Cómo ejecutar una auditoría de seguridad de último paso (y por qué no puede esperar)
Si practica la administración e higiene de contraseñas laxas, es solo una cuestión de tiempo hasta que una de las violaciones de seguridad a gran escala, cada vez más numerosas, lo queme. Deja de estar agradecido de haber esquivado las pasadas balas de brecha de seguridad y armarte contra las futuras. Sigue leyendo mientras te mostramos cómo auditar tus contraseñas y protegerte..
¿Cuál es el problema y por qué esto importa??
En octubre de este año, Adobe reveló que había habido una brecha de seguridad importante que afectó a 3 millones de usuarios de Adobe.com y el software de Adobe. Luego revisaron el número a 38 millones. Entonces, aún más sorprendente, cuando se filtró la base de datos del hack, los investigadores de seguridad que analizaron la base de datos regresaron y dijeron que era más como 150 millones cuentas de usuario comprometidas. Este grado de exposición del usuario hace que la brecha de Adobe se ejecute como una de las peores brechas de seguridad en la historia.
Sin embargo, Adobe no está solo en este frente; Simplemente abrimos con su brecha porque es dolorosamente reciente. Solo en los últimos años se han producido docenas de violaciones de seguridad masivas en las que la información del usuario, incluidas las contraseñas, se ha visto comprometida..
LinkedIn fue golpeada en 2012 (6,46 millones de registros de usuarios comprometidos). Ese mismo año, se golpeó eHarmony (1.5 millones de registros de usuarios) al igual que lo fue Last.fm (6.5 millones de registros de usuarios) y Yahoo! (450.000 registros de usuarios). La Sony Playstation Network fue alcanzada en 2011 (101 millones de registros de usuarios comprometidos). Gawker Media (la empresa matriz de sitios como Gizmodo y Lifehacker) se vio afectada en 2010 (1.3 millones de registros de usuarios comprometidos). Y esos son solo ejemplos de grandes brechas que hicieron la noticia.!
El Privacy Rights Clearinghouse mantiene una base de datos de violaciones de seguridad desde 2005 hasta el presente. Su base de datos incluye una amplia gama de tipos de violaciones: tarjetas de crédito comprometidas, números de seguridad social robados, contraseñas robadas y registros médicos. La base de datos, a partir de la publicación de este artículo, está compuesta por 4.033 violaciones que contiene 617,937,023 registros de usuarios. No cada uno de esos cientos de millones de violaciones involucró contraseñas de usuarios, pero millones y millones de ellas sí lo hicieron..
Entonces, ¿por qué importa? Aparte de las obvias e inmediatas implicaciones de seguridad de una infracción, las infracciones crean daños colaterales. Los hackers pueden comenzar inmediatamente a probar los nombres de usuario y las contraseñas que recolectan en otros sitios web.
La mayoría de las personas son perezosas con sus contraseñas, y existe la posibilidad de que si alguien utiliza [email protected] con la contraseña bob1979, el mismo par de inicio de sesión / contraseña funcionará en otros sitios web. Si esos otros sitios web tienen un perfil más alto (como los sitios bancarios o si la contraseña que utilizó en Adobe realmente desbloquea su bandeja de entrada de correo electrónico), entonces hay un problema. Una vez que alguien tiene acceso a su bandeja de entrada de correo electrónico, puede comenzar a restablecer la contraseña en otros servicios y obtener acceso a ellos también..
La única manera de evitar que este tipo de reacción en cadena cause aún más problemas de seguridad dentro de la red de sitios web y servicios que utiliza es seguir dos reglas fundamentales de higiene de buena contraseña:
- Su contraseña de correo electrónico debe ser larga, sólida y completamente única entre todos sus inicios de sesión.
- Cada El inicio de sesión obtiene una contraseña larga, fuerte y única. Sin reutilización de contraseña. Siempre.
Esas dos reglas son el resultado de cada guía de seguridad que hemos compartido con usted, incluida nuestra guía de emergencia que ha golpeado al fanático Cómo recuperarse después de que su contraseña de correo electrónico esté comprometida.
Ahora, en este punto, es probable que se esté retorciendo un poco porque, francamente, casi nadie tiene prácticas de seguridad y seguridad perfectamente seguras. No estás solo si falta la contraseña de higiene. De hecho, es hora de una confesión..
He escrito docenas de artículos de seguridad, publicaciones sobre violaciones de seguridad y otras publicaciones relacionadas con contraseñas a lo largo de los años que he estado en How-To Geek. A pesar de ser precisamente el tipo de persona informada que debería saber mejor, a pesar de usar un administrador de contraseñas y generar contraseñas seguras para cada nuevo sitio web y servicio, cuando revisé mi correo electrónico a través de la lista de inicios de sesión de Adobe comprometidos y los comparé con la contraseña comprometida, Todavía descubrí que me había quemado.
Hice esa cuenta de Adobe hace mucho tiempo cuando estaba mucho más relajado con la seguridad de mi contraseña, y la contraseña que usé era común en todos docenas de sitios web y servicios con los que me había registrado antes de que me volviera muy serio acerca de hacer buenas contraseñas.
Todo esto podría haberse evitado si hubiera practicado completamente lo que prediqué y no solo hubiera creado contraseñas únicas y sólidas, sino además Audité mis contraseñas antiguas para asegurar que esta situación nunca ocurriera en primer lugar. Ya sea que nunca haya intentado ser coherente y seguro con sus prácticas de contraseña o simplemente necesita verificarlas para que se sienta cómodo, una auditoría completa de la contraseña es el camino hacia la seguridad y la tranquilidad de la contraseña. Sigue leyendo mientras te mostramos cómo.
Preparándose para su desafío de seguridad de Lastpass
Puede auditar manualmente sus contraseñas, pero eso sería enormemente tedioso y no obtendría ninguno de los beneficios de usar un buen administrador de contraseñas universal. En lugar de auditar todo manualmente, tomaremos la ruta fácil y en gran parte automatizada: auditaremos nuestras contraseñas tomando el Desafío de seguridad de LastPass.
Esta guía no cubre la configuración de LastPass, por lo que si aún no tiene un sistema LastPass en funcionamiento, le recomendamos que lo configure. Consulte la Guía HTG para comenzar con LastPass para comenzar. Aunque LastPass se ha actualizado desde que escribimos la guía (la interfaz es mucho más bonita y mejor simplificada ahora), aún puede seguir los pasos con facilidad. Si está configurando LastPass por primera vez, asegúrese de importar todos sus contraseñas almacenadas desde sus navegadores, ya que nuestro objetivo es auditar cada una de las contraseñas que está usando.
Ingrese cada nombre de usuario y contraseña en LastPass: Ya sea que sea nuevo en LastPass o no lo haya usado por completo en cada inicio de sesión, ahora es el momento de asegurarse de haber ingresado cada iniciar sesión en el sistema LastPass. Vamos a hacernos eco de los consejos que dimos en nuestra guía de recuperación de correo electrónico para combinar su bandeja de entrada de correo electrónico para recordatorios:
Busque en su correo electrónico los recordatorios de registro. No será difícil recordar sus inicios de sesión de uso frecuente como Facebook y su banco, pero es probable que haya docenas de servicios de pago en los que quizás ni siquiera recuerde que usa su correo electrónico para iniciar sesión. Utilice búsquedas de palabras clave como "bienvenida a", "restablecer", "recuperación", "verificar", "contraseña", "nombre de usuario", "inicio de sesión", "cuenta" y combinaciones de "restablecer contraseña" o "verificar cuenta" . Una vez más, sabemos que esto es una molestia, pero una vez que haya hecho esto con un administrador de contraseñas a su lado, tendrá una lista maestra de todas sus cuentas y nunca más tendrá que volver a realizar esta búsqueda de palabras clave..
Habilite la autenticación de dos factores en su cuenta LastPass: Este paso no es estrictamente necesario para realizar la auditoría de seguridad, pero si bien tenemos su atención, haremos todo lo posible para alentarlo, mientras está revisando su cuenta LastPass, para activar la autenticación de dos factores para Asegure aún más su bóveda de LastPass. (No solo aumenta la seguridad de su cuenta, ¡también obtendrá un aumento en su puntaje de auditoría de seguridad!)
Tomando el desafío de seguridad LastPass
Ahora que has importado todas tus contraseñas, es hora de prepararte para la vergüenza de no estar en el 1% de los ninjas de seguridad de contraseñas hardcore. Visite la página del desafío de seguridad de LastPass y presione "Iniciar el desafío" en la parte inferior de la página. Se le pedirá que ingrese su contraseña maestra, como se ve en la captura de pantalla anterior, y luego LastPass le ofrecerá verificar si alguna de las direcciones de correo electrónico contenidas en su bóveda fue parte de cualquier violación que haya rastreado. No hay una buena razón para no aprovechar esto:
Si tienes suerte, devuelve un negativo. Si tiene suerte, aparece una ventana emergente como esta que le pregunta si desea obtener más información sobre las violaciones en las que estuvo involucrado su correo electrónico:
LastPass emitirá una única alerta de seguridad para cada instancia. Si ha tenido su dirección de correo electrónico durante mucho tiempo, prepárese para sorprenderse por la cantidad de violaciones de contraseña en las que se ha enredado. A continuación se muestra un ejemplo de un aviso de violación de contraseña:
Después de las ventanas emergentes, serás volcado en el panel principal del LastPass Security Challenge. ¿Recuerda antes en la guía cuando hablé sobre cómo practico actualmente la higiene de contraseñas, pero que nunca había logrado actualizar correctamente muchos de los sitios web y servicios más antiguos? Realmente se nota en la partitura que recibí. Ay:
Ese es mi puntaje con el número de años de contraseñas aleatorias mezcladas. No se sorprenda demasiado si su puntaje es aún más bajo si ha estado usando el mismo puñado de contraseñas débiles una y otra vez. Ahora que tenemos nuestro puntaje (por más asombroso o vergonzoso que sea), es hora de profundizar en los datos. Puede usar los enlaces rápidos junto a su porcentaje de puntajes o simplemente comenzar a desplazarse. En primer lugar, vamos a ver los resultados detallados. Considere esto como un resumen de 10,000 pies del estado de sus contraseñas:
Si bien debe prestar atención a todas las estadísticas aquí, las realmente importantes son "Fuerza de contraseña promedio", cuán débil o fuerte es su contraseña promedio y, aún más importante, "Número de contraseñas duplicadas" y "Número de sitios que tienen contraseñas duplicadas. ". En la causa de mi auditoría, hubo 8 duplicados en 43 sitios. Claramente había sido bastante perezoso al reutilizar la misma contraseña de bajo grado en más de unos pocos sitios.
Siguiente parada, la sección de Sitios analizados. Aquí encontrará un desglose muy concreto de todos sus inicios de sesión y contraseñas organizados por el uso de contraseñas duplicadas (si tuvo duplicados), contraseñas únicas y, por último, inicios de sesión sin una contraseña almacenada en LastPass. Mientras revisa la lista, maravíllese con el contraste entre las fortalezas de las contraseñas. En mi caso, a uno de mis inicios de sesión financieros se le otorgó un 45% de Puntuación de Contraseña, mientras que al inicio de sesión de Minecraft de mi hija se le dio una puntuación perfecta del 100%. De nuevo, ay.
Arreglando tu terrible puntaje de seguridad
Hay dos enlaces muy útiles incorporados en los listados de auditoría. Si hace clic en "MOSTRAR", le mostrará la contraseña de ese sitio y si hace clic en "Visitar sitio", puede ir directamente al sitio web para que pueda cambiar la contraseña. No solo se deben cambiar todas las contraseñas duplicadas, sino que las contraseñas que se adjuntaron a una cuenta violada (como Adobe.com o LinkedIn) deben retirarse permanentemente.
Dependiendo de cuántas o pocas contraseñas tenga (y cuán diligente haya sido con las buenas prácticas de contraseñas), este paso del proceso puede llevarle diez minutos o toda la tarde. Aunque el proceso de cambiar sus contraseñas variará según el diseño del sitio que está actualizando, aquí hay algunas pautas generales a seguir (estamos usando nuestra actualización de contraseña en Recordar la Leche como ejemplo): Visite la página de cambio de contraseña . Normalmente deberá ingresar su contraseña actual y luego generar una nueva contraseña.
Hazlo haciendo clic en el logotipo de candado con flecha circular. LastPass se inserta en la nueva ranura de contraseña (como se ve en la captura de pantalla anterior). Revise su nueva contraseña y realice ajustes si lo desea (como alargarla o agregar caracteres especiales):
Haga clic en "Usar contraseña" y luego confirme que desea actualizar la entrada que está editando:
Asegúrese de confirmar el cambio con el sitio web también. Repita el proceso para cada contraseña duplicada y débil en su bóveda LastPass.
Finalmente, lo último que necesita auditar es su contraseña maestra de LastPass. Hágalo haciendo clic en el enlace que se encuentra en la parte inferior de la pantalla del Desafío con la etiqueta "Probar la fortaleza de mi contraseña maestra LastPass". Si no ves esto:
Debe restablecer su contraseña maestra de LastPass y aumentar la fortaleza hasta que reciba una confirmación positiva y positiva del 100%..
Examinar los resultados y mejorar aún más su seguridad LastPass
Una vez que haya revisado la lista de contraseñas duplicadas, haya eliminado las entradas antiguas y, de lo contrario, haya ordenado y protegido su lista de inicio de sesión / contraseña, es hora de volver a ejecutar la auditoría. Ahora, para enfatizar, la puntuación que se ve a continuación se mejoró únicamente al mejorar la seguridad de la contraseña. (Si habilitas funciones de seguridad adicionales, como la autenticación multifactor, recibirás un aumento de alrededor del 10%).
¡No está mal! Después de eliminar todas las contraseñas duplicadas y llevar todas las contraseñas existentes hasta un 90% o más, realmente mejoró nuestra puntuación. Si tiene curiosidad por saber por qué no saltó al 100%, hay algunos factores en juego, el más importante de los cuales es que algunas contraseñas nunca pueden ser eliminadas por los estándares de LastPass debido a las políticas tontas establecidas por el administradores del sitio Por ejemplo, la contraseña de inicio de sesión de mi biblioteca local es un pin de cuatro dígitos (que obtiene un 4% en la escala de seguridad LastPass). La mayoría de la gente tendrá algún tipo de valores atípicos como ese en su lista y eso arrastrará su puntaje.
En tales casos, es importante no desanimarse y usar su desglose detallado como una métrica:
En el proceso de actualización de la contraseña, podé 17 sitios duplicados / caducados, creé una contraseña única para cada sitio y servicio, y reduje el número de sitios con contraseñas duplicadas de 43 a 0 en el proceso.
Solo tomó alrededor de una hora de tiempo enfocado seriamente (12.4% del cual se dedicó a maldecir a los diseñadores de sitios web que colocaron enlaces de actualización de contraseñas en lugares oscuros), ¡y todo lo que necesitó para motivarme fue una violación a la contraseña de proporciones catastróficas! Estoy haciendo una nota aquí, gran éxito..
Ahora que ha auditado sus contraseñas y está entusiasmado por tener un número de contraseñas únicas y estables, aprovechemos ese impulso hacia adelante. Pulsa nuestra guía para hacer LastPass. incluso más seguro al aumentar las iteraciones de contraseña, restringir los inicios de sesión por país y más. Entre la ejecución de la auditoría que describimos aquí, siguiendo nuestra guía de seguridad LastPass y activando algoritmos de dos factores, tendrá un sistema de administración de contraseñas a prueba de balas de lo que puede estar orgulloso..