to", "reset", "recovery", "verify", "password", "username", "login", "account" en combinaties daarvan zoals "reset wachtwoord" of "account verifiëren" . Nogmaals, we weten dat dit een gedoe is, maar als je dit eenmaal hebt gedaan met een wachtwoordbeheerder aan je zijde, heb je een hoofdlijst van al je account en hoef je deze sleutelwoordjacht nooit meer te doen.

    Schakel authenticatie met twee factoren in op uw LastPass-account: Deze stap is niet strikt noodzakelijk om de beveiligingsaudit uit te voeren, maar terwijl we uw aandacht hebben, zullen we er alles aan doen om u aan te moedigen, terwijl u zich in uw LastPass-account bezig houdt, om authenticatie met twee factoren in te schakelen. beveilig uw LastPass-kluis verder. (Niet alleen verhoogt het de beveiliging van uw account, u krijgt ook een boost in uw beveiligingsaudit!)

    De LastPass-beveiligingsuitdaging nemen

    Nu je al je wachtwoorden hebt geïmporteerd, is het tijd om je te schamen voor de schande dat je niet bij de 1% van de hardcore-ninja's voor wachtwoordbeveiliging hoort. Ga naar de LastPass Security Challenge-pagina en druk op "Start the Challenge" onderaan de pagina. U wordt gevraagd om uw hoofdwachtwoord in te voeren, zoals te zien is in de bovenstaande schermafbeelding, en vervolgens biedt LastPass aan om te controleren of een van de e-mailadressen in uw kluis deel uitmaakte van alle schendingen die het heeft gevolgd. Er is geen goede reden om hier geen gebruik van te maken:

    Als je geluk hebt, geeft het een negatief resultaat. Als je geluk hebt, krijg je een pop-up zoals deze waarin je wordt gevraagd of je meer informatie wilt over de schendingen waar je e-mail bij betrokken was:

    LastPass geeft één beveiligingswaarschuwing voor elke instantie. Als u al een lange tijd uw e-mailadres had, wees dan voorbereid om te schrikken over het aantal inbreuken op het wachtwoord waarin het is vastgelopen. Hier is een voorbeeld van een waarschuwing over een wachtwoordschending:

    Na de pop-ups wordt u naar het hoofdvenster van de LastPass-beveiligingschallenge gedumpt. Weet je nog eerder in de gids dat ik sprak over hoe ik momenteel goede wachtwoordhygiëne gebruik, maar dat ik er nooit in was geslaagd om veel oudere websites en services op de juiste manier bij te werken? Het komt echt naar voren in de score die ik ontving. Ouch:

    Dat is mijn score met jarenlange willekeurige wachtwoorden erin. Wees niet te geschrokken als je score nog lager is als je steeds weer dezelfde handvol zwakke wachtwoorden hebt gebruikt. Nu we onze score hebben (hoe geweldig of schandelijk het ook mag zijn), is het tijd om de gegevens te bestuderen. Je kunt de snelkoppelingen naast je score gebruiken of gewoon beginnen met scrollen. Eerste stop, laten we de gedetailleerde resultaten bekijken. Beschouw dit als een overzicht van 10.000 voet van de status van uw wachtwoorden:

    Hoewel je hier moet letten op alle statistieken, zijn de echt belangrijke "Gemiddelde wachtwoordsterkte", hoe zwak of sterk je gemiddelde wachtwoord is en, nog belangrijker, "Aantal dubbele wachtwoorden" en "Aantal sites met dubbele wachtwoorden" ”. In het kader van mijn audit waren er acht dupes verspreid over 43 sites. Het was duidelijk dat ik nogal lui was geweest door hetzelfde laagwaardige wachtwoord opnieuw te gebruiken op meer dan een paar sites.

    Volgende stop, het gedeelte Analysesites. Hier vindt u een zeer concrete opsplitsing van al uw aanmeldingen en wachtwoorden die zijn georganiseerd door dubbel wachtwoordgebruik (als u duplicaten had), unieke wachtwoorden en ten slotte logins zonder wachtwoord opgeslagen in LastPass. Terwijl u over de lijst kijkt, verbaast u zich over het contrast tussen wachtwoordsterkten. In mijn geval kreeg een van mijn financiële aanmeldingen een 45% -wachtwoordscore terwijl de inloggegevens van mijn dochter Minecraft een perfecte 100% -score kregen. Nogmaals, au.

    Bevestiging van uw verschrikkelijke beveiligingsuitdagingsscore

    Er zijn twee zeer nuttige links ingebouwd in de controlelijsten. Als u op "SHOW" klikt, toont het u het wachtwoord voor die site en als u op "Site bezoeken" klikt, kunt u direct naar de website gaan, zodat u het wachtwoord kunt wijzigen. Niet alleen moet elk dubbel wachtwoord worden gewijzigd, maar elk wachtwoord dat is gekoppeld aan een account dat is geschonden (zoals Adobe.com of LinkedIn) moet permanent worden stopgezet.

    Afhankelijk van hoeveel of weinig wachtwoorden je hebt (en hoe ijverig je bent geweest over goede wachtwoordpraktijken), kan deze stap van het proces je tien minuten of de hele middag duren. Hoewel het wijzigen van uw wachtwoorden kan variëren op basis van de lay-out van de site die u bijwerkt, volgen hier enkele algemene richtlijnen (we gebruiken onze wachtwoordupdate bij Remember the Milk als voorbeeld): Ga naar de pagina voor wachtwoordwijziging . Meestal moet u uw huidige wachtwoord invoeren en vervolgens een nieuw wachtwoord genereren.

    Doe dit door op het logo met slot-met-cirkelvormige pijl te klikken. LastPass wordt ingevoegd in de nieuwe wachtwoordsleuf (zoals te zien in de bovenstaande schermafbeelding). Bekijk uw nieuwe wachtwoord en pas het aan als u dat wilt (zoals het verlengen of toevoegen van speciale tekens):

    Klik op "Wachtwoord gebruiken" en bevestig vervolgens dat u het gegeven dat u aan het bewerken bent wilt bijwerken:

    Zorg ervoor dat u de wijziging ook met de website bevestigt. Herhaal het proces voor elk duplicaat en zwak wachtwoord in uw LastPass-kluis.

    Tot slot, het laatste dat u moet controleren, is uw LastPass hoofdwachtwoord. Doe dit door op de link onderaan het scherm Challenge te klikken met het label "Test de sterkte van mijn LastPass hoofdwachtwoord". Als u dit niet ziet:

    U moet uw LastPass hoofdwachtwoord resetten en de sterkte verhogen totdat u een mooie, positieve bevestiging van 100% ontvangt.

    De resultaten bekijken en uw LastPass-beveiliging verder verbeteren

    Nadat je de lijst met dubbele wachtwoorden hebt doorgehaald, oude vermeldingen hebt verwijderd en je inlog- / wachtwoordlijst anders hebt opgeruimd en beveiligd, is het tijd om de audit opnieuw uit te voeren. Nu, voor de nadruk, werd de score die je hieronder ziet alleen aan de orde gesteld door het verbeteren van wachtwoordbeveiliging. (Als u extra beveiligingsfuncties inschakelt, zoals multi-factor authenticatie, ontvangt u een boost van ongeveer 10%).

    Niet slecht! Na het elimineren van elk dubbel wachtwoord en het samenbrengen van alle bestaande wachtwoorden tot 90% kracht of beter, heeft het onze score echt verbeterd. Als je nieuwsgierig bent waarom het niet naar 100% is gesprongen, zijn er een paar factoren in het spel, waarvan de meest prominente is dat sommige wachtwoorden nooit door FinalPass-normen naar snuifje kunnen worden gebracht vanwege onnozel beleid van de sitebeheerders. Het inlogwachtwoord van mijn lokale bibliotheek is bijvoorbeeld een pin van vier cijfers (die een 4% scoort op de LastPass-beveiligingsschaal). De meeste mensen zullen een soort uitschieters als die in hun lijst hebben en dat zal hun score slepen.

    In dergelijke gevallen is het belangrijk om niet ontmoedigd te raken en uw gedetailleerde uitsplitsing als metriek te gebruiken:

    In het proces voor het bijwerken van het wachtwoord heb ik 17 dubbele / verlopen sites gesnoeid, een uniek wachtwoord gemaakt voor elke site en service en het aantal sites met dubbele wachtwoorden teruggebracht van 43 naar 0 in het proces.

    Het kostte slechts ongeveer een uur aan serieus gefocuste tijd (waarvan 12,4% werd besteed aan het vloeken van webdesigners die de koppelingen voor wachtwoordupdates op onbekende plaatsen plaatsten), en alles wat nodig was om me gemotiveerd te krijgen was een wachtwoordinbreuk van catastrofale proporties! Ik maak hier een notitie, groot succes.

    Nu dat u uw wachtwoorden heeft gecontroleerd en u bent gepaaid over het hebben van een aantal unieke wachtwoorden, laten we profiteren van dat voorwaartse momentum. Praat met onze gids om LastPass te maken zelfs veiliger door het verhogen van de wachtwoordherhalingen, het beperken van aanmeldingen per land en meer. Tussen het uitvoeren van de audit die we hier hebben uiteengezet, het volgen van onze LastPass-beveiligingsgids en het inschakelen van twee-factoralgoritmen, hebt u een kogelvrij wachtwoordbeheersysteem waar u trots op kunt zijn.

    Een geplande taak uitvoeren zonder dat een opdrachtvenster wordt weergegeven
    Een eenvoudige lokale Minecraft-server uitvoeren (met en zonder mods)
    Hoe een DirectX Diagnostic op XP uit te voeren
    Volgend artikel
    Hoe een lokale Minecraft PE-server te runnen voor leuke en aanhoudende wereldvorming
    Vorig artikel
    Een volledig Linux-bureaublad uitvoeren op een browsertabblad op uw Chromebook