الصفحة الرئيسية » howto » كيفية تشغيل تدقيق آخر أمان المرور (ولماذا لا يمكن الانتظار)

    كيفية تشغيل تدقيق آخر أمان المرور (ولماذا لا يمكن الانتظار)

    إذا كنت تمارس إدارة كلمات المرور والنظافة الرخوة ، فهذه مسألة وقت فقط حتى يحترق أحد الاختراق الأمني ​​الواسع النطاق على نحو متزايد. التوقف عن الشعور بالامتنان أنك تهربت من رصاصات الخرق الأمني ​​السابقة ودرست نفسك ضد الطلقات المستقبلية. اقرأ كما نوضح لك كيفية تدقيق كلمات المرور وحماية نفسك.

    ما هو صفقة كبيرة ولماذا هذه المسألة?

    في أكتوبر من هذا العام ، كشفت Adobe عن وجود اختراق أمني كبير أثر على 3 ملايين مستخدم لبرنامج Adobe.com و Adobe. ثم قاموا بمراجعة الرقم إلى 38 مليون. ثم ، حتى أكثر إثارة للصدمة ، عندما تم تسريب قاعدة البيانات من القرصنة ، عاد باحثون أمنيون الذين حللوا قاعدة البيانات وقالوا إن الأمر أشبه 150 مليون اختراق حسابات المستخدمين. هذه الدرجة من التعرض للمستخدم تضع خرق Adobe كإحدى أسوأ الخروقات الأمنية في التاريخ.

    Adobe بالكاد وحدها في هذه الجبهة ، ومع ذلك ؛ فتحنا ببساطة مع خرقهم لأنه حديث مؤلم. في السنوات القليلة الماضية وحدها ، كان هناك العشرات من الانتهاكات الأمنية الهائلة حيث تم اختراق معلومات المستخدم ، بما في ذلك كلمات المرور.

    تم تسجيل LinkedIn في عام 2012 (تم اختراق 6.46 مليون سجل مستخدم). في نفس العام ، تم ضرب eHarmony (1.5 مليون مستخدم) كما كان Last.fm (6.5 مليون مستخدم) و Yahoo! (450،000 سجل مستخدم). تم إصابة Sony Playstation Network في عام 2011 (تم اختراق 101 مليون سجل مستخدم). تم تسجيل Gawker Media (الشركة الأم لمواقع مثل Gizmodo و Lifehacker) في عام 2010 (تم اختراق 1.3 مليون سجل مستخدم). وهذه مجرد أمثلة على الخروقات الكبيرة التي صنعت الأخبار!

    يحتفظ مركز تبادل معلومات الخصوصية بقاعدة بيانات حول الخروقات الأمنية من عام 2005 حتى الوقت الحاضر. تتضمن قاعدة البيانات الخاصة بها مجموعة واسعة من أنواع الاختراق: بطاقات الائتمان المتعثرة ، وأرقام التأمين الاجتماعي المسروقة ، وكلمات السر المسروقة ، والسجلات الطبية. قاعدة البيانات ، اعتبارا من نشر هذه المادة ، وتتألف من 4،033 خروقات تحتوي 617،937،023 سجل مستخدم. ليس كل واحد من تلك المئات من الملايين من الاختراقات ينطوي على كلمات مرور للمستخدمين ، ولكن الملايين منهم لم يفعل ذلك.

    لذلك لماذا يهم؟ بغض النظر عن الآثار الأمنية الواضحة والفورية للانتهاك ، تخلق الانتهاكات أضرارًا جانبية. يمكن للقراصنة على الفور بدء اختبار تسجيلات الدخول وكلمات المرور التي يحصدونها في مواقع الويب الأخرى.

    معظم الناس كسالى مع كلمات المرور الخاصة بهم ، وهناك فرصة جيدة أنه إذا استخدم شخص ما [email protected] مع كلمة المرور bob1979 ، فسيعمل نفس زوج تسجيل الدخول / كلمة المرور في مواقع ويب أخرى. إذا كانت مواقع الويب الأخرى هذه ذات مستوى أعلى (مثل المواقع المصرفية أو إذا كانت كلمة المرور التي استخدمها في Adobe تقوم في الواقع بفتح صندوق بريده الإلكتروني) ، فهناك مشكلة. بمجرد وصول شخص ما إلى صندوق الوارد للبريد الإلكتروني ، يمكنه بدء إعادة تعيين كلمة المرور على الخدمات الأخرى والحصول على إمكانية الوصول إليها أيضًا.

    الطريقة الوحيدة لوقف هذا النوع من التفاعلات المتسلسلة من التسبب في المزيد من المشاكل الأمنية ضمن شبكة مواقع الويب والخدمات التي تستخدمها هي اتباع قاعدتين أساسيتين للنظافة الجيدة لكلمات المرور:

    1. يجب أن تكون كلمة مرور البريد الإلكتروني طويلة وقوية وفريدة تمامًا بين جميع عمليات تسجيل الدخول.
    2. كل تسجيل الدخول يحصل على كلمة مرور طويلة وقوية وفريدة من نوعها. لا إعادة استخدام كلمة المرور. أبدا.

    هاتان القاعدتان هما الوجبات الجاهزة من كل دليل الأمان الذي شاركناه معك على الإطلاق ، بما في ذلك دليل الطوارئ الذي حصلنا عليه ، وهو دليل "كيفية استرداد البيانات بعد اختراق كلمة مرورك الإلكترونية".

    الآن في هذه المرحلة ، من المحتمل أنك تتأرجح قليلاً لأن ، بصراحة ، لا يكاد أي شخص يمتلك ممارسات سرية تمامًا لكلمات المرور والأمان. لست وحدك إذا كان هناك نقص في نظافة كلمة المرور. في الواقع ، لقد حان الوقت للاعتراف.

    لقد كتبت عشرات المقالات الأمنية ، ومشاركات حول الخروقات الأمنية ، وغيرها من المشاركات ذات الصلة بكلمة المرور على مر السنين التي كنت فيها في How-To Geek. على الرغم من كونه على وجه التحديد نوع الشخص المطلع الذي يجب أن يعرف بشكل أفضل ، على الرغم من استخدام مدير كلمات المرور وإنشاء كلمات مرور آمنة لكل موقع جديد وخدمة جديدة ، عندما قمت بتشغيل البريد الإلكتروني الخاص بي من خلال قائمة تسجيلات Adobe المخترقة ومطابقتها ضد كلمة المرور المخترقة ، لا يزال اكتشف أنني حصلت حرق.

    لقد أجريت حساب Adobe هذا منذ وقت طويل عندما كنت أكثر تراخيًا بشكل كبير مع نظافة كلمة المرور ، وكانت كلمة المرور التي استخدمتها شائعة عبر العشرات من المواقع والخدمات التي قمت بالتسجيل بها قبل أن أصبح جادًا جدًا حول إنشاء كلمات مرور جيدة.

    كان من الممكن منع كل هذا إذا كنت قد مارست بشكل كامل ما بشرته ولم أقم فقط بإنشاء كلمات مرور فريدة وقوية أيضا تدقيق كلمات المرور القديمة لضمان أن هذا الوضع لم يحدث في المقام الأول. سواء لم تحاول أبدا أن تكون متسقة وآمنة مع ممارسات كلمة المرور الخاصة بك أو تحتاج فقط إلى التحقق منها لتضع نفسك في سهولة ، تدقيق شامل لكلمات المرور هو الطريق إلى أمان كلمة المرور وراحة البال. اقرأ كما نوضح لك كيف.

    التحضير لتحدي الأمن Lastpass الخاص بك

    يمكنك تدقيق كلمات المرور الخاصة بك يدويًا ، ولكن ذلك سيكون مملًا بشكل كبير ولن تحصل على أي فوائد لاستخدام مدير كلمة مرور عالمي جيد. بدلاً من تدقيق كل شيء يدويًا ، سنأخذ الطريق السهل والميكانيكي إلى حد كبير: سنقوم بمراجعة كلمات المرور الخاصة بنا عن طريق أخذ تحدي أمان LastPass.

    لن يغطي هذا الدليل إعداد LastPass ، لذلك إذا لم يكن لديك نظام LastPass جاهزًا بالفعل ، فإننا نشجعك بشدة على إعداد واحد. تحقق من دليل HTG للبدء مع LastPass للبدء. على الرغم من أن LastPass قد تم تحديثه منذ أن كتبنا الدليل (كانت الواجهة أجمل بكثير وتبسيطها الآن) ، فلا يزال بإمكانك اتباع الخطوات بسهولة. إذا كنت تقوم بإعداد LastPass لأول مرة ، فتأكد من الاستيراد الكل كلمات المرور المخزنة من المستعرضات الخاصة بك ، حيث أن هدفنا هو تدقيق كل كلمة مرور تستخدمها.

    أدخل كل تسجيل الدخول وكلمة المرور في LastPass: سواء كنت جديدًا في LastPass أو لم تستخدمه تمامًا في كل مرة تسجيل دخول ، فقد حان الوقت للتأكد من إدخالها كل تسجيل الدخول إلى نظام LastPass. سنرد على النصيحة التي قدمناها في دليل استرداد البريد الإلكتروني الخاص بنا لدمج بريدك الوارد في البريد الإلكتروني للتذكير:

    ابحث في بريدك الإلكتروني عن تذكيرات التسجيل. لن يكون من الصعب تذكر عمليات تسجيل الدخول المستخدمة بشكل متكرر مثل Facebook والمصرف الخاص بك ، ولكن هناك العشرات من الخدمات التي قد لا تتذكرها حتى أنك تستخدم بريدك الإلكتروني لتسجيل الدخول. استخدام كلمات البحث مثل "مرحبًا" و "إعادة تعيين" و "الاسترداد" و "التحقق" و "كلمة المرور" و "اسم المستخدم" و "تسجيل الدخول" و "الحساب" ومجموعات من مثل "إعادة تعيين كلمة المرور" أو "التحقق من الحساب" . مرة أخرى ، نحن نعلم أن هذه مشكلة ، ولكن بمجرد الانتهاء من ذلك باستخدام مدير كلمات المرور إلى جانبك ، سيكون لديك قائمة رئيسية بكل حسابك ولن تضطر مطلقًا إلى القيام بهذه المهمة مرة أخرى..

    تمكين المصادقة الثنائية في حساب LastPass الخاص بك: هذه الخطوة ليست ضرورية تمامًا لإجراء التدقيق الأمني ​​، ولكن بينما نلفت انتباهك ، سنفعل كل ما في وسعنا لتشجيعك ، أثناء تجوالك في حساب LastPass ، لتشغيل المصادقة الثنائية مزيد من تأمين قبو LastPass الخاص بك. (ليس فقط أنه يزيد من أمان الحساب الخاص بك ، فسوف تحصل على زيادة في درجة تدقيق الأمان أيضًا!)

    أخذ تحدي LastPass الأمن

    الآن بعد أن قمت باستيراد جميع كلمات المرور الخاصة بك ، فقد حان الوقت لتستعد للعار لعدم وجود 1٪ من النينجا الأمنية الخاصة بكلمة المرور. تفضل بزيارة صفحة LastPass Security Challenge واضغط على "Start the Challenge" في أسفل الصفحة. ستتم مطالبتك بإدخال كلمة المرور الرئيسية الخاصة بك ، كما هو موضح في لقطة الشاشة أعلاه ، ثم ستعرض LastPass للتحقق مما إذا كان أي من عناوين البريد الإلكتروني الموجودة في قبوتك جزءًا من أي خروقات تتبعها. لا يوجد سبب وجيه لعدم الاستفادة من هذا:

    إذا كنت محظوظًا ، فستعرض علامة سلبية. إذا كنت محظوظًا ، فستحصل على نافذة منبثقة تشبه السؤال عما إذا كنت تريد المزيد من المعلومات حول الانتهاكات التي شارك فيها بريدك الإلكتروني:

    سيقوم LastPass بإصدار تنبيه أمان واحد لكل مثيل. إذا كنت قد تلقيت عنوان بريدك الإلكتروني لفترة طويلة ، فكن على استعداد لأن تصاب بصدمة بشأن عدد خروقات كلمة المرور التي تم التشابك بها. وإليك مثالاً على إشعار خرق كلمة المرور:

    بعد ظهور النوافذ المنبثقة ، سيتم إلغائها في اللوحة الرئيسية لتحدي أمان LastPass. تذكر في وقت سابق في الدليل عندما تحدثت عن كيف أمارس حاليًا نظافة كلمة مرور جيدة لكنني لم أتحدث أبدًا لتحديث الكثير من مواقع الويب القديمة والخدمة؟ يظهر حقا في النتيجة التي تلقيتها. أوتش:

    هذه هي نقاطي مع سنوات قيمة كلمات مرور عشوائية مختلطة. لا تصعق إذا كانت نتيجتك أقل إذا كنت تستخدم نفس عدد كلمات المرور الضعيفة مرارًا وتكرارًا. الآن لدينا درجة (مهما كانت رهيبة أو مخزية) ، فقد حان الوقت للبحث في البيانات. يمكنك استخدام الروابط السريعة بجانب نسبة النقاط الخاصة بك أو مجرد بدء التمرير. المحطة الأولى ، دعنا نتحقق من النتائج التفصيلية. ضع في اعتبارك هذه نظرة عامة 10000 قدم لحالة كلمات المرور الخاصة بك:

    في حين يجب الانتباه إلى جميع الإحصائيات هنا ، فالأهم حقًا هو "متوسط ​​قوة كلمة المرور" ، ومدى ضعف كلمة المرور أو قوتها ، والأهم من ذلك ، "عدد كلمات المرور المكررة" و "عدد المواقع التي تحتوي على كلمات مرور مكررة" ". في سبب تدقيق عملي ، كان هناك 8 خوادم في 43 موقعًا. من الواضح أنني كنت كسولًا جدًا في إعادة استخدام كلمة المرور ذات الدرجة المنخفضة في أكثر من بضعة مواقع.

    المحطة التالية ، قسم المواقع المحسّنة. ستجد هنا تحطيمًا ملموسًا للغاية لكل معلومات تسجيل الدخول وكلمات المرور التي تم تنظيمها باستخدام كلمة مرور مكررة (إذا كان لديك نسخ مكررة) ، وكلمات مرور فريدة ، وأخيرًا تسجيلات الدخول بدون كلمة مرور مخزنة في لاست باس. بينما تنظر إلى القائمة ، تعجب من التباين بين نقاط قوة كلمة المرور. في حالتي ، أعطيت واحدة من بلدي تسجيلات الدخول المالية 45 ٪ كلمة المرور في حين أعطيت تسجيل الدخول ابنتي Minecraft درجة الكمال بنسبة 100 ٪. مرة أخرى ، أوتش.

    تحديد الخاص بك رهيبة الأمن تحدي النتيجة

    هناك نوعان من الروابط المفيدة جدا بنيت الحق في قوائم المراجعة. إذا قمت بالنقر فوق "إظهار" فسوف تظهر لك كلمة المرور لذلك الموقع وإذا قمت بالنقر فوق "زيارة الموقع" يمكنك القفز مباشرة إلى موقع الويب حتى تتمكن من تغيير كلمة المرور. لا يجب تغيير كل كلمة سر مكررة فحسب ، بل يجب إيقاف أي كلمة مرور مرفقة بحساب تم اختراقه (مثل Adobe.com أو LinkedIn) بشكل دائم.

    استنادًا إلى عدد كلمات المرور أو عدد كلمات المرور القليلة التي تستخدمها (ومدى استفادتك من ممارسات كلمة المرور الجيدة) ، قد تستغرق هذه الخطوة من العملية عشرة دقائق أو بعد الظهيرة بالكامل. على الرغم من اختلاف عملية تغيير كلمات المرور الخاصة بك بناءً على تخطيط الموقع الذي تقوم بتحديثه ، فإليك بعض الإرشادات العامة الواجب اتباعها (نحن نستخدم تحديث كلمة المرور الخاصة بنا في Remember the Milk على سبيل المثال): قم بزيارة صفحة تغيير كلمة المرور . عادة ما تحتاج إلى إدخال كلمة المرور الحالية الخاصة بك ومن ثم إنشاء كلمة مرور جديدة.

    قم بذلك عن طريق النقر على شعار السهم القفل بالدائرة. يدرج LastPass في فتحة كلمة المرور الجديدة (كما هو موضح في لقطة الشاشة أعلاه). ابحث عن كلمة المرور الجديدة وقم بإجراء التعديلات إذا كنت ترغب (مثل إطالة أو إضافة أحرف خاصة):

    انقر على "استخدام كلمة المرور" ، ثم أكد أنك تريد تحديث الإدخال الذي تقوم بتحريره:

    تأكد من تأكيد التغيير مع موقع الويب أيضًا. كرر العملية لكل كلمة مرور مكررة و ضعيفة في خزنة LastPass الخاصة بك.

    أخيرًا ، آخر شيء تحتاج إلى تدقيقه هو كلمة مرور LastPass الرئيسية. قم بذلك عن طريق النقر فوق الارتباط الموجود أسفل شاشة التحدي المسمى "اختبار قوة كلمة المرور الرئيسية لـ LastPass". إذا كنت لا ترى هذا:

    تحتاج إلى إعادة تعيين كلمة مرور LastPass الرئيسية وزيادة القوة حتى تتلقى تأكيدًا قويًا وإيجابيًا بنسبة 100٪.

    مسح النتائج وزيادة تعزيز أمن لاست باس الخاص بك

    بعد أن تسجل عبر قائمة كلمات المرور المكررة ، والإدخالات القديمة المحذوفة ، وبغض النظر عن ترتيب قائمة تسجيل الدخول / كلمة المرور الخاصة بك وتأمينها ، فقد حان الوقت لتشغيل عملية التدقيق مرة أخرى. الآن ، للتأكيد ، نشأت النتيجة التي تراها أدناه فقط عن طريق تحسين أمان كلمة المرور. (إذا قمت بتمكين ميزات أمان إضافية ، مثل المصادقة متعددة العوامل ، فستتلقى دفعة تبلغ حوالي 10٪).

    ليس سيئا! بعد التخلص من كل كلمة مرور مكررة وجلب جميع كلمات المرور الحالية بما يصل إلى 90٪ من القوة أو أفضل ، فقد حسنتنا بالفعل من درجاتنا. إذا كنت متشوقًا فلماذا لم تقفز إلى 100٪ ، فهناك بعض العوامل التي تلعب دورًا ، وأبرزها هو أنه لا يمكن أبدًا استحضار بعض كلمات المرور من خلال معايير LastPass بسبب سياسات سخيفة مديري الموقع. على سبيل المثال ، كلمة مرور تسجيل دخول المكتبة المحلية الخاصة بي عبارة عن دبوس مكون من أربعة أرقام (يسجل 4٪ على مقياس أمان LastPass). سيكون لدى معظم الناس نوعًا من القيم الشاذة مثل تلك الموجودة في قائمتهم والتي ستسحب درجاتهم إلى أسفل.

    في مثل هذه الحالات ، من المهم عدم الشعور بالإحباط ، واستخدام التقسيم التفصيلي كمقياس:

    في عملية تحديث كلمة المرور قمت بتشذيب 17 موقعًا مكررة / منتهية الصلاحية ، وأنشأت كلمة مرور فريدة لكل موقع وخدمة ، وأحضر عدد المواقع التي بها كلمات مرور مكررة إلى أسفل من 43 إلى 0 في العملية.

    استغرق الأمر ساعة واحدة فقط من وقت التركيز الجاد (12.4٪ منها تم شتمها عن طريق مصممي مواقع الويب الذين وضعوا روابط تحديث كلمات المرور في أماكن غامضة) ، وكل ما تطلبه الأمر لتحفيز نفسي هو اختراق كلمة السر لأبعاد كارثية! أنا أقوم بتدوين ملاحظة هنا ، نجاح كبير.


    الآن بعد أن قمت بمراجعة كلمات المرور الخاصة بك وتم ضخها للحصول على استقرار كلمات المرور الفريدة ، دعنا نستفيد من هذا الزخم إلى الأمام. ضرب دليلنا لجعل LastPass حتى في أكثر أمانًا عن طريق زيادة تكرار كلمة المرور ، وتقييد عمليات تسجيل الدخول حسب البلد ، والمزيد. بين تشغيل المراجعة الموضحة هنا ، بعد دليل أمان LastPass ، وتشغيل الخوارزميات ثنائية العامل ، سيكون لديك نظام إدارة كلمة المرور مضاد للرصاص يمكنك أن تفخر به.