緩いパスワード管理と衛生管理を実践している場合、ますます増え続ける大規模なセキュリティ侵害のいずれかによって火傷を負うのは時間の問題です。過去のセキュリティ侵害の弾丸を避けられたことに感謝するのはやめて、将来のセキュリティ侵害の弾丸から身を守りましょう。パスワードを監査して自分自身を保護する方法について説明しますので、読み続けてください。
何が重要ですか? なぜこれが重要なのでしょうか?
今年 10 月、Adobe は、Adobe.com と Adobe ソフトウェアの 300 万人のユーザーに影響を与える大規模なセキュリティ侵害があったことを明らかにしました。その後、彼らはその数を3,800万人に修正しました。そして、さらに衝撃的なことに、ハッキングによるデータベースが漏洩したとき、データベースを分析したセキュリティ研究者が戻ってきて、侵害されたユーザー アカウントは 1 億 5,000 万件に上ると述べました。この程度のユーザーの露出により、Adobe の侵害は史上最悪のセキュリティ侵害の 1 つとなる可能性があります。
ただし、この点ではアドビだけが取り組んでいるわけではありません。痛ましいほど最近のことなので、単に彼らの違反について話始めただけです。過去数年だけでも、パスワードを含むユーザー情報が侵害される大規模なセキュリティ侵害が数十件発生しています。
LinkedIn は 2012 年に被害を受けました (646 万人のユーザー レコードが侵害されました)。同年、eHarmony (150 万のユーザー レコード) が被害に遭い、Last.fm (650 万のユーザー レコード) や Yahoo! も同様に被害を受けました。 (450,000 ユーザー レコード)。 Sony Playstation Network は 2011 年に攻撃を受けました (1 億 100 万件のユーザー レコードが侵害されました)。 Gawker Media (Gizmodo や Lifehacker などのサイトの親会社) は 2010 年に被害を受けました (130 万件のユーザー レコードが侵害されました)。これらはニュースになった大規模な侵害の例にすぎません。
Privacy Rights Clearinghouse は 、2005 年から現在までのセキュリティ侵害のデータベース を管理しています。彼らのデータベースには、クレジット カードの侵害、社会保障番号の盗難、パスワードの盗難、医療記録など、幅広い種類の侵害が含まれています。この記事の公開時点で、データベースは 4,033 件の侵害 で構成されており 、6 億 17,937,023 件のユーザー レコード が含まれています。これら数億件の侵害のすべてがユーザー パスワードに関係していたわけではありませんが、何百万もの侵害がユーザー パスワードに関係していました。
では、なぜそれが重要なのでしょうか?侵害による明白かつ即時のセキュリティへの影響とは別に、侵害は付随的損害を引き起こします。ハッカーは、他の Web サイトで収集したログインとパスワードのテストをすぐに開始できます。
ほとんどの人はパスワードを管理するのが面倒なので、誰かが bob@somewebemail.com をパスワード bob1979 で使用した場合、同じログインとパスワードのペアが他の Web サイトでも機能する可能性が高くなります。他の Web サイトが知名度の高い場合 (銀行サイトや、Adobe で使用したパスワードが実際に電子メールの受信トレイのロックを解除する場合など)、問題が発生します。誰かがあなたの電子メールの受信箱にアクセスすると、他のサービスのパスワードをリセットし始め、それらのサービスにもアクセスできるようになります。
この種の連鎖反応が、使用する Web サイトやサービスのネットワーク内でさらなるセキュリティ問題を引き起こすのを防ぐ唯一の方法は、適切なパスワード衛生に関する 2 つの基本ルールに従うことです。
- 電子メール パスワードは長く、強力で、すべてのログインの中で完全に一意である必要があります。
- すべてのログインには、長くて強力な一意のパスワードが与えられます。パスワードの再利用はありません。 これまで。
これら 2 つのルールは、緊急緊急ガイド「 電子メール パスワードが侵害された後に回復する方法」 を含む、これまでに共有したすべてのセキュリティ ガイドからの要点です。
率直に言って、パスワードの管理とセキュリティを完全に密閉している人はほとんどいないため、この時点であなたはおそらく少し身悶えしているでしょう。パスワードの衛生管理が不足しているのはあなただけではありません。実際、告白の時期が来ました。
私は How-To Geek に在籍して何年もの間、セキュリティに関する記事、セキュリティ侵害に関する投稿、その他のパスワード関連の投稿を数十件書いてきました。まさに情報通であり、よく知っているはずの人間であるにもかかわらず、パスワード マネージャーを使用し、新しい Web サイトやサービスごとに安全なパスワードを生成しているにもかかわらず、侵害 された Adobe ログインのリスト を電子メールで調べて、侵害されたパスワードと照合したところ、まだ火傷を負っていたことに気づきました。
私がこの Adobe アカウントを作成したのは、パスワード管理がかなり緩い頃で、私が使用したパスワードは、適切なパスワードを作ることに真剣に取り組む前にサインアップした数十の Web サイトやサービスに共通のものでした。
私が説教したことを完全に実践し、独自で強力なパスワードを作成するだけでなく、古いパスワードを監査して、 そもそも このような状況が起こらなかったことを確認していれば、これらすべてを防ぐことができたでしょう。パスワードの使用方法を一貫して安全にしようとさえしたことがない場合でも、安心するために単にパスワードを確認する必要がある場合でも、徹底的なパスワード監査は、パスワードのセキュリティと安心への道です。その方法を紹介しますので、読み続けてください。
Lastpass セキュリティ チャレンジの準備をする
パスワードを手動で監査することもできますが、それは非常に面倒な作業であり、優れたユニバーサル パスワード マネージャー を使用する利点は得られません。すべてを手動で監査する代わりに、簡単で大部分が自動化された方法を採用します。LastPass セキュリティ チャレンジを受けてパスワードを監査します。
このガイドでは LastPass のセットアップについては説明しません。そのため、LastPass システムをまだ立ち上げて実行していない場合は、セットアップすることを強くお勧めします。開始するには を参照してください。私たちがガイドを書いてから LastPass は更新されましたが (インターフェースはより美しく、より合理化されました)、それでも簡単に手順に従うことができます。 LastPass を初めてセットアップする場合は、使用しているすべてのパスワードを監査することが目標であるため、保存されているパスワードをすべてブラウザからインポートしてください。
すべてのログイン名とパスワードを LastPass に入力する: LastPass を初めて使用する場合でも、すべてのログインに完全に使いこなしていない場合でも、今こそ LastPass システムにすべてのログイン名を入力していることを確認してください。 メール回復ガイド でメールの受信箱を調べてリマインダーを確認するためのアドバイスを繰り返します。
メールを検索して登録リマインダーを探します。 Facebook や銀行など、頻繁に使用するログインを思い出すのは難しくありませんが、ログインに電子メールを使用していることすら覚えていないような支出サービスが数多くあるでしょう。 「ようこそ」、「リセット」、「回復」、「確認」、「パスワード」、「ユーザー名」、「ログイン」、「アカウント」などのキーワード検索と、「パスワードのリセット」や「アカウントの確認」などの組み合わせを使用します。 。繰り返しになりますが、これが面倒であることは承知していますが、パスワード マネージャーを使用してこれを実行すると、すべてのアカウントのマスター リストが手に入り、このキーワード検索を再度行う必要がなくなります。
LastPass アカウントで 2 要素認証を有効にする: この手順は、セキュリティ監査を実行するために厳密に必要なわけではありませんが、皆様にご注意いただいている間、LastPass をいじっている間、私たちはできる限りのことをして奨励するつもりです。アカウントを使用して 2 要素認証を有効にし 、LastPass ボールトの安全性をさらに高めます。 (アカウントのセキュリティが強化されるだけでなく、セキュリティ監査スコアも向上します。)
LastPass セキュリティ チャレンジに挑戦する
すべてのパスワードをインポートしたので、1% の筋金入りのパスワード セキュリティ忍者に属していないことを恥じないように気を引き締めましょう。 LastPass セキュリティ チャレンジ ページにアクセスし、ページの下部にある [チャレンジを開始] を押します。上のスクリーンショットにあるように、マスター パスワードの入力を求められます。その後、LastPass は、保管庫に含まれている電子メール アドレスのいずれかが追跡した侵害の一部であるかどうかを確認するよう提案します。これを活用しない理由はありません。
運が良ければマイナスを返します。運が良ければ、メールが関与した侵害に関する詳細情報が必要かどうかを尋ねる次のようなポップアップが表示されます。
LastPass は、インスタンスごとに 1 つのセキュリティ アラートを発行します。メール アドレスを長期間使用している場合は、そのメール アドレスがどれほど多くのパスワード侵害に巻き込まれているかを知ってショックを受けることを覚悟してください。パスワード侵害通知の例を次に示します。
ポップアップの後、LastPass セキュリティ チャレンジのメイン パネルに移動します。このガイドの前半で、私が現在どのようにパスワードの衛生管理を徹底しているかについて話しましたが、多くの古い Web サイトやサービスを適切に更新することに慣れていなかったことを覚えていますか?それは私が受け取ったスコアに如実に表れています。痛い:
これは、数年分のランダムなパスワードを混ぜた私のスコアです。同じ少数の弱いパスワードを何度も繰り返し使用している場合、スコアがさらに低くても、あまりショックを受けないでください。スコアが得られたので (それがどんなに素晴らしくても恥ずかしいものであっても)、データを詳しく調べてみましょう。スコアのパーセンテージの横にあるクイック リンクを使用することも、スクロールを開始することもできます。まずは詳細な結果を確認してみましょう。これはパスワードの状態の 10,000 フィートの概要であると考えてください。
ここでのすべての統計に注意を払う必要がありますが、本当に重要なのは「パスワードの平均強度」、平均的なパスワードがどの程度弱いか強いか、そしてさらに重要なのは「重複パスワードの数」と「重複パスワードを持つサイトの数」です。 」。私の監査では、43 のサイトで 8 つの重複が見つかりました。明らかに、私はかなり怠惰で、同じ低品質のパスワードをいくつかのサイトで再利用していました。
次は、「分析されたサイト」セクションです。ここでは、重複したパスワードの使用 (重複している場合)、一意のパスワード、そして最後に LastPass に保存されているパスワードを使用しないログインごとに整理された、すべてのログインとパスワードの非常に具体的な内訳が表示されます。リストに目を通すと、パスワードの強度のコントラストに驚かれるでしょう。私の場合、私の財務上のログインの 1 つは 45% のパスワード スコアを与えられましたが、娘の Minecraft のログインには完全な 100% のスコアが与えられました。またまた、ああ。
ひどいセキュリティチャレンジスコアを修正する
監査リストには 2 つの非常に便利なリンクが組み込まれています。 「表示」をクリックするとそのサイトのパスワードが表示され、「サイトにアクセス」をクリックすると Web サイトに直接ジャンプしてパスワードを変更できます。重複したパスワードをすべて変更するだけでなく、侵害されたアカウント (Adobe.com や LinkedIn など) に付けられていたパスワードはすべて永久に廃止する必要があります。
持っているパスワードの数 (および適切なパスワードの実践にどれだけ熱心に取り組んできたか) に応じて、プロセスのこのステップには 10 分かかる場合もあれば、午後丸々かかる場合もあります。パスワードを変更するプロセスは、更新するサイトのレイアウトによって異なりますが、従うべき一般的なガイドラインをいくつか示します (例として Remember the Milk でのパスワード更新を使用しています)。 パスワード変更ページにアクセスしてください。 。通常、現在のパスワードを入力してから、新しいパスワードを生成する必要があります。
これを行うには、円形矢印の付いたロックのロゴをクリックします。 LastPass は新しいパスワード スロットに挿入します (上のスクリーンショットを参照)。新しいパスワードを確認し、必要に応じて調整を加えます (パスワードを長くしたり、特殊文字を追加したりするなど)。
[パスワードを使用] をクリックし、編集中のエントリを更新することを確認します。
変更内容はWebサイトでも必ずご確認ください。 LastPass ボールト内のすべての重複した脆弱なパスワードに対してこのプロセスを繰り返します。
最後に、最後に監査する必要があるのは、LastPass マスター パスワードです。これを行うには、チャレンジ画面の下部にある「LastPass マスター パスワードの強度をテストする」というラベルのリンクをクリックします。これが表示されない場合:
LastPass マスター パスワードをリセットし、100% の強度確認を確実に受け取るまで強度を高める必要があります。
結果を調査し、LastPass のセキュリティをさらに強化する
重複したパスワードのリストを徹底的に調べ、古いエントリを削除し、その他の方法でログイン/パスワードのリストを整理して保護したら、監査を再度実行します。ここで、強調しておきますが、以下に示すスコアは、パスワードのセキュリティの向上のみによってもたらされたものです。 ( 多要素認証 などの追加のセキュリティ機能を有効にすると、約 10% 向上します)。
悪くない!重複するパスワードをすべて排除し、既存のパスワードをすべて 90% 以上の強度にした結果、スコアが大幅に向上しました。なぜ 100% に上がらなかったのか知りたい場合は、いくつかの要因が考えられます。その中で最も顕著なのは、一部のパスワードは、LastPass によって導入されたばかげたポリシーのせいで、LastPass 標準では絶対に盗み見されることができないということです。サイト管理者。たとえば、私の地元図書館のログイン パスワードは 4 桁の PIN (LastPass セキュリティ スケールで 4% のスコア) です。ほとんどの人はリストにそのような何らかの外れ値が含まれており、それがスコアを下げることになります。
このような場合は、落胆せず、詳細な内訳を指標として使用することが重要です。
パスワード更新プロセスでは、重複または期限切れの 17 サイトを削除し、すべてのサイトとサービスに一意のパスワードを作成し、プロセス中に重複したパスワードを持つサイトの数を 43 から 0 に減らしました。
真剣に集中してかかった時間はわずか 1 時間 (そのうちの 12.4% は、パスワード更新リンクをわかりにくい場所に置いた Web サイト デザイナーを罵るのに費やされました) で、私のやる気を引き出すのに必要だったのは、壊滅的な規模のパスワード侵害だけでした。大成功だったのでここにメモしておきます。
パスワードを監査し、安定した一意のパスワードを取得できるようになったので、その勢いを利用しましょう。パスワードの反復回数を増やしたり、国ごとにログインを制限したりすることで をご覧ください。ここで概要を説明した監査を実行し、LastPass セキュリティ ガイドに従い、2 要素アルゴリズムを有効にするまでの間に、自慢できる完璧なパスワード管理システムを手に入れることができます。
