如果你’重新练习宽松的密码管理和卫生,’越来越多的大规模安全漏洞之一将您烧死,只是时间问题。不要再感恩了,您躲过了过去的安全漏洞项目,并为将来的项目做好了准备。请继续阅读,我们将向您展示如何审核密码并保护自己。

什么’是什么大事,为什么这很重要?

今年10月,Adobe透露发生了重大安全漏洞,影响了300万Adobe.com和Adobe软件用户。然后他们将数字修改为3800万。然后,更令人震惊的是,当黑客入侵的数据库泄漏时,分析数据库的安全研究人员回来了,并说它更像 1.5亿 遭到入侵的用户帐户。这种程度的用户暴露使Adobe漏洞成为历史上最严重的安全漏洞之一。

但是,在这方面,Adobe并不孤单。我们只是与他们的违反行为开了,因为 ’最近很痛苦。仅在过去的几年中,就发生了数十起大规模的安全漏洞,包括密码在内的用户信息遭到破坏。

领英 was hit in 2012 (6.46 million user records compromised). 那 same year, eHarmony was hit (1.5 million user records) as was Last.fm (6.5 million user records) 和 Yahoo! (450,000 user records). The Sony Playstation Network was hit in 2011 (101 million user records compromised). Gawker Media (the parent company of sites like Gizmodo 和 Lifehacker) was hit in 2010 (1.3 million user records compromised). And those are just examples of large breaches that made the news!

隐私权信息交换所维护 2005年至今的安全漏洞数据库。他们的数据库包括多种违规类型:信用卡被盗,社会安全号码被盗,密码和医疗记录被盗。截止本文发布时,数据库由 4,033次违规 包含 617,937,023用户记录。数以亿计的违规事件中,并不是每一个都涉及用户密码,但数以亿计的密码泄露却涉及到用户密码。

有关: 电子邮件密码遭到破坏后如何​​恢复

那为什么重要呢?除了明显和直接的安全隐患外,这些违规还造成附带损害。黑客可以立即开始测试他们在其他网站上收获的登录名和密码。

大多数人都懒于使用密码,因此’一个很好的机会是,如果有人使用[email protected]并使用了密码bob1979,则相同的登录名/密码对在其他网站上也可以使用。如果这些其他网站的知名度较高(例如银行网站,或者如果他在Adobe使用的密码实际上解锁了他的电子邮件收件箱),那么那里’是一个问题。一旦有人可以访问您的电子邮件收件箱,他们就可以开始重置其他服务的密码并也可以访问它们。

阻止这种连锁反应在您使用的网站和服务网络内引起更多安全问题的唯一方法是,遵循两个良好的密码卫生原则。

  1. 您的电子邮件密码应该长而安全,并且在所有登录名中应该是唯一的。
  2. 每一个 登录名将获得一个长而牢固的唯一密码。没有密码重用。 曾经

这两个规则是我们每本安全指南的重点’曾经与您分享过,包括我们的紧急“迷”指南 电子邮件密码遭到破坏后如何​​恢复.

现在,此时’坦率地说,是因为几乎没有任何人具有完全密不透风的密码惯例和安全性。您’如果缺少密码卫生,请不要孤单。实际上,’告白的时间到了。

I’多年来,我撰写了数十篇安全文章,有关安全漏洞的文章以及其他与密码有关的文章’我去过How-To Geek。尽管我是那种知识渊博的人,但我使用电子邮件运行电子邮件时,尽管使用了密码管理器并为每个新网站和服务生成安全密码,但他们应该更了解。 受感染的Adobe登录名列表 并将其与泄露的密码匹配,我仍然发现我’d gotten burned.

我很早以前就建立了Adobe帐户,当时我对密码的卫生习惯比较松懈,而我所使用的密码在 许多 我所提供的网站和服务’d在我非常认真地准备好良好的密码之前先与签了名。

如果我能避免所有这些’d充分实践了我的讲道,不仅创建了独特而强大的密码,而且 审核了我的旧密码,以确保最初不会发生这种情况。不管你’甚至从未尝试过与密码习惯保持一致和安全,或者您只需要检查一下它们以使自己放心,彻底的密码审核是通往密码安全性和安心的途径。继续阅读,我们向您展示如何。

为您的Lastpass安全挑战做准备

您可以手动审核密码,但这将非常繁琐,并且您不会’获得使用良好通用性的任何好处 密码管理员。我们无需手动审核所有内容,而是’我们将采取简单且高度自动化的路线:我们’将通过参加LastPass安全挑战赛来审核我们的密码。

本指南赢了’无法设置LastPass,因此如果您不这样做’如果尚未启动并运行LastPass系统,我们强烈建议您进行设置。查看 HTG LastPass入门指南 to get started. Although LastPass has updated since we wrote the guide (the interface is much prettier 和 better streamlined now), you can still follow the steps with ease. 如果你’第一次重新设置LastPass,请确保导入  所有 您从浏览器存储的密码,因为我们的目标是审核您的每个密码’re using.

在LastPass中输入每个登录名和密码: 不管你’重新使用LastPass或您还没有’在每次登录时都已充分使用它,现在是时候确保您’ve entered  每一个 登录到LastPass系统。我们’再去回应我们的建议 我们的电子邮件恢复指南 用于整理电子邮件收件箱以进行提醒:

在您的电子邮件中搜索注册提醒。 记住您经常使用的登录名(如Facebook和您的银行)并不难,但可能会有数十种支出服务,您甚至可能都不记得您使用电子邮件登录了。使用关键字搜索,例如“欢迎使用”,“重置”,“恢复”,“验证”,“密码”,“用户名”,“登录”,“帐户”及其组合,例如“重置密码”或“验证帐户” 。同样,我们知道这很麻烦,但是一旦您使用密码管理器来完成此操作,就可以拥有所有帐户的主列表,而不必再进行此关键字搜索了。

在您的LastPass帐户上启用两因素身份验证: 严格来说,执行安全审核不是必须执行此步骤,但是在我们引起您注意的同时,’我们将竭尽所能鼓励您’重新使用您的LastPass帐户 开启两因素验证 进一步保护您的LastPass保险库。 (这不仅可以提高您的帐户安全性,’也会提高您的安全审核分数!)

接受LastPass安全挑战

现在你’已经导入了所有密码,’是时候让自己为不在1%的核心密码安全忍者中而感到羞耻了。前往 LastPass安全挑战 页面并按“Start the Challenge”在页面底部。您’如上面的屏幕截图所示,系统将提示您输入主密码,然后LastPass将提供检查您的保管库中包含的任何电子邮件地址是否属于其已跟踪的任何违规行为的一部分。那里’没有充分的理由不利用此优势:

如果你’re lucky, it returns a negative. 如果你’幸运的是,您会收到一个类似这样的弹出窗口,询问您是否需要有关电子邮件所涉及的违规行为的更多信息:

LastPass will issue a single security alert for each instance. 如果你’如果您的电子邮件地址已经存在很长时间了,请准备好为它处理了多少次密码泄露事件感到震惊。’s密码泄露通知的示例:

弹出窗口后,您’将会转储到LastPass安全挑战赛的主面板中。请记住,在指南的前面,当我谈论我目前如何保持良好的密码卫生习惯时,’d从来没有到过适当地更新许多旧网站和服务的地步?它确实显示在我收到的分数中。哎哟:

那’是我的分数,其中混入了多年的随机密码。Don’如果您的分数更低,不要太震惊’一次又一次地使用相同的弱密码。现在我们有了自己的分数(但是可能很棒或可耻),’是时候挖掘数据了。您可以使用分数百分比旁边的快速链接,也可以开始滚动。第一站,让’检查详细的结果。考虑一下这10,000英尺的密码状态概览:

虽然您应该注意此处的所有统计信息,但真正重要的是“平均密码强度”,您的平均密码强度有多弱,甚至更重要的是,“重复密码数” 和 “具有重复密码的站点数 ”。在我审核的过程中,在43个站点中有8个重复项。显然,我懒于在多个站点上重用相同的低级密码。

下一站,“分析的地点”部分。在这里你’您会发现所有登录名和密码的非常具体的细分,这些登录名和密码是由重复使用密码(如果重复),唯一密码以及最后没有密码存储在LastPass中的组织的。当你’重新查看列表,惊叹于密码强度之间的对比。就我而言,我的一个财务登录帐户的密码得分为45%,而我的女儿’Minecraft登录名获得100%的满分。再次,哎呀。

修正可怕的安全挑战分数

审核清单中内置了两个非常有用的链接。如果单击“SHOW”它会显示该站点的密码,如果您单击“Visit Site”您可以直接跳至该网站,以便更改密码。不仅应更改每个重复的密码,而且应将与该帐户(例如Adobe.com或LinkedIn)有关的任何密码永久删除。

取决于您拥有多少个密码(以及您的勤奋程度’(关于良好的密码习惯),该过程的这一步骤可能会花费您十分钟或整个下午的时间。尽管更改密码的过程会根据您网站的布局而有所不同’重新更新,以下是一些一般性指南(我们’以“记住牛奶”中的密码更新为例):访问密码更改页面。通常你’需要输入您的当前密码,然后生成一个新密码。

通过单击带有圆形箭头的徽标来进行锁定。 LastPass插入新的密码插槽(如上面的屏幕截图所示)。查看新密码并根据需要进行调整(例如加长密码或添加特殊字符):

请点击“Use Password”然后确认您要更新条目’re editing:

确保也与网站确认更改。对LastPass保险库中的每个重复密码和弱密码重复此过程。

最后,您需要审核的最后一件事是您的LastPass主密码。单击“挑战”屏幕底部标记为“链接”的链接“测试我的LastPass主密码的强度”. 如果你 don’t see this:

您需要重置LastPass主密码并增加强度,直到收到一个不错的,肯定的100%强度确认为止。

调查结果并进一步增强LastPass安全性

在你之后’我们遍历了重复密码列表,删除了旧条目,然后整理并保护了您的登录名/密码列表,它’是时候再次运行审核了。现在,为强调起见,您在下面看到的分数仅仅是通过提高密码安全性来提高的。 (如果启用了其他安全功能,例如 多因素认证,你’将获得约10%的提升)。

不错!在消除了每个重复的密码并将所有现有密码的强度提高到90%或更高之后,它的确提高了我们的得分。如果你’很好奇为什么没有’如果升至100%,则有几个因素在起作用,其中最突出的因素是,由于站点管理员制定了愚蠢的策略,某些密码永远无法通过LastPass标准充实。例如我的本地图书馆’s的登录密码是一个四位数的密码(在LastPass安全等级上的得分为4%)。大多数人的名单中都会有类似的异常值,这会拖累他们的得分。

在这种情况下’重要的是不要灰心,并使用详细的细分作为指标:

在密码更新过程中,我修剪了17个重复/过期的站点,为每个站点和服务创建了唯一的密码,并在此过程中将具有重复密码的站点数从43减少到0。

它只花了一个小时的时间就认真地集中在一个时间上(其中有12.4%的时间花在了诅咒那些将密码更新链接放在晦涩的地方的网站设计者),而使我充满动力的却是密码的破坏。一世’我在这里做笔记,取得了巨大的成功。


现在你’我审核了您的密码,您’再说一遍,拥有稳定的唯一密码,让’利用这一向前的势头。打起来 我们制作LastPass的指南  甚至 更安全 通过增加密码迭代次数,按国家/地区限制登录等。在执行我们此处概述的审核,遵循LastPass安全指南以及启用两因素算法之间,您可以’拥有引以为豪的防弹密码管理系统。

 

杰森·菲茨帕特里克(Jason Fitzpatrick) 杰森·菲茨帕特里克(Jason Fitzpatrick)
贾森·菲茨帕特里克(Jason Fitzpatrick)是LifeSavvy的总编辑,这是How-To Geek的姊妹网站,重点介绍生活技巧,技巧和窍门。他拥有十多年的出版经验,并在Review Geek,How-To Geek和Lifehacker撰写了数千篇文章。 Jason在加入How-To Geek之前曾担任Lifehacker的周末编辑。
阅读完整的传记»