Comment exécuter un audit de sécurité de dernier passage (et pourquoi il ne peut pas attendre)
Si vous pratiquez la gestion des mots de passe et l'hygiène laxiste, ce n'est qu'une question de temps avant que l'une des nombreuses violations de sécurité à grande échelle ne vous brûle. Arrêtez d'être reconnaissant d'avoir esquivé les balles des violations de la sécurité passées et protégez-vous des futures. Continuez à lire pendant que nous vous montrons comment vérifier vos mots de passe et vous protéger..
Quel est le problème et pourquoi est-ce important??
En octobre de cette année, Adobe a révélé qu’une faille de sécurité majeure avait touché 3 millions d’utilisateurs des logiciels Adobe.com et Adobe. Ensuite, ils ont révisé le nombre à 38 millions. Puis, ce qui est encore plus choquant, lorsque la base de données du piratage a été divulguée, les chercheurs en sécurité qui ont analysé la base de données sont revenus et ont dit que cela ressemblait davantage à 150 millions comptes d'utilisateurs compromis. Ce degré d'exposition des utilisateurs fait de la faille Adobe une des pires atteintes à la sécurité de l'histoire..
Cependant, Adobe n’est guère seul sur ce front; nous avons simplement ouvert avec leur brèche car elle est douloureusement récente. Au cours des dernières années seulement, il y a eu des dizaines d'infractions de sécurité massives au cours desquelles les informations des utilisateurs, y compris les mots de passe, ont été compromises..
LinkedIn a été touché en 2012 (6,46 millions d'enregistrements d'utilisateur compromis). La même année, eHarmony a été touché (1,5 million d’utilisateurs), ainsi que Last.fm (6,5 millions d’enregistrements) et Yahoo! (450 000 enregistrements d’utilisateur). Le Sony Playstation Network a été touché en 2011 (101 millions d'enregistrements d'utilisateurs compromis). Gawker Media (la société mère de sites tels que Gizmodo et Lifehacker) a été touché en 2010 (1,3 million d’enregistrements d’utilisateurs compromis). Et ce ne sont que des exemples de violations importantes qui ont fait la une!
Le Privacy Rights Clearinghouse maintient une base de données sur les atteintes à la sécurité de 2005 à nos jours. Leur base de données comprend un large éventail de types de violation: cartes de crédit compromises, numéros de sécurité sociale volés, mots de passe volés et dossiers médicaux. La base de données, à compter de la publication de cet article, est composée de 4 033 infractions contenant 617 937 023 enregistrements d'utilisateurs. Parmi ces centaines de millions d'infractions, toutes ne concernaient pas des mots de passe utilisateur, mais des millions et des millions.
Alors pourquoi est-ce important? Outre les conséquences évidentes et immédiates d'une violation, les violations créent des dommages collatéraux. Les pirates peuvent immédiatement commencer à tester les identifiants de connexion et les mots de passe collectés sur d'autres sites Web..
La plupart des gens sont paresseux avec leurs mots de passe et il y a de fortes chances que si quelqu'un utilisait [email protected] avec le mot de passe bob1979, le même couple login / mot de passe fonctionne sur d'autres sites Web. Si ces autres sites Web ont un profil plus élevé (comme les sites bancaires ou si le mot de passe qu'il a utilisé chez Adobe déverrouille réellement sa boîte de réception), il y a un problème. Une fois que quelqu'un a accès à votre boîte de réception, il peut commencer à réinitialiser le mot de passe sur d'autres services et à y accéder également..
Le seul moyen d'éviter que ce type de réaction en chaîne ne cause encore plus de problèmes de sécurité au sein du réseau de sites Web et de services que vous utilisez est de suivre deux règles essentielles d'une bonne hygiène du mot de passe:
- Votre mot de passe de messagerie doit être long, fort et complètement unique parmi toutes vos connexions..
- Chaque login obtient un mot de passe long, fort et unique. Pas de réutilisation de mot de passe. Déjà.
Ces deux règles sont le fruit de tous les guides de sécurité que nous avons partagés avec vous, y compris de notre guide d'urgence «Récupérer après que votre mot de passe soit compromis»..
Maintenant, à ce stade, vous vous inquiétez probablement un peu parce que, franchement, presque personne n’a des pratiques de sécurité et de sécurité des mots de passe parfaitement étanches. Vous n'êtes pas seul si votre mot de passe manque d'hygiène. En fait, il est temps de faire une confession.
J'ai écrit des dizaines d'articles sur la sécurité, des articles sur les failles de sécurité et d'autres articles sur les mots de passe au fil des années, chez How-To Geek. Bien que ce soit précisément le genre de personne informée qui devrait savoir mieux, malgré l'utilisation d'un gestionnaire de mots de passe et la génération de mots de passe sécurisés pour chaque nouveau site Web et nouveau service, lorsque je passais mon courrier électronique dans la liste des connexions Adobe compromises et que je le comparais au mot de passe compromis, toujours découvert que j'avais eu brûlé.
J'ai créé ce compte Adobe il y a longtemps quand j'étais beaucoup plus laxiste en matière d'hygiène de mon mot de passe et que le mot de passe que j'avais utilisé était commun. douzaines des sites Web et des services auxquels j'avais souscrit avant de devenir très sérieux au sujet de la fabrication de bons mots de passe.
Tout cela aurait pu être évité si j'avais pleinement mis en pratique ce que j'avais prêché et non pas créé des mots de passe uniques et forts, mais également vérifié mes anciens mots de passe pour s'assurer que cette situation ne se produisait jamais. Que vous n’ayez jamais essayé d’être cohérent et sûr avec vos pratiques en matière de mots de passe ou que vous ayez juste besoin de les vérifier pour vous mettre à l’aise, un audit approfondi des mots de passe est la voie vers la sécurité des mots de passe et la tranquillité d’esprit. Continuez à lire pendant que nous vous montrons comment.
Préparer votre défi de sécurité Lastpass
Vous pouvez vérifier manuellement vos mots de passe, mais ce serait extrêmement fastidieux et vous ne bénéficieriez d'aucun des avantages liés à l'utilisation d'un bon gestionnaire de mots de passe universel. Au lieu de tout vérifier manuellement, nous allons suivre la voie la plus simple et la plus automatisée: nous allons vérifier nos mots de passe en relevant le défi de sécurité LastPass..
Ce guide ne couvre pas la configuration de LastPass. Par conséquent, si vous ne possédez pas déjà un système LastPass opérationnel, nous vous encourageons vivement à en installer un. Consultez le Guide de prise en main de HTG pour démarrer avec LastPass. Bien que LastPass ait été mis à jour depuis la rédaction du guide (l’interface est beaucoup plus jolie et mieux simplifiée à présent), vous pouvez toujours suivre les étapes facilement. Si vous configurez LastPass pour la première fois, veillez à importer tout vos mots de passe stockés dans vos navigateurs, car notre objectif est de vérifier chaque mot de passe que vous utilisez.
Entrez chaque nom d'utilisateur et mot de passe dans LastPass: Que vous soyez nouveau sur LastPass ou que vous ne l'utilisiez pas pleinement pour chaque connexion, le moment est venu de vous assurer que vous avez bien entré chaque connectez-vous au système LastPass. Nous allons faire écho aux conseils que nous avons donnés dans notre guide de récupération d’e-mail pour la composition de votre boîte de réception pour les rappels:
Rechercher votre courrier électronique pour les rappels d'inscription. Il ne sera pas difficile de vous rappeler vos identifiants de connexion fréquemment utilisés tels que Facebook et votre banque, mais il existe probablement des dizaines de services en cours dans lesquels vous ne vous souviendrez peut-être même pas que vous utilisiez votre courrier électronique pour vous connecter. Utilisez des recherches par mots clés comme "bienvenue à", "réinitialiser", "récupération", "vérifier", "mot de passe", "nom d'utilisateur", "identifiant", "compte" et des combinaisons telles que "réinitialiser mot de passe" ou "vérifier compte" . Encore une fois, nous savons que c'est un problème, mais une fois que vous avez fait cela avec un gestionnaire de mots de passe à vos côtés, vous avez une liste maîtresse de tous vos comptes et vous n'aurez plus jamais à chercher ce mot-clé à nouveau..
Activez l'authentification à deux facteurs sur votre compte LastPass: Cette étape n'est pas strictement nécessaire pour effectuer l'audit de sécurité, mais tant que nous aurons votre attention, nous ferons tout ce qui est en notre pouvoir pour vous encourager, pendant que vous bricolez votre compte LastPass, pour activer l'authentification à deux facteurs. sécuriser davantage votre coffre-fort LastPass. (Non seulement cela augmente la sécurité de votre compte, mais vous augmentez également votre score d'audit de sécurité!)
Relever le défi de sécurité LastPass
Maintenant que vous avez importé tous vos mots de passe, il est temps de vous préparer à la honte de ne pas faire partie des 1% de ninjas de sécurité par mot de passe hardcore. Visitez la page LastPass Security Challenge et appuyez sur «Lancer le défi» au bas de la page. Vous serez invité à saisir votre mot de passe principal, comme indiqué dans la capture d'écran ci-dessus. LastPass vous proposera ensuite de vérifier si l'une des adresses e-mail contenues dans votre coffre-fort faisait partie des violations détectées. Il n'y a aucune bonne raison de ne pas en profiter:
Si vous avez de la chance, le résultat est négatif. Si vous avez de la chance, vous obtenez une fenêtre contextuelle comme celle-ci vous demandant si vous souhaitez plus d'informations sur les violations dans lesquelles votre courrier électronique a été impliqué:
LastPass émettra une seule alerte de sécurité pour chaque instance. Si vous avez votre adresse e-mail depuis longtemps, préparez-vous à être choquée par le nombre de violations de mot de passe qui ont été confisquées. Voici un exemple d'avis de violation de mot de passe:
Après les fenêtres contextuelles, vous serez vidé dans le panneau principal du LastPass Security Challenge. Vous vous souvenez plus tôt dans le guide lorsque j'ai expliqué comment je pratique actuellement une bonne hygiène des mots de passe, mais que je ne m'étais jamais mis à mettre à jour correctement de nombreux sites et services Web plus anciens? Cela se voit vraiment dans le score que j'ai reçu. Aie:
C'est mon score avec des années de mots de passe aléatoires mélangés. Ne soyez pas trop choqué si votre score est encore plus bas si vous avez utilisé la même poignée de mots de passe faibles, encore et encore. Maintenant que nous avons notre score (si impressionnant ou honteux qu'il puisse être), il est temps de creuser dans les données. Vous pouvez utiliser les liens rapides en regard du pourcentage de votre score ou simplement commencer à faire défiler. Premier arrêt, vérifions les résultats détaillés. Considérez ceci comme un aperçu de l’état de vos mots de passe:
Si vous devez faire attention à toutes les statistiques ici, les plus importantes sont “Force du mot de passe moyen”, la faiblesse ou la force de votre mot de passe moyen et, encore plus important, “Nombre de mots de passe en double” et “Nombre de sites ayant des mots de passe en double ” Dans le cadre de mon audit, il y avait 8 dupes sur 43 sites. Clairement, j'avais été assez paresseux en réutilisant le même mot de passe bas sur plus de quelques sites..
Prochain arrêt, la section Sites analysés. Vous trouverez ici une ventilation très concrète de tous vos identifiants de connexion et mots de passe, classés par mot de passe dupliqué (si vous en avez dupliqué), par mot de passe unique et enfin, par identifiant sans mot de passe stocké dans LastPass. Pendant que vous parcourez la liste, émerveillez-vous du contraste entre la force des mots de passe. Dans mon cas, un de mes identifiants financiers s'est vu attribuer un score de 45% pour le mot de passe, tandis que celui de ma fille, Minecraft, obtenait un score parfait de 100%. Encore une fois, aïe.
Correction de votre score de défi Terrible Security
Deux listes très utiles sont directement intégrées aux listes d’audits. Si vous cliquez sur "SHOW", il vous indiquera le mot de passe de ce site. Si vous cliquez sur "Visiter le site", vous pouvez accéder directement au site Web afin de changer le mot de passe. Non seulement chaque mot de passe dupliqué devrait-il être changé, mais tout mot de passe associé à un compte enfreint (tel que Adobe.com ou LinkedIn) doit être définitivement supprimé..
En fonction du nombre de mots de passe que vous avez (et du degré de diligence dont vous avez fait preuve en matière de bonnes pratiques en matière de mots de passe), cette étape du processus peut prendre dix minutes, voire tout l'après-midi. Bien que le processus de modification de vos mots de passe varie en fonction de la disposition du site que vous mettez à jour, voici quelques directives générales à suivre (nous utilisons notre mise à jour de mot de passe à Remember the Milk comme exemple): Visitez la page de modification du mot de passe. . En règle générale, vous devez entrer votre mot de passe actuel, puis générer un nouveau mot de passe..
Faites-le en cliquant sur le logo lock-with-circular-arrow. LastPass s'insère dans le nouvel emplacement de mot de passe (comme illustré dans la capture d'écran ci-dessus). Examinez votre nouveau mot de passe et apportez les modifications nécessaires (par exemple, en l’allongeant ou en ajoutant des caractères spéciaux):
Cliquez sur «Utiliser le mot de passe», puis confirmez que vous souhaitez mettre à jour l'entrée que vous modifiez:
Assurez-vous de confirmer le changement avec le site Web aussi. Répétez le processus pour chaque mot de passe dupliqué et faible dans votre coffre-fort LastPass.
Enfin, la dernière chose à vérifier est votre mot de passe principal LastPass. Pour ce faire, cliquez sur le lien au bas de l'écran Défi intitulé «Testez la force de mon mot de passe principal LastPass». Si vous ne voyez pas ceci:
Vous devez réinitialiser votre mot de passe principal LastPass et augmenter la force jusqu'à ce que vous receviez une confirmation positive, positive et à 100%.
Surveiller les résultats et améliorer encore votre sécurité LastPass
Une fois que vous avez parcouru la liste des mots de passe en double, supprimé les anciennes entrées et que vous avez bien rangé et sécurisé votre liste de noms d’utilisateur / mot de passe, il est temps de réexécuter l’audit. Maintenant, pour souligner, le score que vous voyez ci-dessous a été créé uniquement en améliorant la sécurité des mots de passe. (Si vous activez des fonctionnalités de sécurité supplémentaires, telles que l'authentification multi-facteurs, vous recevrez un boost d'environ 10%).
Pas mal! Après avoir éliminé chaque mot de passe dupliqué et porté tous les mots de passe existants à 90% ou plus, cela a vraiment amélioré notre score. Si vous êtes curieux de savoir pourquoi cela n’a pas atteint 100%, quelques facteurs entrent en jeu, le plus important étant que certains mots de passe ne peuvent jamais être remplacés par les normes LastPass en raison des politiques stupides mises en place par les utilisateurs. administrateurs de site. Par exemple, le mot de passe de connexion de ma bibliothèque locale est une NIP à quatre chiffres (ce qui correspond à 4% sur l'échelle de sécurité LastPass). La plupart des gens auront une sorte de valeurs aberrantes comme celle-ci dans leur liste et cela réduira leur score.
Dans de tels cas, il est important de ne pas vous décourager et d'utiliser votre ventilation détaillée comme métrique:
Lors du processus de mise à jour des mots de passe, j'ai supprimé 17 sites dupliqués / expirés, créé un mot de passe unique pour chaque site et service, et ramené le nombre de sites avec des mots de passe dupliqués de 43 à 0..
Cela n'a pris qu'environ une heure de temps bien ciblé (dont 12,4% ont été consacrés à maudire les concepteurs de sites Web qui ont mis des liens de mise à jour de mot de passe dans des endroits obscurs), et tout ce qu'il fallait pour me motiver était une violation de mot de passe d'une ampleur catastrophique! Je fais une note ici, un énorme succès.
Maintenant que vous avez audité vos mots de passe et que vous êtes persuadé de disposer d'une base de mots de passe unique, tirons parti de cet élan. Consultez notre guide pour créer LastPass même plus sécurisée en augmentant le nombre d'itérations de mots de passe, en limitant le nombre de connexions par pays, etc. Entre l'exécution de l'audit décrit ci-dessous, le guide de sécurité LastPass et l'activation d'algorithmes à deux facteurs, vous disposez d'un système de gestion de mot de passe à toute épreuve dont vous pouvez être fier..