如何執行last-pass安全稽核(以及為什麼它不能等待)

如果你的密碼管理和個人衛生都很鬆懈,那麼越來越多的大規模安全漏洞會燒死你,這只是時間問題。別再慶幸你躲過了過去的安全漏洞子彈,為未來的子彈穿上盔甲。請繼續閱讀,我們將向您展示如何稽核密碼和保護自己。...

如何執行last-pass安全稽核(以及為什麼它不能等待)

如果你的密碼管理和個人衛生都很鬆懈,那麼越來越多的大規模安全漏洞會燒死你,這只是時間問題。別再慶幸你躲過了過去的安全漏洞子彈,為未來的子彈穿上盔甲。請繼續閱讀,我們將向您展示如何稽核密碼和保護自己。

有什麼大不了的,為什麼這很重要?

如何執行last-pass安全稽核(以及為什麼它不能等待)

今年10月,Adobe透露,有一個重大的安全漏洞影響了300萬用戶Adobe.com和Adobe軟體。然後他們把數字改為3800萬。然後,更令人震驚的是,當駭客的資料庫被洩露時,分析資料庫的安全研究人員回來說,這更像是1.5億個被洩露的使用者帳戶。這種程度的使用者暴露使Adobe漏洞成為歷史上最嚴重的安全漏洞之一。

然而,Adobe在這方面並不孤單;我們只是以他們的漏洞作為開場白,因為這是一個令人痛苦的近期事件。僅在過去幾年,就發生了數十起大規模的安全漏洞,包括密碼在內的使用者資訊遭到洩露。

LinkedIn在2012年受到攻擊(646萬條使用者記錄被洩露)。同年,eHarmony也受到了衝擊(150萬條使用者記錄)最後一個.fm(650萬用戶記錄)和雅虎!(450000條使用者記錄)。索尼Playstation網路在2011年受到衝擊(1.01億使用者記錄被洩露)。Gawker Media(Gizmodo和tl80等網站的母公司)在2010年遭到攻擊(130萬條使用者記錄被洩露)。而這些只是造成新聞的重大違規的例子!

隱私權資訊交換所擁有一個從2005年至今的安全漏洞資料庫。他們的資料庫包括各種各樣的違規型別:信用卡洩露、社會安全號碼被盜、密碼被盜和醫療記錄。截至本文釋出之日,該資料庫由4033個漏洞組成,包含617937023條使用者記錄。不是每一個數以億計的漏洞涉及使用者密碼,但數以百萬計的人這樣做。

相關:如何恢復後,你的電子郵件密碼被洩露

So why does it matter? Aside from the obvious and immediate security implicati*** of a breach, the breaches create collateral damage. The hackers can immediately start testing the logins and passwords they harvest at other web sites.

大多數人都懶得使用密碼,如果有人使用[email protected]使用密碼bob1979,相同的登入/密碼對將在其他網站上工作。如果其他網站的知名度更高(比如銀行網站,或者如果他在Adobe使用的密碼實際上打開了他的電子郵件收件箱),那麼就有問題了。一旦有人訪問了您的電子郵件收件箱,他們就可以開始重置其他服務的密碼,並獲得對它們的訪問權。

要阻止這種連鎖反應在您使用的網站和服務網路中造成更多安全問題,唯一的方法是遵循兩條基本的密碼衛生規則:

  1. 你的電子郵件密碼應該是長的,強的,並且在所有登入中是完全唯一的。
  2. 每次登入都會得到一個長、強且唯一的密碼。無密碼重用。永遠不會。

這兩條規則是我們與你分享過的每一條安全指南的外賣,包括我們的緊急情況——它擊中了粉絲指南——在你的電子郵件密碼被洩露後如何恢復。

現在,你可能有點不安了,因為,坦白地說,幾乎沒有人擁有完全密封的密碼實踐和安全性。如果你的密碼不衛生,你並不孤單。事實上,是時候懺悔了。

在howtogeek工作的這些年裡,我寫了幾十篇安全文章,關於安全漏洞的帖子,以及其他與密碼相關的帖子。儘管我是那種應該更瞭解情況的知情人士,儘管我使用了密碼管理器,為每一個新網站和服務生成了安全的密碼,但當我把我的電子郵件瀏覽了洩露的Adobe登入列表,並將其與洩露的密碼進行比對時,我仍然發現我被燒壞了。

我很早以前就建立了Adobe帳戶,那時我對密碼的管理非常寬鬆,我使用的密碼在很多網站和服務中都很常見,在我非常認真地**好密碼之前,我就已經註冊了這些網站和服務。

如果我充分實踐了我所宣揚的,不僅建立了獨特而強大的密碼,而且還稽核了我的舊密碼,以確保這種情況從一開始就不會發生,所有這些都是可以避免的。無論您是否從未嘗試過與您的密碼實踐保持一致和安全,或者您只需要檢查它們以使自己放鬆,徹底的密碼稽核是密碼安全和安心的途徑。請繼續閱讀我們的演示。

為你的最後***安全挑戰做準備

如何執行last-pass安全稽核(以及為什麼它不能等待)

您可以手動審計您的密碼,但這將是非常繁瑣的,您不會獲得任何好處,使用一個好的通用密碼管理器。我們將採用簡單且基本自動化的方法,而不是手動稽核所有內容:我們將透過接受LastPass安全挑戰來稽核密碼。

本指南不包括設定LastPass,因此如果您還沒有安裝並執行LastPass系統,我們強烈建議您設定一個。檢視HTG指南,開始使用LastPass。雖然LastPass在我們編寫指南之後已經更新了(現在介面更漂亮,流線型更好),但是您仍然可以輕鬆地遵循這些步驟。如果您是第一次設定LastPass,請確保從瀏覽器匯入所有儲存的密碼,因為我們的目標是稽核您使用的每個密碼。

在LastPass中輸入每個登入名和密碼:無論您是LastPass的新使用者還是尚未完全使用它進行每次登入,現在都是確保您已將每個登入名輸入LastPass系統的時候了。我們將回應我們在電子郵件恢復指南中給出的建議,該指南將梳理您的電子郵件收件箱以獲取提醒:

Search your email for registration reminders. It won’t be hard to remember your frequently used logins like Facebook and your bank but there are likely dozens of outlaying services that you may not even remember that you use your email to log into. Use keyword searches like “welcome to”, “reset”, “recovery”, “verify”, “password”, “username”, “login”, “account” and combinati*** there of like “reset password” or “verify account”. Again, we know this is a hassle, but once you’ve done this with a password manager at your side, you have a master list of all your account and you’ll never have to do this keyword hunt again.

在你的LastPass帳戶上啟用雙因素身份驗證:這一步對執行安全稽核不是嚴格必要的,但是當你在LastPass帳戶中搗亂時,我們將盡一切努力鼓勵你啟用雙因素身份驗證以進一步保護你的LastPass保險庫。(它不僅提高了您的帳戶安全性,還將提高您的安全稽核分數!)

接受lastpass安全挑戰

如何執行last-pass安全稽核(以及為什麼它不能等待)

現在你已經匯入了所有的密碼,是時候讓自己為沒有加入1%的硬核密碼安全忍者而感到羞愧了。訪問LastPass Security Challenge頁面,然後按頁面底部的“Start the Challenge”。系統將提示您輸入主密碼,如上面的螢幕截圖所示,然後LastPass將提供檢查您的保險庫中包含的任何電子郵件地址是否屬於它跟蹤到的任何違規行為的一部分。沒有充分的理由不利用這一點:

如何執行last-pass安全稽核(以及為什麼它不能等待)

If you’re lucky, it returns a negative. If you’re lucky, you get a pop-up like this asking if you want more information about the breaches your email was involved in: 如何執行last-pass安全稽核(以及為什麼它不能等待)

LastPass將為每個例項發出一個安全警報。如果你已經有你的電子郵件地址很長一段時間了,準備好震驚於有多少密碼洩露已經糾結在一起。下面是一個密碼違反通知的示例:

如何執行last-pass安全稽核(以及為什麼它不能等待)

在彈出視窗之後,您將進入LastPass安全挑戰的主面板。還記得之前在指南中我談到我目前如何實踐良好的密碼衛生,但我從來沒有抽出時間來適當地更新許多舊的網站和服務嗎?從我得到的分數中就可以看出。哎喲:

如何執行last-pass安全稽核(以及為什麼它不能等待)

這是我的分數和多年的隨機密碼混合在一起。如果你一次又一次地使用同一把弱密碼,你的分數甚至更低,不要太震驚。現在我們有了我們的分數(不管它多麼可怕或可恥),是時候挖掘資料了。你可以使用分數百分比旁邊的快速連結,也可以開始滾動。第一站,我們來看看詳細的結果。請將此作為密碼狀態的10000英尺概述:

如何執行last-pass安全稽核(以及為什麼它不能等待)

雖然你應該注意這裡的所有統計資料,但真正重要的是“平均密碼強度”,你的平均密碼有多弱或多強,更重要的是,“重複密碼的數量”和“有重複密碼的站點的數量”。在我審計的原因,有8個重複在43個網站。很明顯,我在不止幾個網站上很懶得重複使用同一個低階密碼。

下一站,分析站點部分。在這裡,你會發現一個非常具體的細分,你所有的登入和密碼組織的重複密碼使用(如果你有重複的),唯一的密碼,最後,登入沒有密碼儲存在LastPass。當你瀏覽列表時,請驚歎於密碼優勢之間的對比。在我的例子中,我的一個財務登入被給予45%的密碼分數,而我女兒的Minecraft登入被給予完美的100%分數。又來了,哎喲。

修正你糟糕的安全挑戰分數

如何執行last-pass安全稽核(以及為什麼它不能等待)

審計列表中有兩個非常有用的連結。如果您單擊“顯示”,它將顯示該網站的密碼,如果您單擊“訪問網站”,您可以直接跳轉到該網站,這樣您就可以更改密碼。不僅要更改每個重複的密碼,還要更改任何附加到被破壞的帳戶的密碼(例如Adobe.com或LinkedIn)應該永久退役。

取決於你有多少密碼(以及你對良好的密碼實踐有多認真),這個過程的這一步可能需要你十分鐘或整個下午。儘管更改密碼的過程會根據您正在更新的站點的佈局而有所不同,但以下是一些需要遵循的一般準則(我們以RemembertheMilk的密碼更新為例):訪問密碼更改頁面。通常,您需要輸入當前密碼,然後生成新密碼。

如何執行last-pass安全稽核(以及為什麼它不能等待)

為此,請單擊帶有圓形箭頭徽標的鎖。LastPass**新的密碼槽(如上面的螢幕截圖所示)。檢視您的新密碼,並根據需要進行調整(例如加長密碼或新增特殊字元):

如何執行last-pass安全稽核(以及為什麼它不能等待)

單擊“使用密碼”,然後確認要更新正在編輯的條目:

如何執行last-pass安全稽核(以及為什麼它不能等待)

請務必與網站確認更改。對上次通行保險庫中的每個重複和弱密碼重複此過程。

最後,您最不需要稽核的是您的LastPass主密碼。透過點選質詢螢幕底部的連結“測試我的LastPass主密碼的強度”。如果你看不到這個:

如何執行last-pass安全稽核(以及為什麼它不能等待)

你需要重置你的LastPass主密碼,並增加強度,直到你收到一個不錯的,積極的,100%強度確認。

調查結果並進一步加強你的lastpass安全性

在您費力地瀏覽了重複密碼列表、刪除了舊條目,或者整理並保護了您的登入/密碼列表之後,是時候再次執行審計了。現在,為了強調,你在下面看到的分數僅僅是透過提高密碼安全性來提高的。(如果您啟用其他安全功能,如多因素身份驗證,您將獲得大約10%的提升)。

如何執行last-pass安全稽核(以及為什麼它不能等待)

不錯!在消除了所有重複的密碼,並使所有現有的密碼達到90%或更好的強度,它真的提高了我們的分數。如果你想知道為什麼它沒有跳到100%,有幾個因素在起作用,其中最突出的是,一些密碼永遠不能提出的最後透過標準,因為愚蠢的政策到位的網站管理員。例如,我的本地庫的登入密碼是一個四位數的pin(在LastPass安全等級中得分為4%)。大多數人都會在他們的列表中出現類似的異常值,這會拖累他們的分數。

在這種情況下,重要的是不要氣餒,並使用您的詳細細分作為衡量標準:

如何執行last-pass安全稽核(以及為什麼它不能等待)

在密碼更新過程中,我刪減了17個重複/過期的站點,為每個站點和服務建立了一個唯一的密碼,並在更新過程中將具有重複密碼的站點數量從43個減少到0個。

它只花了大約一個小時的時間(其中12.4%的時間用來咒罵那些把密碼更新連結放在晦澀地方的網站設計師),而讓我有動力的只是一次災難性的密碼洩露!我在這裡做個記錄,巨大的成功。


既然你已經稽核了你的密碼,並且對擁有一個穩定的唯一密碼感到興奮,那麼讓我們利用這個前進的動力。點選我們的指南,透過增加密碼迭代次數、按國家限制登入等,使LastPass更加安全。在執行我們在這裡概述的審計、遵循我們的LastPass安全指南和啟用雙因素演算法之間,您將擁有一個您可以引以為豪的防彈密碼管理系統。

 

  • 發表於 2021-04-11 14:00
  • 閱讀 ( 53 )
  • 分類:網際網路

你可能感興趣的文章

為什麼你應該透過這些線上課程學習道德駭客

...來好像很多。但即使你離開了,你也會更加清楚地意識到如何在網上保護自己。在未來的日子裡,這可能是一個寶貴的教訓。 ...

  • 發佈於 2021-03-13 18:44
  • 閲讀 ( 61 )

信任linux的5個完美理由

...本中的軟體只有有限的影響。**不知道該問誰,也不知道如何以使用者可以接受的方式實施跟蹤。 ...

  • 發佈於 2021-03-14 01:17
  • 閲讀 ( 49 )

如何在kodi上設定vpn以及為什麼要

... 既然你知道為什麼在Kodi上使用VPN很重要,我將向你展示如何設定一個。 ...

  • 發佈於 2021-03-14 16:54
  • 閲讀 ( 61 )

最討厭的windows版本(以及為什麼它們如此糟糕)

...當作業系統推出時,人們驚慌失措,因為他們甚至不知道如何關閉電腦。這顯然是微軟的失敗。 ...

  • 發佈於 2021-03-16 17:17
  • 閲讀 ( 52 )

如何使用lynis稽核linux系統的安全性

...多的保護。安全是網際網路連線裝置的一切,所以這裡有如何確保您的安全鎖定。 你的linux電腦有多安全? Lynis執行一套自動化測試,徹底檢查Linux作業系統的許多系統元件和設定。它以顏色編碼的ASCII報告的形式,列出了分級...

  • 發佈於 2021-04-02 03:25
  • 閲讀 ( 44 )

什麼是“microsoft網路實時檢查服務”(nissrv.exe檔案)為什麼它在我的電腦上執行?

...程序的報告NisSrv.exe檔案過程。如果你擔心的話,下面是如何檢查檔案是否合法的。 在Windows 10上,右鍵單擊工作管理員中的“Microsoft網路實時檢查服務”程序,然後選擇“開啟檔案位置” 在最新版本的Windows 10上,您應該在C:\Pro...

  • 發佈於 2021-04-05 06:26
  • 閲讀 ( 52 )

什麼是sandboxd,為什麼它在我的mac上執行?

...n behalf of the Sandbox kernel extension. 相關:沙盒解釋:它們是如何保護你的,以及如何對任何程式進行沙盒 什麼是沙盒?您可以在沙盒上檢視我們的解釋程式以獲得概述,但沙盒在很大程度上阻止應用程式訪問它不需要的系統部分...

  • 發佈於 2021-04-06 16:30
  • 閲讀 ( 42 )

為什麼重啟路由器可以解決這麼多問題(為什麼你要等10秒)

...是修復。你的路由器也是如此:它也需要更新。 相關:如何確保您的家庭路由器有最新的安全更新 我們已經概述瞭如何更新路由器在過去,所以我們不會再雜湊在這裡。但這個過程並不像你想象的那麼難:你通常只需要開啟你...

  • 發佈於 2021-04-07 00:58
  • 閲讀 ( 52 )

什麼是“假離線子系統應用程式”(列印服務程式),為什麼它在我的電腦上執行?

...程式或實用程式有問題,或者印表機配置錯誤。 相關:如何讓Windows為你解決電腦的問題 在這種情況下,建議執行Windows列印疑難解答。在Windows 10上,請轉至“設定”>“更新”&安全性”>“疑難解答”,然後執行...

  • 發佈於 2021-04-07 07:07
  • 閲讀 ( 53 )

什麼是windows登入應用程式(winlogon.exe),為什麼它在我的電腦上執行?

...用此程序。它是Windows的關鍵部分,必須一直執行。無論如何,沒有理由禁用它,因為它只是在後臺使用少量資源來執行關鍵的系統功能。 如果您試圖從工作管理員結束程序,您將看到一條訊息,指出結束程序“將導致Windows無法...

  • 發佈於 2021-04-07 08:19
  • 閲讀 ( 74 )
npy0480
npy0480

0 篇文章

作家榜

  1. admin 0 文章
  2. 孫小欽 0 文章
  3. JVhby0 0 文章
  4. fvpvzrr 0 文章
  5. 0sus8kksc 0 文章
  6. zsfn1903 0 文章
  7. w91395898 0 文章
  8. SuperQueen123 0 文章

相關推薦