홈페이지 » 어떻게 » 마지막 통과 보안 감사를 실행하는 방법 (그리고 왜 기다릴 수 없는지)

    마지막 통과 보안 감사를 실행하는 방법 (그리고 왜 기다릴 수 없는지)

    느슨한 암호 관리 및 위생을 실습하는 경우 점점 더 많은 대규모 보안 침해가 발생하여 문제가 발생할 때까지는 시간 문제 일뿐입니다. 과거의 보안 위반 탄환을 피하고 미래의 탄약 파탄을 피하여 고맙게 여기지 마세요. 비밀번호를 감사하고 자신을 보호하는 방법을 보여주는대로 계속 읽어보십시오..

    빅딜은 무엇이며 왜 이런 것이 중요한가??

    올해 10 월, Adobe는 Adobe.com 및 Adobe 소프트웨어 사용자 3 백만명에게 큰 타격을 입히는 보안 침해가 있었다고 밝혔습니다. 그런 다음 그들은 3800 만 명으로 수정했습니다. 그런데 해커가 누출 된 데이터베이스가 유출되었을 때 데이터베이스를 분석 한 보안 연구원이 돌아와서 더 놀랍게도 1 억 5 천만 손상된 사용자 계정 이러한 정도의 사용자 노출로 인해 Adobe 위반이 역사상 최악의 보안 침해 중 하나로 기록 될 수 있습니다..

    그러나 Adobe는이 분야에서 거의 혼자가 아닙니다. 우리는 최근에 고통 스럽기 때문에 단순히 위반 사실을 열었습니다. 지난 몇 년 동안 암호 만 포함한 사용자 정보가 손상된 대규모 보안 침해가 수십 차례있었습니다.

    LinkedIn은 2012 년에 타격을 입었습니다 (644 만 사용자 기록이 손상됨). 같은 해, eHarmony는 Last.fm (650 만 사용자 레코드) 및 Yahoo! (450,000 사용자 레코드). 소니 플레이 스테이션 네트워크는 2011 년에 공격을 받았다 (1 억 1 천만 명의 사용자 기록이 훼손되었다). Gizmodo 및 Lifehacker와 같은 사이트의 모회사 인 Gawker Media는 2010 년에 공격을 받았습니다 (130 만 사용자 기록이 손상됨). 그것들은 뉴스를 만든 커다란 사건의 예일뿐입니다.!

    Privacy Rights Clearinghouse는 2005 년부터 현재까지의 보안 침해에 대한 데이터베이스를 유지 관리합니다. 그들의 데이터베이스에는 신용 카드 손상, 사회 보장 번호 도난, 패스워드 도난, 의료 기록 등 다양한 유형의 위반 유형이 있습니다. 이 기사의 출판 시점의 데이터베이스는 4,033 건의 위반 함유 사용자 기록 617,937,023. 수백만 건의 침해가 모두 사용자 암호와 관련되는 것은 아니지만 수백만 건이 발생했습니다..

    그렇다면 왜 그렇게 중요합니까? 명백하고 즉각적인 보안 침해가 아닌 침해로 인해 부수적 인 피해가 발생합니다. 해커는 즉시 다른 웹 사이트에서 수집 한 로그인 및 암호 테스트를 시작할 수 있습니다..

    대부분의 사람들은 자신의 암호에 대해 게으르다. 누군가 [email protected]을 암호 bob1979와 함께 사용하면 다른 웹 사이트에서 동일한 로그인 / 암호 쌍이 작동 할 가능성이있다. 다른 웹 사이트가 더 높은 프로필 인 경우 (예 : 은행 사이트 또는 Adobe에서 사용한 비밀번호로 실제로 이메일을받은 편지함의 잠금을 해제 한 경우) 문제가 있습니다. 다른 사용자가 귀하의 이메일받은 편지함에 액세스하면 다른 서비스에서 비밀번호 재설정을 시작하고 해당 서비스에 대한 액세스를 시작할 수 있습니다..

    이러한 종류의 연쇄 반응을 막는 유일한 방법은 사용하는 웹 사이트 및 서비스 네트워크에서 더욱 많은 보안 문제를 야기하지 않도록하는 것입니다.이 두 가지 기본적인 암호 위생 규칙을 따르십시오.

    1. 이메일 암호는 길고 강력하며 모든 로그인 중 유일해야합니다..
    2. 마다 로그인은 길고 강하며 고유 한 비밀번호를 얻습니다. 비밀번호 재사용 없음. 이제까지.

    이 두 가지 규칙은 비상 사태에 대한 팬 가이드를 포함하여 우리가 공유 한 모든 보안 지침에서 탈퇴하는 방법입니다. 전자 메일 암호가 손상된 후 복구하는 방법.

    지금이 시점에서, 솔직히 말해서 누구도 완벽하게 밀폐 된 암호 관행과 보안을 갖고 있지 않기 때문에 아마도 약간의 불만이있을 것입니다. 비밀번호 위생이 부족한 경우 혼자가 아닙니다. 사실, 자백의 시간이야..

    How-To Geek에서 수년 동안 수십 건의 보안 기사, 보안 위반에 관한 게시물 및 기타 비밀번호 관련 게시물을 작성했습니다. 비밀번호 관리자를 사용하고 모든 새 웹 사이트 및 서비스에 대한 보안 암호를 생성 했음에도 불구하고 더 잘 알고 있어야하는 정보통의 사람 임에도 불구하고 손상된 Adobe 로그인 목록을 통해 전자 메일을 보내고 손상된 암호와 일치시킬 때 나는 아직도 화상을 입었다는 것을 알았다..

    내가 어도비 계정을 만든 것은 오랜 전에 암호 위생이 훨씬 느슨했고 암호는 내가 일반적으로 사용했던 암호였다. 수십 내가 좋은 암호를 만드는 것에 대해 진지하게 생각하기 전에 내가 등록한 웹 사이트 및 서비스.

    내가 설교 한 내용을 완전히 연습하고 독특하고 강력한 암호를 만든 것이 아니라 모든 것을 막을 수있었습니다. 또한 이 상황이 처음에는 일어나지 않았 음을 확인하기 위해 이전 암호를 감사했습니다. 암호 실습을 일관성있게 유지하려고 시도한 적이 없거나 쉽게 숙지 할 수 있는지 확인해야하는 경우에도 철저한 암호 감사는 암호 보안 및 안심의 길입니다. 우리가 당신에게 보여줄 방법을 읽어라..

    Lastpass 보안 문제에 대한 준비

    수동으로 암호를 감사 할 수는 있지만 엄청나게 지루하고 좋은 범용 암호 관리자를 사용하면 얻을 수있는 이점을 얻을 수 없습니다. 수동으로 모든 것을 감사하는 대신, 우리는 쉽고 자동화 된 경로를 취할 것입니다 : 우리는 LastPass 보안 챌린지.

    이 안내서는 LastPass 설정에 대해서는 다루지 않으므로 LastPass 시스템을 아직 가동하지 않은 경우 설정을 권장합니다. 시작하려면 LastPass 시작하기 HTG 가이드를 확인하십시오. LastPass가 가이드를 작성한 이래로 LastPass가 업데이트되었지만 (인터페이스가 더 예쁘고 간소화 됨) 쉽게 단계를 수행 할 수 있습니다. 처음으로 LastPass를 설정하는 경우, 반드시 가져 오기를하십시오. 모든 브라우저의 저장된 비밀번호는 사용중인 모든 비밀번호를 감사하는 것이 목표입니다..

    LastPass에 모든 로그인과 암호를 입력하십시오 : LastPass의 새로운 제품이든, 모든 로그인에 대해 완전히 사용하지 않든, 지금은 입력 한 것을 확인할 때입니다 ...마다 LastPass 시스템에 로그인하십시오. 미리 알림을 위해 이메일받은 편지함을 샅샅이 뒤져서 이메일 복구 가이드에 제공된 조언을 되풀이 해 보겠습니다.

    이메일에서 등록 알림을 검색하십시오.. Facebook 및 은행과 같이 자주 사용하는 로그인 정보를 기억하는 일은 어렵지 않지만 로그인하기 위해 이메일을 사용했음을 기억하지 못할 수있는 서비스가 수십 가지 있습니다. '재설정', '복구', '확인', '비밀번호', '사용자 이름', '로그인', '계정'등의 키워드 검색을 사용하고 '비밀번호 재설정'또는 '계정 확인' . 다시 말하지만, 이것은 번거 로움입니다.하지만 일단 비밀번호 관리자를 사용하면 모든 계정에 대한 마스터 목록이 생기므로이 키워드 검색을 다시 할 필요가 없습니다..

    LastPass 계정에서 이중 인증 사용 : 이 단계는 보안 감사를 수행하는 데 반드시 필요한 것은 아니지만,주의를 기울이는 동안 LastPass 계정에서 실수를하는 동안 격려 할 수있는 모든 조치를 취하고, 2 단계 인증을 사용하도록 설정합니다. LastPass 보관소의 보안을 강화하십시오. (계정 보안이 향상 될뿐만 아니라 보안 감사 점수도 향상됩니다!)

    LastPass 보안 문제 해결

    이제 모든 비밀번호를 가져 왔으므로 하드 코어 비밀번호 보안 닌자의 1 %에 속하지 않는 수치심에 쩔쩔 매게 할 시간입니다. LastPass 보안 챌린지 페이지를 방문하여 페이지 하단의 "챌린지 시작"을 누르십시오. 위 스크린 샷과 같이 마스터 비밀번호를 입력하라는 메시지가 표시되면 LastPass는 귀하의 금고에 포함 된 이메일 주소가 추적 된 위반 사항의 일부인지 확인합니다. 이 점을 이용하지 않는 이유는 없습니다.

    운이 좋으면 음수를 돌려줍니다. 운이 좋으면 이메일과 관련된 위반에 대한 추가 정보를 원하는지 묻는 팝업이 표시됩니다.

    LastPass는 각 인스턴스에 대해 단일 보안 경고를 발행합니다. 오랫동안 이메일 주소를 알고 있다면, 얼마나 많은 비밀번호가 유출되었는지에 대해 미리 생각해보십시오. 다음은 비밀번호 위반 통지의 예입니다.

    팝업이 나오면, LastPass 보안 챌린지의 메인 패널에 덤프됩니다. 이전에 가이드에서 내가 현재 암호 위생을 잘 수행하고 있지만 이전 웹 사이트와 서비스를 제대로 업데이트하지 못했다고 이야기했을 때 기억하십니까? 내가받은 점수에 실제로 나타납니다. 아야:

    그것은 수년간 무작위 암호가 혼합 된 내 점수입니다. 동일한 소수의 약한 암호를 반복해서 사용했다면 점수가 더 낮아지면 너무 충격받지 마십시오. 이제 우리 점수 (굉장하거나 부끄러운지도 모릅니다)가 있기 때문에 데이터를 파고 들어야 할 때입니다. 점수 백분율 옆에있는 빠른 링크를 사용하거나 스크롤을 시작할 수 있습니다. 우선, 자세한 결과를 확인해 봅시다. 암호 상태에 대한 10,000 피트 개요를 다음과 같이 생각하십시오.

    여기서 모든 통계에주의를 기울여야하지만 실제로 중요한 것은 "평균 암호 강도", 평균 암호가 약하거나 강하며 "중복 암호 수"및 "중복 암호가있는 사이트 수"입니다. ". 감사의 원인으로 43 개 사이트에 8 개의 사기 사건이 발생했습니다. 분명히 나는 ​​몇몇 사이트 이상에서 동일한 낮은 등급의 패스워드를 재사용하는 것을 매우 게을 렀다..

    다음 단계는 분석 된 사이트 섹션입니다. 여기에서는 중복 암호 사용 (중복 된 경우), 고유 암호 및 마지막으로 LastPass에 암호가 저장되지 않은 로그인으로 구성된 모든 로그인과 암호를 매우 구체적으로 보여줍니다. 목록을 살펴 보면서 비밀번호 강점의 대비를 생각해보십시오. 저의 경우, 재정적 인 로그인 중 하나에 45 %의 비밀번호 점수가 주어지며 딸의 Minecraft 로그인에는 완벽한 100 % 점수가 주어졌습니다. 다시, 아프다..

    끔찍한 보안 챌린지 점수 고정하기

    감사 목록에는 두 가지 유용한 링크가 있습니다. "SHOW"를 클릭하면 해당 사이트의 비밀번호가 표시되고 "사이트 방문"을 클릭하면 비밀번호를 변경할 수 있도록 웹 사이트로 바로 이동할 수 있습니다. 중복 된 모든 비밀번호를 변경해야 할뿐만 아니라 위반 된 계정 (예 : Adobe.com 또는 LinkedIn)에 첨부 된 비밀번호는 영구적으로 폐기해야합니다.

    얼마나 많은 패스워드를 가지고 있는지, 얼마나 많은 패스워드를 사용했는지에 따라,이 과정에서 10 분 또는 오후 내내 걸릴 수 있습니다. 암호를 변경하는 과정은 업데이트 할 사이트의 레이아웃에 따라 다르지만 다음은 일반적인 지침입니다 (예 : Remember the Milk의 암호 업데이트 사용). 암호 변경 페이지 방문 . 일반적으로 현재 비밀번호를 입력 한 다음 새 비밀번호를 생성해야합니다..

    원형 화살표 잠금 로고가있는 로고를 클릭하면됩니다. LastPass는 새로운 암호 슬롯에 삽입합니다 (위의 스크린 샷 참조). 새 암호를 살펴보고 원하는대로 길게 조정하거나 특수 문자를 추가하는 등의 조정을하십시오.

    "암호 사용"을 클릭하고 편집중인 항목을 업데이트 할 것인지 확인하십시오.

    웹 사이트에서도 변경 사항을 확인하십시오. LastPass 보관소에있는 모든 복제 및 약한 비밀번호에 대해이 과정을 반복하십시오.

    마지막으로 감사해야 할 마지막 항목은 LastPass 마스터 비밀번호입니다. "LastPass Master Password의 강도 테스트"라는 챌린지 화면 하단의 링크를 클릭하십시오. 이 부분이 보이지 않는 경우 :

    LastPass Master Password를 초기화하고 강하고 긍정적 인 100 % 강도의 확인을받을 때까지 힘을 증가시켜야합니다.

    결과 조사 및 LastPass 보안 강화

    중복 된 암호 목록, 오래된 항목 삭제, 로그인 / 암호 목록 정리 및 보안 설정을 마친 후에는 다시 감사를 실행해야합니다. 이제 강조 할 사항은 아래에 표시된 점수가 암호 보안을 향상 시켜서 얻은 점수입니다. 다중 요소 인증과 같은 추가 보안 기능을 사용하면 약 10 %의 부스트를 받게됩니다..

    나쁘지 않다! 모든 중복 된 암호를 제거하고 기존 암호를 90 % 이상까지 올리면 점수가 향상되었습니다. 왜 이것이 100 %로 뛰어 오르지 않았는지 궁금하다면, 몇 가지 요소가 있습니다. 가장 중요한 것은 LastPass 표준에 의해 어떤 암호가 절대로 나올 수 없다는 것입니다. 사이트 관리자. 예를 들어, 내 지역 도서관의 로그인 비밀번호는 4 자리 핀 (LastPass 보안 등급에서 4 %를 받음)입니다. 대부분의 사람들은 자신의 목록에 그런 종류의 이상 치를 가질 것이고, 그것은 점수를 끌어 올 것입니다..

    이러한 경우 낙담하지 않고 상세한 분석을 측정 항목으로 사용하는 것이 중요합니다.

    암호 업데이트 프로세스에서 17 개의 중복 / 만료 된 사이트를 잘라내어 모든 사이트 및 서비스에 고유 한 암호를 만들고 중복 암호가있는 사이트 수를 43 개에서 0 개로 낮추었습니다.

    진지하게 초점을 맞춘 시간은 약 1 시간 밖에 걸리지 않았습니다 (12.4 %는 암호 업데이트 링크를 모호한 장소에 둔 웹 사이트 디자이너를 저주하는 데 소비되었습니다). 그리고 나에게 동기 부여를 얻으려고 모두 치명적인 비율의 암호 위반이 발생했습니다! 나는 여기서 큰 메모를 남겼다..


    이제는 암호를 감사하고 고유 한 암호가 안정적으로 발휘되도록 노력 했으므로 앞으로의 모멘텀을 활용 해 보겠습니다. LastPass 만들기에 대한 안내 조차 암호 반복 횟수를 늘리거나 국가 별 로그인 제한 등을 통해보다 안전합니다. 여기서 소개 한 감사를 실행하고, LastPass 보안 가이드를 따르고, 2 단계 알고리즘을 사용하는 동안 자랑스럽게 생각할 수있는 방탄 암호 관리 시스템을 갖게됩니다.