Wenn Sie laxes Passwort-Management und -Hygiene praktizieren, ist es nur eine Frage der Zeit, bis Sie eine der immer zahlreicher werdenden groß angelegten Sicherheitsverletzungen verbrennt. Hören Sie auf, dankbar zu sein, dass Sie den vergangenen Sicherheitsverletzungen ausgewichen sind, und rüsten Sie sich gegen die zukünftigen. Lesen Sie weiter, während wir Ihnen zeigen, wie Sie Ihre Passwörter überprüfen und sich schützen können.
Was ist die große Sache und warum ist das wichtig?
Im Oktober dieses Jahres gab Adobe bekannt, dass 3 Millionen Nutzer von Adobe.com und Adobe-Software von einer schwerwiegenden Sicherheitsverletzung betroffen waren. Dann revidierten sie die Zahl auf 38 Millionen. Als dann die Datenbank des Hacks durchgesickert war, kamen noch schockierendere Sicherheitsforscher zurück, die die Datenbank analysierten und sagten, es handele sich eher um kompromittierte Benutzerkonten. Dieses Ausmaß der Benutzerexponierung macht die Adobe-Sicherheitsverletzung zu einer der schlimmsten Sicherheitsverletzungen in der Geschichte.
Adobe ist damit jedoch kaum allein; Wir haben einfach mit ihrem Bruch eröffnet, weil er schmerzlich neu ist. Allein in den letzten Jahren gab es Dutzende von massiven Sicherheitsverletzungen, bei denen Benutzerinformationen, einschließlich Passwörter, kompromittiert wurden.
LinkedIn wurde 2012 getroffen (6,46 Millionen Benutzerdatensätze kompromittiert). Im selben Jahr wurden eHarmony (1,5 Millionen Benutzerdatensätze) sowie Last.fm (6,5 Millionen Benutzerdatensätze) und Yahoo! (450.000 Benutzerdatensätze). Das Sony Playstation Network wurde 2011 getroffen (101 Millionen Benutzerdatensätze kompromittiert). Gawker Media (die Muttergesellschaft von Websites wie Gizmodo und Lifehacker) wurde 2010 getroffen (1,3 Millionen Benutzerdatensätze kompromittiert). Und das sind nur Beispiele für große Verstöße, die die Schlagzeilen machten!
Das Privacy Rights Clearinghouse unterhält eine Datenbank mit Sicherheitsverletzungen von 2005 bis heute. Ihre Datenbank umfasst eine Vielzahl von Arten von Sicherheitsverletzungen: kompromittierte Kreditkarten, gestohlene Sozialversicherungsnummern, gestohlene Passwörter und Krankenakten. Die Datenbank besteht zum Zeitpunkt der Veröffentlichung dieses Artikels aus 4.033 Verstöße enthält 617.937.023 Benutzerdatensätze. Nicht jeder dieser Hunderte von Millionen von Sicherheitsverletzungen betraf Benutzerpasswörter, aber Millionen und Abermillionen davon.
Warum ist es wichtig? Abgesehen von den offensichtlichen und unmittelbaren Auswirkungen einer Sicherheitsverletzung auf die Sicherheit verursachen die Sicherheitsverletzungen Kollateralschäden. Die Hacker können sofort damit beginnen, die Logins und Passwörter zu testen, die sie auf anderen Websites sammeln.
Die meisten Leute sind mit ihren Passwörtern faul, und es besteht eine gute Chance, dass, wenn jemand bob@somewebemail.com mit dem Passwort bob1979 verwendet, dasselbe Login/Passwort-Paar auf anderen Websites funktioniert. Wenn diese anderen Websites ein höheres Profil haben (wie Banking-Sites oder wenn das Passwort, das er bei Adobe verwendet hat, tatsächlich seinen E-Mail-Posteingang entsperrt), dann gibt es ein Problem. Sobald jemand Zugriff auf Ihren E-Mail-Posteingang hat, kann er damit beginnen, das Passwort für andere Dienste zurückzusetzen und auch darauf zuzugreifen.
Der einzige Weg, um zu verhindern, dass diese Art von Kettenreaktion noch mehr Sicherheitsprobleme innerhalb des Netzwerks der von Ihnen genutzten Websites und Dienste verursacht, besteht darin, zwei grundlegende Regeln für eine gute Passworthygiene zu beachten:
- Ihr E-Mail-Passwort sollte lang, stark und unter allen Ihren Logins eindeutig sein.
- login erhält ein langes, starkes und einzigartiges Passwort. Keine Wiederverwendung von Passwörtern. Immer.
Diese beiden Regeln sind die Erkenntnisse aus jedem Sicherheitsleitfaden, den wir jemals mit Ihnen geteilt haben, einschließlich unseres Notfallleitfadens, wie Sie sich nach einer Kompromittierung Ihres E-Mail-Passworts wiederherstellen können.
An diesem Punkt winden Sie sich wahrscheinlich ein wenig, denn ehrlich gesagt hat kaum jemand absolut luftdichte Passwortpraktiken und Sicherheit. Sie sind nicht allein, wenn es an Ihrer Passworthygiene mangelt. Tatsächlich ist es Zeit für ein Geständnis.
Ich habe im Laufe der Jahre, in denen ich bei How-To Geek bin, Dutzende von Sicherheitsartikeln, Beiträgen über Sicherheitsverletzungen und andere Beiträge zu Kennwörtern geschrieben. Obwohl ich genau die Art von informierter Person war, die es besser wissen sollte, trotz der Verwendung eines Passwort-Managers und der Generierung sicherer Passwörter für jede neue Website und jeden Dienst, als ich meine E-Mail durch die Liste der kompromittierten Adobe-Logins und mit dem kompromittierten Passwort abgeglichen, fand ich immer noch heraus, dass ich mich verbrannt hatte.
Ich habe dieses Adobe-Konto vor langer Zeit erstellt, als ich mit meiner Passworthygiene deutlich lockerer war, und das von mir verwendete Passwort war auf allen Websites und Diensten üblich, bei denen ich mich angemeldet hatte, bevor ich mit der Erstellung guter Passwörter sehr ernst wurde.
All das hätte verhindert werden können, wenn ich das, was ich predigte, vollständig praktiziert und nicht nur einzigartige und starke Passwörter erstellt hätte, sondern Auch überprüfte meine alten Passwörter, um sicherzustellen, dass diese Situation nie passiert ist. Unabhängig davon, ob Sie noch nie versucht haben, bei Ihren Passwortpraktiken konsistent und sicher zu sein oder sie nur überprüfen müssen, um sich zu beruhigen, eine gründliche Passwortprüfung ist der Weg zu Passwortsicherheit und Seelenfrieden. Lesen Sie weiter, während wir Ihnen zeigen, wie.
Vorbereitung auf Ihre Lastpass-Sicherheitsherausforderung
Sie könnten Ihre Passwörter manuell überprüfen, aber das wäre enorm mühsam und Sie würden nicht die Vorteile eines guten universellen Passwort-Managers nutzen. Anstatt alles manuell zu prüfen, gehen wir den einfachen und weitgehend automatisierten Weg: Wir prüfen unsere Passwörter, indem wir an der LastPass Security Challenge teilnehmen.
Dieses Handbuch behandelt nicht die Einrichtung von LastPass. Wenn Sie also noch kein LastPass-System in Betrieb haben, empfehlen wir Ihnen dringend, eines einzurichten. Lesen Sie den HTG-Leitfaden für die ersten Schritte mit LastPass, um loszulegen. Obwohl LastPass aktualisiert wurde, seit wir den Leitfaden geschrieben haben (die Benutzeroberfläche ist jetzt viel schöner und optimierter), können Sie die Schritte dennoch problemlos befolgen. Wenn Sie LastPass zum ersten Mal einrichten, importieren Sie Ihre gespeicherten Passwörter aus Ihren Browsern, da unser Ziel darin besteht, jedes einzelne von Ihnen verwendete Passwort zu überprüfen.
Geben Sie jeden Login und jedes Passwort in LastPass ein: Egal, ob Sie neu bei LastPass sind oder es noch nicht für jede Anmeldung verwendet haben, jetzt ist es an der Zeit, sicherzustellen, dass Sie sich beim LastPass-System anmelden. Wir werden die Ratschläge in unserem E-Mail-Wiederherstellungsleitfaden wiederholen, um Ihren E-Mail-Posteingang nach Erinnerungen zu durchsuchen:
Durchsuchen Sie Ihre E-Mail nach Registrierungserinnerungen. Es wird nicht schwer sein, sich Ihre häufig verwendeten Logins wie Facebook und Ihre Bank zu merken, aber es gibt wahrscheinlich Dutzende von kostspieligen Diensten, an die Sie sich vielleicht nicht einmal erinnern, die Sie mit Ihrer E-Mail-Adresse anmelden. Verwenden Sie Stichwortsuchen wie „Willkommen bei“, „Zurücksetzen“, „Wiederherstellung“, „Überprüfen“, „Passwort“, „Benutzername“, „Anmelden“, „Konto“ und Kombinationen daraus wie „Passwort zurücksetzen“ oder „Konto verifizieren“. . Auch hier wissen wir, dass dies mühsam ist, aber sobald Sie dies mit einem Passwort-Manager an Ihrer Seite getan haben, haben Sie eine Hauptliste aller Ihrer Konten und Sie müssen diese Keyword-Suche nie wieder durchführen.
Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr LastPass-Konto: Dieser Schritt ist nicht unbedingt erforderlich, um die Sicherheitsüberprüfung durchzuführen, aber während wir Ihre Aufmerksamkeit haben, werden wir alles tun, um Sie zu ermutigen, während Sie in Ihrem LastPass-Konto herumwühlen, die Zwei-Faktor-Authentifizierung zu aktivieren, um Sichern Sie Ihren LastPass-Tresor weiter. (Dies erhöht nicht nur die Sicherheit Ihres Kontos, sondern Sie erhalten auch eine Verbesserung Ihres Sicherheits-Audit-Scores!)
Nehmen Sie an der LastPass-Sicherheitsherausforderung teil
Nachdem Sie alle Ihre Passwörter importiert haben, ist es an der Zeit, sich auf die Schande vorzubereiten, nicht zu den 1% der Hardcore-Passwortsicherheits-Ninjas zu gehören. Besuche den LastPass-Sicherheitsherausforderung Seite und klicken Sie unten auf der Seite auf „Start the Challenge“. Sie werden aufgefordert, Ihr Master-Passwort einzugeben, wie im obigen Screenshot zu sehen, und dann bietet LastPass an, zu überprüfen, ob eine der in Ihrem Tresor enthaltenen E-Mail-Adressen Teil von Verstößen war, die es verfolgt hat. Es gibt keinen guten Grund, dies nicht zu nutzen:
Wenn Sie Glück haben, wird ein negatives Ergebnis zurückgegeben. Wenn Sie Glück haben, wird ein Pop-up wie dieses angezeigt, in dem Sie gefragt werden, ob Sie weitere Informationen zu den Sicherheitsverletzungen wünschen, an denen Ihre E-Mail beteiligt war:
LastPass gibt für jede Instanz eine einzelne Sicherheitswarnung aus. Wenn Sie Ihre E-Mail-Adresse schon lange haben, sollten Sie schockiert sein, wie viele Passwortverletzungen sie verheddert hat. Hier ist ein Beispiel für eine Benachrichtigung über eine Passwortverletzung:
Nach den Pop-ups werden Sie in das Hauptfenster der LastPass-Sicherheitsherausforderung geleitet. Erinnern Sie sich an früher in diesem Handbuch, als ich darüber gesprochen habe, wie ich derzeit gute Passworthygiene praktiziere, aber dass ich noch nie dazu gekommen bin, viele ältere Websites und Dienste ordnungsgemäß zu aktualisieren? Es zeigt sich wirklich in der Partitur, die ich erhalten habe. Autsch:
Das ist meine Punktzahl mit jahrelangen zufälligen Passwörtern. Seien Sie nicht zu schockiert, wenn Ihre Punktzahl noch niedriger ist, wenn Sie immer wieder dieselbe Handvoll schwacher Passwörter verwenden. Jetzt, da wir unsere Punktzahl haben (wie großartig oder beschämend sie auch sein mag), ist es an der Zeit, sich mit den Daten zu befassen. Sie können die Quicklinks neben Ihrem Score-Prozentsatz verwenden oder einfach mit dem Scrollen beginnen. Schauen wir uns zuerst die detaillierten Ergebnisse an. Betrachten Sie dies als einen 10.000-Fuß-Überblick über den Status Ihrer Passwörter:
Während Sie hier auf alle Statistiken achten sollten, sind die wirklich wichtigen «Durchschnittliche Passwortstärke», wie schwach oder stark Ihr durchschnittliches Passwort ist und, noch wichtiger, «Anzahl der doppelten Passwörter» und «Anzahl der Websites mit doppelten Passwörtern». “. Bei meinem Audit gab es 8 Duplikate auf 43 Sites. Offensichtlich war ich ziemlich faul, dasselbe minderwertige Passwort auf mehr als ein paar Websites wiederzuverwenden.
Nächster Halt, der Abschnitt Analysierte Sites. Hier finden Sie eine sehr konkrete Aufschlüsselung all Ihrer Logins und Passwörter, organisiert nach Verwendung doppelter Passwörter (wenn Sie Duplikate hatten), eindeutigen Passwörtern und schließlich Logins ohne in LastPass gespeichertes Passwort. Bewundern Sie beim Durchsehen der Liste den Kontrast zwischen den Passwortstärken. In meinem Fall erhielt einer meiner Finanz-Logins einen Passwort-Score von 45 %, während der Minecraft-Login meiner Tochter eine perfekte 100 %-Punktzahl erhielt. Nochmal, autsch.
Beheben Sie Ihren schrecklichen Sicherheitsherausforderungs-Score
Es gibt zwei sehr nützliche Links, die direkt in die Audit-Listen integriert sind. Wenn Sie auf „ZEIGEN“ klicken, wird Ihnen das Passwort für diese Site angezeigt und wenn Sie auf „Site besuchen“ klicken, können Sie direkt zur Website springen, um das Passwort zu ändern. Es sollte nicht nur jedes doppelte Passwort geändert werden, sondern jedes Passwort, das mit einem Konto verknüpft war, das verletzt wurde (wie Adobe.com oder LinkedIn), sollte dauerhaft eingestellt werden.
Je nachdem, wie viele oder wenige Passwörter Sie haben (und wie sorgfältig Sie mit guten Passwort-Praktiken umgehen), kann dieser Schritt des Prozesses zehn Minuten oder den ganzen Nachmittag dauern. Obwohl das Ändern Ihrer Passwörter je nach Layout der Website, die Sie aktualisieren, unterschiedlich ist, sind hier einige allgemeine Richtlinien zu beachten (wir verwenden unser Passwort-Update bei Remember the Milk als Beispiel): Besuchen Sie die Seite zur Passwortänderung . Normalerweise müssen Sie Ihr aktuelles Passwort eingeben und dann ein neues Passwort generieren.
Klicken Sie dazu auf das Schloss-mit-Kreis-Pfeil-Logo. LastPass fügt sich in den neuen Passwort-Slot ein (wie im obigen Screenshot zu sehen). Sehen Sie sich Ihr neues Passwort an und nehmen Sie gegebenenfalls Anpassungen vor (z. B. verlängern oder Sonderzeichen hinzufügen):
Klicken Sie auf „Passwort verwenden“ und bestätigen Sie dann, dass Sie den Eintrag aktualisieren möchten, den Sie bearbeiten:
Stellen Sie sicher, dass Sie die Änderung auch auf der Website bestätigen. Wiederholen Sie den Vorgang für jedes doppelte und schwache Passwort in Ihrem LastPass-Tresor.
Schließlich ist das Letzte, was Sie überprüfen müssen, Ihr LastPass-Master-Passwort. Klicken Sie dazu auf den Link am unteren Rand des Challenge-Bildschirms mit der Bezeichnung „Testen Sie die Stärke meines LastPass-Master-Passworts“. Wenn Sie dies nicht sehen:
Sie müssen Ihr LastPass-Master-Passwort zurücksetzen und die Stärke erhöhen, bis Sie eine schöne, positive, 100%ige Bestätigung erhalten.
Untersuchung der Ergebnisse und weitere Verbesserung Ihrer LastPass-Sicherheit
Nachdem Sie die Liste der doppelten Passwörter durchforstet, alte Einträge gelöscht und Ihre Login-/Passwortliste anderweitig aufgeräumt und gesichert haben, ist es an der Zeit, das Audit erneut durchzuführen. Zur Betonung: Die unten angezeigte Punktzahl wurde ausschließlich durch die Verbesserung der Passwortsicherheit erreicht. (Wenn Sie zusätzliche Sicherheitsfunktionen wie die Multi-Faktor-Authentifizierung aktivieren, erhalten Sie eine Steigerung von etwa 10 %).
Nicht schlecht! Nachdem wir jedes doppelte Passwort eliminiert und alle vorhandenen Passwörter auf eine Stärke von 90% oder besser gebracht haben, hat es unsere Punktzahl wirklich verbessert. Wenn Sie neugierig sind, warum es nicht auf 100 % gesprungen ist, spielen einige Faktoren eine Rolle. Der bekannteste ist, dass einige Passwörter aufgrund der albernen Richtlinien von LastPass niemals auf den neuesten Stand gebracht werden können Site-Administratoren. Das Login-Passwort meiner lokalen Bibliothek ist beispielsweise eine vierstellige PIN (die auf der LastPass-Sicherheitsskala 4 % erreicht). Die meisten Leute haben solche Ausreißer in ihrer Liste und das wird ihre Punktzahl nach unten ziehen.
In solchen Fällen ist es wichtig, sich nicht entmutigen zu lassen und Ihre detaillierte Aufschlüsselung als Metrik zu verwenden:
Bei der Passwortaktualisierung habe ich 17 duplizierte/abgelaufene Sites beschnitten, ein einzigartiges Passwort für jede Site und jeden Dienst erstellt und die Anzahl der Sites mit doppelten Passwörtern dabei von 43 auf 0 gesenkt.
Es dauerte nur ungefähr eine Stunde ernsthaft konzentrierter Zeit (12,4 % davon wurden damit verbracht, Website-Designer zu verfluchen, die Links zu Passwortaktualisierungen an obskuren Orten platzieren), und alles was mich brauchte, um mich zu motivieren, war ein Passwortbruch katastrophalen Ausmaßes! Ich notiere hier, großer Erfolg.
Nachdem Sie nun Ihre Passwörter überprüft haben und Sie von einer stabilen Anzahl einzigartiger Passwörter begeistert sind, nutzen wir diesen Vorwärtsdrang. Lesen Sie unseren Leitfaden, um LastPass sicherer zu machen, indem Sie die Passwort-Iterationen erhöhen, Anmeldungen nach Land einschränken und vieles mehr. Zwischen der Durchführung des hier beschriebenen Audits, dem Befolgen unseres LastPass-Sicherheitsleitfadens und dem Aktivieren von Zwei-Faktor-Algorithmen haben Sie ein kugelsicheres Passwortverwaltungssystem, auf das Sie stolz sein können.