ラストパスセキュリティ監査を実行する方法(およびそれが待機できない理由)
あなたがゆるいパスワード管理と衛生を実践しているならば、ますます多くの大規模なセキュリティ侵害の1つがあなたを燃やすまでの時間の問題です。感謝するのをやめて、あなたは過去のセキュリティ侵害の弾丸を避け、将来のものに対して身を守ります。パスワードを監査して自分自身を保護する方法について説明します。.
大したことは何で、なぜこれが重要なのか?
今年10月、アドビは、300万人のAdobe.comおよびAdobeソフトウェアのユーザに重大なセキュリティ侵害があったことを明らかにしました。それから彼らは3800万に数を修正しました。それから、さらにもっと驚いたことに、ハックからのデータベースがリークされたとき、データベースを分析したセキュリティ研究者は戻ってきて、それがより類似していると言った 1億5000万 侵害されたユーザーアカウントこの程度のユーザーエクスポージャーにより、アドビの侵害は歴史上最悪のセキュリティ侵害の1つとして実行されています。.
しかし、この面でアドビだけが一人ではありません。それは痛いほど最近なので、我々は単に彼らの違反でオープンしました。ここ数年だけでも、パスワードを含むユーザー情報が危険にさらされている大規模なセキュリティ侵害が数十件発生しています。.
LinkedInは2012年に打撃を受けました(646万のユーザーレコードが侵害されました)。同年、e.Harmonyが(150万ユーザーレコード)打撃を受け、Last.fm(650万ユーザーレコード)とYahoo!がヒットしました。 (45万ユーザレコード) Sony Playstation Networkは2011年に打撃を受けました(1億1000万のユーザーレコードが漏えいしました)。 Gawker Media(GizmodoやLifehackerなどのサイトの親会社)は、2010年にヒットしました(130万のユーザーレコードが漏えいしました)。そして、それらはニュースを作った大きな違反のほんの一例です!
プライバシー権クリアリングハウスは、2005年から現在までのセキュリティ侵害のデータベースを管理しています。そのデータベースには、侵害されたクレジットカード、盗まれた社会保障番号、盗まれたパスワード、および医療記録など、さまざまな種類の違反が含まれています。この記事の発行時点でのデータベースは、次のもので構成されています。 4,033件の違反 含む 617,937,023ユーザーレコード. これらの何億もの違反のすべてがユーザーのパスワードに関連しているわけではありませんが、何百万ものユーザーに悪用されています.
では、なぜそれが重要なのでしょうか。明らかに即時のセキュリティ侵害の影響とは別に、違反は付随的な被害をもたらします。ハッカーは即座に他のWebサイトで収集したログインとパスワードのテストを開始できます。.
ほとんどの人は自分のパスワードに怠け者で、誰かが[email protected]をパスワードbob1979と使用した場合、同じログイン/パスワードのペアが他のWebサイトでも機能する可能性があります。これらの他のWebサイトが有名である場合(銀行サイトのように、または彼がアドビで使用したパスワードが実際に彼のEメール受信箱のロックを解除する場合)、問題があります。誰かがあなたのEメールの受信箱にアクセスすると、他のサービスのパスワードを再設定してアクセスすることもできます。.
この種の連鎖反応によって、使用しているWebサイトやサービスのネットワーク内でさらにセキュリティ上の問題が発生しないようにする唯一の方法は、2つの基本的なパスワード衛生規則に従うことです。
- あなたのEメールパスワードは長く、強く、そしてすべてのログインの間で完全にユニークであるべきです.
- すべての ログインは長く、強く、そしてユニークなパスワードを得ます。パスワード再利用なし. 今まで.
これら2つのルールは、私たちがこれまでに共有してきたすべてのセキュリティガイドから抜粋したものです。.
率直に言って、完全に気密なパスワード慣行とセキュリティを持っている人はほとんどいないので、この時点では、多分少々悩んでいるでしょう。あなたのパスワード衛生が欠けているならあなたは一人ではありません。事実、告白の時間です.
私はHow-To Geekに行ってきた何年にもわたる、何十ものセキュリティ記事、セキュリティ侵害に関する記事、その他パスワード関連の記事を書いてきました。パスワードマネージャを使用し、すべての新しいWebサイトおよびサービスに対して安全なパスワードを生成しているにもかかわらず、正確に知っておくべき情報に精通している人にもかかわらず。やけどを負った.
私は自分のパスワードの衛生状態がかなり緩んでいたときにずっと前にそのAdobeアカウントを作りました。 数十 良いパスワードを作ることに真剣に取り組む前に私がサインアップしたウェブサイトやサービスのリスト.
私が説教したことを完全に実践し、固有の強力なパスワードを作成しただけではなく、そのすべてが妨げられた可能性があります。 また そんな状況がそもそも起こらないように私の古いパスワードを監査しました。あなたが自分のパスワード慣行に一貫して安全であることさえ試みなかったとしても、あるいはあなた自身を安心させるためにそれらをチェックする必要があったとしても、徹底的なパスワード監査はパスワードセキュリティと安心の道への道です。私たちがあなたにどのようにあなたを示すように読んでください.
ラストパスセキュリティの課題に備える
手動でパスワードを監査することもできますが、これは非常に面倒であり、優れたユニバーサルパスワードマネージャを使用することによる利点は得られません。手動ですべてを監査するのではなく、簡単でほぼ自動化されたルートを使用します。LastPassセキュリティチャレンジを実行してパスワードを監査します。.
このガイドでは、LastPassの設定については説明しません。したがって、LastPassシステムがまだ起動していない場合は、設定することを強くお勧めします。開始するには、LastPass入門のHTGガイドを参照してください。 LastPassはこのガイドを書いてから更新されていますが(インターフェースは今よりずっときれいになり、より合理化されています)、それでもあなたは簡単にステップに従うことができます。初めてLastPassを設定する場合は、必ずインポートしてください。 すべて 私たちの目標はあなたが使っているすべてのパスワードを監査することなので、あなたのブラウザからあなたの保存されたパスワードを.
LastPassにすべてのログインとパスワードを入力してください。 あなたがLastPassの初心者であるかどうか、あるいはすべてのログインのためにそれを完全に使っていないかどうか、今あなたが入ったことを確認する時が来ました すべての LastPassシステムにログインします。私達は私達が私達のEメール回復ガイドであなたのEメール受信箱を思い出させるために梳くために与えたアドバイスを反映するつもりです:
登録リマインダをあなたのEメールで検索. Facebookや銀行のように頻繁に使用されるログインを覚えておくのは難しくありませんが、ログインにメールを使用したことを覚えていないこともあり得る、何十もの遅延サービスがある可能性があります。 「ようこそ」、「リセット」、「復旧」、「確認」、「パスワード」、「ユーザー名」、「ログイン」、「アカウント」などのキーワード検索と、「パスワードのリセット」や「アカウントの確認」などの組み合わせ。繰り返しになりますが、これは面倒なことですが、パスワードマネージャを使用してアカウントのマスターリストを作成すれば、このキーワードハントをやり直す必要がなくなります。.
LastPassアカウントで2要素認証を有効にします。 この手順はセキュリティ監査を実行するために厳密には必要ではありませんが、LastPassアカウントを見回している間は、2要素認証を有効にするために、できる限りの努力をしてください。 LastPassボールトをさらに安全にします。 (アカウントのセキュリティが向上するだけでなく、セキュリティ監査スコアも向上します。)
LastPassのセキュリティ課題に取り組む
すべてのパスワードをインポートしたので、1%の絶対的なパスワードセキュリティの忍者ではないことを恥に思うようになりましょう。 LastPassセキュリティチャレンジページにアクセスして、ページ下部の[チャレンジを開始]をクリックします。上記のスクリーンショットのように、マスターパスワードを入力するように求められます。その後、LastPassは、ボールトに含まれている電子メールアドレスのいずれかが追跡された違反の一部であるかどうかを確認するよう求めます。これを利用しない理由はありません。
運が良ければ、否定的な結果が返されます。運がよければ、あなたの電子メールが関係している違反についてもっと多くの情報が欲しいかどうか尋ねるこのようなポップアップを得るでしょう:
LastPassはインスタンスごとに単一のセキュリティ警告を発行します。長い間あなたのEメールアドレスを持っていたのであれば、それがいくつのパスワード侵害に巻き込まれたかにショックを受ける準備をしてください。ここにパスワード侵害通知の例を示します。
ポップアップが終わると、LastPassセキュリティチャレンジのメインパネルに飛びます。私が現在どのようにして良いパスワード衛生を実践しているかについて話したときにガイドの前の方で覚えていますが、私は多くの古いWebサイトとサービスを正しく更新することに戸惑いませんでしたか?それは本当に私が受け取ったスコアに現れています。痛い:
これは私の長年のランダムなパスワードが混在したスコアです。あなたが何度も何度も同じ弱いパスワードを使っていたとしてもスコアがさらに低くてもショックを受けないでください。これでスコアが得られました(ただし、それが素晴らしい、または恥ずべきことではあります)。それでは、データを詳しく調べます。あなたはあなたのスコアパーセンテージのそばにクイックリンクを使うことができるか、単にスクロールを始めることができます。まずは詳細な結果をチェックしましょう。これがあなたのパスワードの状態についての10,000フィートの概要であると考えてください:
ここですべての統計に注意を払う必要がありますが、本当に重要なのは「平均パスワード強度」、平均パスワードの強度の強さ、そしてさらに重要なのは「重複パスワードの数」および「重複パスワードを持つサイトの数」です。 」私の監査のもと、43のサイトに8つの複製がありました。明らかに私はいくつかのサイトで同じ低級のパスワードを再利用していてかなり怠け者でした。.
次に分析サイトセクションを停止します。ここでは、パスワードの重複使用(重複している場合)、固有のパスワード、そしてLastPassに保存されているパスワードなしのログインによって整理されたすべてのログインとパスワードの非常に具体的な内訳がわかります。リストを見ながら、パスワードの長所の違いに注目してください。私の場合、私の財務ログインの1つに45%のパスワードスコアが与えられ、私の娘のMinecraftログインには100%の完璧なスコアが与えられました。また、痛い.
あなたのひどいセキュリティチャレンジスコアを修正する
監査リストには、2つの非常に便利なリンクが組み込まれています。 「表示」をクリックするとそのサイトのパスワードが表示され、「サイトにアクセス」をクリックするとWebサイトに直接ジャンプしてパスワードを変更できます。重複したパスワードをすべて変更するだけでなく、違反したアカウント(Adobe.comやLinkedInなど)に添付されたパスワードも永久に廃止する必要があります。.
あなたが持っているパスワードの数(あるいはパスワードの慣習についてどれほど熱心に取り組んでいるか)にもよりますが、このステップでは10分から午後の時間がかかります。パスワードを変更するプロセスは、更新するサイトのレイアウトによって異なりますが、従うべき一般的なガイドラインは次のとおりです(例としてRemember the Milkのパスワード更新を使用しています)。 。通常は、現在のパスワードを入力してから新しいパスワードを生成する必要があります。.
円形矢印の付いたロゴをクリックしてください。 LastPassが新しいパスワードスロットに挿入されます(上のスクリーンショットのように)。新しいパスワードを確認し、必要に応じて調整します(パスワードを長くする、特殊文字を追加するなど)。
「パスワードを使用」をクリックして、編集中のエントリを更新することを確認します。
ウェブサイトでも変更を確認してください。 LastPassボールト内の重複した弱いパスワードごとにこの手順を繰り返します。.
最後に、あなたが監査する必要がある最後のものはあなたのLastPassマスターパスワードです。チャレンジ画面の下部にある「LastPassマスターパスワードの強度をテストする」というラベルの付いたリンクをクリックしてください。あなたがこれを見ないならば:
あなたはあなたのLastPassマスターパスワードをリセットし、あなたがいい、ポジティブ、100%強度の確認を受け取るまで強度を上げる必要があります.
結果の調査とLastPassセキュリティのさらなる強化
重複したパスワードのリストに目を通し、古いエントリを削除し、そうでなければログイン/パスワードリストを整理して保護した後、もう一度監査を実行します。今、強調するために、あなたが以下で見るスコアはパスワードセキュリティを改善することによってもっぱら育てられました。 (多要素認証などの追加のセキュリティ機能を有効にした場合は、約10%のブーストが得られます).
悪くない!重複するパスワードをすべて排除し、既存のパスワードをすべて最大90%以上の強度にすると、スコアが大幅に向上しました。 100%にならなかった理由を知りたければ、いくつかの要因が考えられますが、その中で最も顕著なのは、LastPass標準によって愚かなポリシーが設定されているためにパスワードが盗まれないことです。サイト管理者たとえば、私の地元の図書館のログインパスワードは4桁の暗証番号です(LastPassのセキュリティ規模では4%です)。ほとんどの人はリストにそのような異常値があり、それがスコアを下にドラッグします。.
そのような場合は、落胆しないようにし、詳細な内訳を測定基準として使用することが重要です。
パスワード更新プロセスでは、17の重複/期限切れサイトを整理し、すべてのサイトおよびサービスに固有のパスワードを作成し、プロセスで重複パスワードを持つサイトの数を43から0に減らしました。.
集中管理にかかる時間はわずか1時間(そのうちの12.4%はパスワード更新リンクをあいまいな場所に配置しているWebサイトのデザイナーを呪うのに費やされた)でした。私はここにメモをしています、大成功.
パスワードを監査し、安定した固有のパスワードを使用することに没頭したので、その前向きな勢いを活用しましょう。 LastPassを作るための私達のガイドを打ちなさい でも パスワードの繰り返し回数を増やしたり、ログインを国別に制限したりするなどして、セキュリティを強化します。ここで概説した監査を実行し、LastPassのセキュリティガイドに従って2つの要素からなるアルゴリズムを有効にするまでの間に、あなたが誇りに思うことができる防弾パスワード管理システムがあります。.