Como executar uma auditoria de segurança do último passo (e por que não pode esperar)
Se você está praticando o gerenciamento e a higiene frouxa de senhas, é apenas uma questão de tempo até que uma das violações de segurança em grande escala cada vez mais numerosas queimem você. Pare de agradecer por ter evitado as últimas balas de segurança e se blindar contra as futuras. Leia como mostramos como auditar suas senhas e se proteger.
Qual é o grande negócio e por que isso importa??
Em outubro deste ano, a Adobe revelou que houve uma grande falha de segurança que afetou 3 milhões de usuários do Adobe.com e do software da Adobe. Então eles revisaram o número para 38 milhões. Então, ainda mais chocante, quando o banco de dados do hack foi vazado, pesquisadores de segurança que analisaram o banco de dados voltaram e disseram que era mais como 150 milhões contas de usuário comprometidas. Esse grau de exposição do usuário coloca a violação da Adobe em funcionamento como uma das piores violações de segurança da história.
A Adobe dificilmente está sozinha nessa frente; nós simplesmente abrimos com a brecha porque é dolorosamente recente. Nos últimos anos, houve dezenas de violações de segurança em massa, onde as informações do usuário, incluindo senhas, foram comprometidas.
LinkedIn foi atingido em 2012 (6,46 milhões de registros de usuários comprometidos). No mesmo ano, o eHarmony foi atingido (1,5 milhão de registros de usuários), assim como o Last.fm (6,5 milhões de registros de usuários) e o Yahoo! (450.000 registros de usuário). A Sony Playstation Network foi atingida em 2011 (101 milhões de registros de usuários comprometidos). A Gawker Media (controladora de sites como Gizmodo e Lifehacker) foi atingida em 2010 (1,3 milhão de registros de usuários comprometidos). E esses são apenas exemplos de grandes violações que fizeram as notícias!
A Privacy Rights Clearinghouse mantém um banco de dados de violações de segurança de 2005 até o presente. Seu banco de dados inclui uma ampla gama de tipos de violações: cartões de crédito comprometidos, números de segurança social roubados, senhas roubadas e registros médicos. O banco de dados, a partir da publicação deste artigo, é composto por 4.033 violações contendo 617,937,023 registros de usuários. Nem todas as centenas de milhões de violações envolviam senhas de usuários, mas milhões e milhões delas.
Então por que isso importa? Além das implicações óbvias e imediatas de segurança de uma violação, as violações criam danos colaterais. Os hackers podem começar imediatamente a testar os logins e senhas que eles colhem em outros sites.
A maioria das pessoas é preguiçosa com suas senhas, e há uma boa chance de que, se alguém usou [email protected] com a senha bob1979, que o mesmo par login / senha funcione em outros sites. Se esses outros sites tiverem um perfil mais alto (como sites bancários ou se a senha que ele usou na Adobe realmente desbloquear sua caixa de entrada de e-mail), haverá um problema. Quando alguém tiver acesso à sua caixa de entrada de e-mail, ela poderá começar a redefinir a senha em outros serviços e também terá acesso a eles.
A única maneira de impedir que esse tipo de reação em cadeia cause ainda mais problemas de segurança dentro da rede de sites e serviços que você usa é seguir duas regras principais de boa higiene de senhas:
- Sua senha de e-mail deve ser longa, forte e completamente única entre todos os seus logins.
- Cada o login recebe uma senha longa, forte e exclusiva. Nenhuma reutilização de senha. Sempre.
Essas duas regras são o takeaway de cada guia de segurança que já compartilhamos com você, incluindo o nosso guia de emergência que tem acertado o ventilador Como recuperar depois que sua senha de e-mail é comprometida.
Agora, neste momento, você provavelmente está se contorcendo um pouco porque, francamente, quase ninguém tem práticas de senha e segurança perfeitamente seguras. Você não está sozinho se a sua senha de higiene está faltando. Na verdade, é hora de uma confissão.
Escrevi dezenas de artigos de segurança, posts sobre violações de segurança e outros posts relacionados a senhas ao longo dos anos em que estive no How-To Geek. Apesar de ser precisamente o tipo de pessoa informada que deveria conhecer melhor, apesar de usar um gerenciador de senhas e gerar senhas seguras para cada novo site e serviço, quando eu corri meu e-mail pela lista de logins comprometidos da Adobe e combinei com a senha comprometida, ainda descobri que eu tinha me queimado.
Eu fiz essa conta da Adobe há muito tempo atrás quando eu estava significativamente mais relaxado com a minha senha de higiene, e a senha que eu usei era comum dúzias de sites e serviços com os quais eu me inscrevi antes de ficar super sério em fazer boas senhas.
Tudo isso poderia ter sido evitado se eu praticasse completamente o que eu pregava e não apenas criasse senhas únicas e fortes, mas Além disso auditado minhas senhas antigas para garantir que essa situação nunca aconteceu em primeiro lugar. Se você nunca tentou ser consistente e seguro com suas práticas de senhas ou apenas precisa fazer check-ups para se sentir à vontade, uma auditoria completa de senhas é o caminho para a segurança de senhas e tranquilidade. Leia como mostramos como.
Preparando-se para o seu desafio de segurança Lastpass
Você poderia manualmente auditar suas senhas, mas isso seria muito tedioso e você não obteria nenhum dos benefícios de usar um bom gerenciador universal de senhas. Em vez de fazer uma auditoria manual de tudo, vamos seguir o caminho fácil e amplamente automatizado: vamos auditar nossas senhas fazendo o LastPass Security Challenge..
Este guia não cobre a configuração do LastPass, portanto, se você ainda não tiver um sistema LastPass instalado, recomendamos que você configure um. Confira o Guia HTG para Introdução ao LastPass para começar. Embora o LastPass tenha atualizado desde que escrevemos o guia (a interface é muito mais bonita e melhor otimizada agora), você ainda pode seguir os passos com facilidade. Se você estiver configurando o LastPass pela primeira vez, certifique-se de importar todos suas senhas armazenadas de seus navegadores, pois nosso objetivo é auditar cada senha que você está usando.
Digite cada login e senha no LastPass: Independentemente de você ser novo no LastPass ou de não tê-lo usado por completo em todos os logins, agora é a hora de garantir que você entrou cada faça o login no sistema LastPass. Vamos ecoar os conselhos que demos em nosso guia de recuperação de e-mail para vasculhar sua caixa de entrada de e-mail em busca de lembretes:
Pesquise no seu email por lembretes de registo. Não será difícil lembrar seus logins usados com frequência, como o Facebook e seu banco, mas provavelmente há dezenas de serviços de outlaying que você nem lembra que usou seu e-mail para fazer login. Use pesquisas de palavras-chave como "bem-vindo", "redefinir", "recuperação", "verificar", "senha", "nome de usuário", "login", "conta" e combinações como "redefinir senha" ou "verificar conta" . Novamente, sabemos que isso é um incômodo, mas depois de fazer isso com um gerenciador de senhas ao seu lado, você tem uma lista mestra de toda a sua conta e nunca mais precisará fazer essa busca por palavra-chave novamente.
Ative a autenticação de dois fatores em sua conta do LastPass: Essa etapa não é estritamente necessária para realizar a auditoria de segurança, mas, embora tenhamos sua atenção, faremos tudo o que pudermos para encorajá-lo, enquanto estiver usando sua conta do LastPass, para ativar a autenticação de dois fatores para proteja ainda mais o seu cofre LastPass. (Isso não apenas aumenta a segurança da sua conta, mas também aumenta sua pontuação na auditoria de segurança!)
Tomando o desafio de segurança LastPass
Agora que você importou todas as suas senhas, é hora de se preparar para a vergonha de não estar presente nos 1% dos ninjas de segurança com senha hardcore. Visite a página do Desafio de Segurança do LastPass e pressione “Iniciar o Desafio” na parte inferior da página. Você será solicitado a digitar sua senha mestra, como visto na imagem acima, e, em seguida, o LastPass oferecerá para verificar se algum dos endereços de e-mail contidos no seu cofre fazia parte de qualquer violação que tenha rastreado. Não há uma boa razão para não tirar vantagem disso:
Se tiver sorte, retorna um negativo. Se tiver sorte, você receberá um pop-up assim perguntando se deseja mais informações sobre as violações em que seu e-mail esteve envolvido:
O LastPass emitirá um único alerta de segurança para cada instância. Se você já tem seu endereço de e-mail há muito tempo, esteja preparado para ficar chocado com a quantidade de violações de senha em que ele está preso. Veja um exemplo de um aviso de violação de senha:
Após os pop-ups, você será jogado no painel principal do LastPass Security Challenge. Lembre-se anteriormente no guia quando falei sobre como atualmente pratico uma boa higiene com senhas, mas que nunca consegui atualizar corretamente muitos sites e serviços antigos? Isso realmente mostra a pontuação que recebi. Ouch:
Essa é a minha pontuação com anos de senhas aleatórias misturadas. Não fique muito chocado se sua pontuação for ainda menor se você estiver usando o mesmo punhado de senhas fracas repetidamente. Agora que temos nossa pontuação (por mais incrível ou vergonhosa que seja), é hora de entrar nos dados. Você pode usar os links rápidos ao lado de sua porcentagem de pontuação ou apenas iniciar a rolagem. Primeira parada, vamos verificar os resultados detalhados. Considere isso uma visão geral de 10.000 pés do estado de suas senhas:
Enquanto você deve prestar atenção a todas as estatísticas aqui, as mais importantes são “Força média da senha”, quão fraca ou forte é a senha média e, ainda mais importante, “Número de senhas duplicadas” e “Número de sites com senhas duplicadas ” Na causa da minha auditoria, havia 8 enganos em 43 sites. Claramente eu tinha sido muito preguiçoso reutilizando a mesma senha de baixa qualidade em mais de alguns sites.
Próxima parada, a seção Sites Analisados. Aqui você encontrará uma análise muito concreta de todos os seus logins e senhas organizados por uso de senha duplicada (se você tiver duplicatas), senhas exclusivas e, finalmente, logins sem uma senha armazenada no LastPass. Enquanto você está examinando a lista, fique maravilhado com o contraste entre as forças da senha. No meu caso, um dos meus logins financeiros recebeu uma pontuação de senha de 45%, enquanto o login de Minecraft da minha filha recebeu uma pontuação perfeita de 100%. Mais uma vez, ai.
Corrigindo sua terrível pontuação no desafio de segurança
Há dois links muito úteis embutidos nas listagens de auditoria. Se você clicar em "SHOW", ele mostrará a senha do site e, se você clicar em "Visitar site", poderá ir direto para o site para alterar a senha. Não somente todas as senhas duplicadas devem ser alteradas, mas qualquer senha que foi anexada a uma conta que foi violada (como Adobe.com ou LinkedIn) deve ser retirada permanentemente.
Dependendo de quantas senhas você possui (e de quão diligente você tem sido em relação às boas práticas de senhas), essa etapa do processo pode levar dez minutos ou a tarde inteira. Embora o processo de alteração de suas senhas varie de acordo com o layout do site que você está atualizando, aqui estão algumas diretrizes gerais a seguir (estamos usando nossa atualização de senha em Remember the Milk como exemplo): Visite a página de alteração de senha . Normalmente, você precisará inserir sua senha atual e, em seguida, gerar uma nova senha.
Faça isso clicando no logotipo de bloqueio com seta circular. LastPass insere no novo slot de senha (como visto na imagem acima). Examine sua nova senha e faça ajustes se desejar (como alongá-la ou adicionar caracteres especiais):
Clique em "Usar senha" e confirme se deseja atualizar a entrada que você está editando:
Certifique-se de confirmar a alteração com o site também. Repita o processo para cada senha duplicada e fraca no seu cofre LastPass.
Finalmente, a última coisa que você precisa fazer auditoria é a sua senha mestra LastPass. Faça isso clicando no link na parte inferior da tela de desafio chamada "Testar a força da minha senha mestra do LastPass". Se você não vê isso:
Você precisa redefinir sua senha mestra LastPass e aumentar a força até receber uma confirmação positiva e 100% de força..
Examinando os resultados e aprimorando ainda mais sua segurança LastPass
Depois de passar pela lista de senhas duplicadas, excluir entradas antigas e arrumar e proteger sua lista de login / senha, é hora de executar a auditoria novamente. Agora, para ênfase, a pontuação que você vê abaixo foi trazida apenas pela melhoria da segurança de senha. (Se você ativar recursos de segurança adicionais, como a autenticação multifator, receberá um aumento de cerca de 10%).
Não é ruim! Depois de eliminar todas as senhas duplicadas e trazer todas as senhas existentes com 90% ou mais de força, isso realmente melhorou nossa pontuação. Se você está curioso para saber por que ele não saltou para 100%, existem alguns fatores em jogo, o mais importante é que algumas senhas nunca podem ser levadas ao snuff pelos padrões LastPass por causa das políticas tolas implementadas pelo administradores do site. Por exemplo, a senha de login da minha biblioteca local é um pin de quatro dígitos (que marca 4% na escala de segurança LastPass). A maioria das pessoas terá algum tipo de discrepâncias como essa em sua lista e isso irá diminuir sua pontuação.
Nesses casos, é importante não desanimar e usar sua análise detalhada como uma métrica:
No processo de atualização de senha, eu apaguei 17 sites duplicados / expirados, criei uma senha exclusiva para cada site e serviço e reduzi o número de sites com senhas duplicadas de 43 para 0 no processo..
Levou apenas cerca de uma hora de tempo seriamente concentrado (12,4% dos quais foram gastos amaldiçoando designers de sites que colocam links de atualização de senha em lugares obscuros), e tudo que levei para me motivar foi uma quebra de senha de proporções catastróficas! Eu estou fazendo uma nota aqui, enorme sucesso.
Agora que você já auditou suas senhas e está empolgado para ter uma senha única e estável, aproveitemos esse impulso para frente. Hit up nosso guia para fazer LastPass até mais seguro aumentando as iterações de senha, restringindo logins por país e muito mais. Entre a execução da auditoria que descrevemos aqui, seguindo nosso guia de segurança LastPass e ativando algoritmos de dois fatores, você terá um sistema de gerenciamento de senhas à prova de balas do qual pode se orgulhar.