في أكتوبر من هذا العام ، كشفت Adobe عن حدوث خرق أمني كبير أثر على 3 ملايين مستخدم لبرنامج Adobe.com و Adobe. ثم قاموا بتعديل الرقم إلى 38 مليون. ثم ، والأمر الأكثر إثارة للصدمة ، عندما تم تسريب قاعدة البيانات من الاختراق ، عاد الباحثون الأمنيون الذين حللوا قاعدة البيانات وقالوا إنها أشبه بـ 150 مليون حساب مستخدم مخترق. هذه الدرجة من تعرض المستخدم تضع خرق Adobe كواحد من أسوأ الخروقات الأمنية في التاريخ.
Adobe ليست وحدها في هذه الجبهة ؛ لقد فتحنا ببساطة بخرقهم لأنه حدث مؤخرًا بشكل مؤلم. في السنوات القليلة الماضية وحدها ، كانت هناك العشرات من الخروقات الأمنية الهائلة حيث تم اختراق معلومات المستخدم ، بما في ذلك كلمات المرور.
تعرض موقع LinkedIn للضرب في عام 2012 (تعرض 6.46 مليون سجل مستخدم للاختراق). في نفس العام ، تم ضرب eHarmony (1.5 مليون سجل مستخدم) كما كان Last.fm (6.5 مليون سجل مستخدم) و Yahoo! (450 ألف سجل مستخدم). تم إصابة شبكة Sony Playstation Network في عام 2011 (تعرض 101 مليون سجل مستخدم للاختراق). تم ضرب Gawker Media (الشركة الأم لمواقع مثل Gizmodo و Lifehacker) في عام 2010 (تعرض 1.3 مليون سجل مستخدم للاختراق). وهذه مجرد أمثلة للانتهاكات الكبيرة التي جعلت الأخبار!
يحتفظ مركز تبادل معلومات حقوق الخصوصية بقاعدة بيانات للانتهاكات الأمنية من عام 2005 إلى الوقت الحاضر. تتضمن قاعدة بياناتهم مجموعة واسعة من أنواع الخروقات: بطاقات الائتمان المخترقة ، وأرقام الضمان الاجتماعي المسروقة ، وكلمات المرور المسروقة ، والسجلات الطبية.تتكون قاعدة البيانات ، اعتبارًا من نشر هذه المقالة ، من 4 ، 033 انتهاكات تحتوي على 617 ، 937 ، 023 سجلات مستخدمليس كل واحد من تضمنت مئات الملايين من الانتهاكات كلمات مرور المستخدم ، لكن الملايين منهم فعلوا ذلك.
فلماذا هذا مهم؟ بصرف النظر عن الآثار الأمنية الواضحة والفورية للخرق ، فإن الانتهاكات تخلق أضرارًا جانبية. يمكن للقراصنة البدء فورًا في اختبار تسجيلات الدخول وكلمات المرور التي يجمعونها في مواقع الويب الأخرى.
معظم الأشخاص كسالى في استخدام كلمات المرور الخاصة بهم ، وهناك فرصة جيدة أنه إذا استخدم شخص ما [email protected] مع كلمة المرور bob1979 ، فإن نفس زوج تسجيل الدخول / كلمة المرور سيعمل في مواقع الويب الأخرى. إذا كانت تلك المواقع الأخرى ذات مستوى رفيع (مثل المواقع المصرفية أو إذا كانت كلمة المرور التي استخدمها في Adobe تفتح بالفعل صندوق بريده الإلكتروني) ، فهناك مشكلة. بمجرد وصول شخص ما إلى صندوق البريد الإلكتروني الخاص بك ، يمكنه البدء في إعادة تعيين كلمة المرور على الخدمات الأخرى والوصول إليها أيضًا.
الطريقة الوحيدة لإيقاف هذا النوع من ردود الفعل المتسلسلة من التسبب في المزيد من المشكلات الأمنية داخل شبكة مواقع الويب والخدمات التي تستخدمها هي اتباع قاعدتين أساسيتين للنظافة الجيدة لكلمة المرور:
- يجب أن تكون كلمة مرور بريدك الإلكتروني طويلة وقوية وفريدة من نوعها تمامًا بين جميع عمليات تسجيل الدخول الخاصة بك.
- يحصل كل تسجيل دخول على كلمة مرور طويلة وقوية وفريدة من نوعها. لا إعادة استخدام كلمة المرور. من أي وقت مضى.
هاتان القاعدتان هما المستفاد من كل دليل أمان شاركناه معك على الإطلاق ، بما في ذلك دليل الطوارئ الخاص بنا ، كيفية الاسترداد بعد اختراق كلمة مرور البريد الإلكتروني.
الآن في هذه المرحلة ، ربما تتعثر قليلاً لأنه ، بصراحة ، لا يكاد أي شخص لديه ممارسات وأمن كلمات مرور محكمة تمامًا. لست وحدك إذا كان هناك نقص في نظافة كلمة المرور. في الواقع ، حان وقت الاعتراف.
لقد كتبت عشرات المقالات الأمنية ، والمنشورات حول الخروقات الأمنية ، وغيرها من المنشورات المتعلقة بكلمات المرور على مدار السنوات التي قضيتها في How-To Geek.على الرغم من كونه على وجه التحديد نوع الشخص المطلع الذي يجب أن يعرف بشكل أفضل ، على الرغم من استخدام مدير كلمات المرور وإنشاء كلمات مرور آمنة لكل موقع ويب وخدمة جديدة ، عندما قمت بتشغيل بريدي الإلكتروني من خلال قائمة تسجيلات دخول Adobe المخترقة ومطابقتها مع كلمة المرور المخترقة ، ما زلت اكتشفت أنني قد أصبت بحروق.
لقد صنعت حساب Adobe هذا منذ وقت طويل عندما كنت أكثر تساهلاً بشكل ملحوظ مع نظافة كلمة المرور الخاصة بي ، وكانت كلمة المرور التي استخدمتها شائعة عبر العشرات من مواقع الويب والخدمات التي اشتركت بها قبل أن أكون جادًا للغاية حول إنشاء كلمات مرور جيدة.
كان من الممكن منع كل ذلك إذا مارست بشكل كامل ما أوصيت به ولم أنشأت كلمات مرور فريدة وقوية فحسب ، بل قمت أيضًا بتدقيق كلمات المرور القديمة للتأكد من عدم حدوث هذا الموقف في المقام الأول. سواء لم تحاول مطلقًا أن تكون متسقًا وآمنًا مع ممارسات كلمة المرور الخاصة بك أو كنت تحتاج فقط إلى التحقق منها لتريح نفسك ، فإن التدقيق الشامل لكلمة المرور هو الطريق إلى أمان كلمة المرور وراحة البال.اقرأ كما نوضح لك كيف.
التحضير لتحدي أمان Lastpass
يمكنك تدقيق كلمات المرور يدويًا ، ولكن هذا سيكون مملاً للغاية ولن تحصل على أي من مزايا استخدام مدير كلمات مرور عام جيد. بدلاً من تدقيق كل شيء يدويًا ، سنسلك الطريق السهل والآلي إلى حد كبير: سنقوم بتدقيق كلمات المرور الخاصة بنا من خلال إجراء تحدي أمان LastPass.
لن يغطي هذا الدليل إعداد LastPass ، لذلك إذا لم يكن لديك بالفعل نظام LastPass قيد التشغيل ، فنحن نشجعك بشدة على إعداد واحد. تحقق من دليل HTG لبدء استخدام LastPass للبدء. على الرغم من تحديث LastPass منذ أن كتبنا الدليل (أصبحت الواجهة أجمل بكثير وأكثر انسيابية الآن) ، لا يزال بإمكانك اتباع الخطوات بسهولة. إذا كنت تقوم بإعداد LastPass لأول مرة ، فتأكد من استيراد جميع كلمات المرور المخزنة الخاصة بك من المستعرضات الخاصة بك ، لأن هدفنا هو تدقيق كل كلمة مرور تستخدمها.
أدخل كل تسجيل دخول وكلمة مرور في LastPass:سواء كنت جديدًا على LastPass أو لم تكن تستخدمه بالكامل لكل تسجيل دخول ، فقد حان الوقت الآن للقيام بذلك تأكد من إدخال كل تسجيل دخول إلى نظام LastPass. سنقوم بترديد النصيحة التي قدمناها في دليل استرداد البريد الإلكتروني الخاص بنا لتمشيط صندوق البريد الإلكتروني الخاص بك للتذكيرات:
تمكين المصادقة الثنائية على حساب LastPass الخاص بك:هذه الخطوة ليست ضرورية تمامًا لإجراء تدقيق الأمان ، ولكن بينما نلفت انتباهك ، سنقوم بكل شيء يمكننا أن نشجعك ، أثناء قيامك بالتجول في حساب LastPass الخاص بك ، لتشغيل المصادقة ذات العاملين لتأمين المزيد من قبو LastPass الخاص بك. (لا يؤدي ذلك إلى زيادة أمان حسابك فحسب ، بل ستحصل أيضًا على دفعة في درجة تدقيق الأمان أيضًا!)
مواجهة تحدي أمان LastPass
الآن بعد أن قمت باستيراد جميع كلمات المرور الخاصة بك ، فقد حان الوقت لتستعد للعار لأنك لست في 1٪ من خبراء أمان كلمات المرور المتشددين.قم بزيارة صفحة LastPass Security Challenge واضغط على "Start the Challenge" في أسفل الصفحة. ستتم مطالبتك بإدخال كلمة مرورك الرئيسية ، كما هو موضح في لقطة الشاشة أعلاه ، وبعد ذلك سيعرض LastPass التحقق مما إذا كان أي من عناوين البريد الإلكتروني المضمنة في خزينتك جزءًا من أي انتهاكات تم تتبعها. لا يوجد سبب وجيه لعدم الاستفادة من هذا:
إذا كنت محظوظًا ، فستُرجع سلبية. إذا كنت محظوظًا ، فستظهر لك نافذة منبثقة مثل هذه تسألك عما إذا كنت تريد مزيدًا من المعلومات حول الانتهاكات التي تورط فيها بريدك الإلكتروني:
سيصدر LastPass تنبيهًا أمنيًا واحدًا لكل حالة. إذا كان لديك عنوان بريدك الإلكتروني لفترة طويلة ، فاستعد للصدمة من عدد عمليات اختراق كلمة المرور التي تم تشابكها بها. إليك مثال على إشعار خرق كلمة المرور:
بعد النوافذ المنبثقة ، سيتم إلقاؤك في اللوحة الرئيسية لتحدي أمان LastPass. هل تذكر سابقًا في الدليل عندما تحدثت عن كيفية ممارسة النظافة الجيدة لكلمات المرور حاليًا ، لكنني لم أتمكن مطلقًا من تحديث الكثير من مواقع الويب والخدمات القديمة بشكل صحيح؟ إنه يظهر حقًا في النتيجة التي تلقيتها. أوتش:
هذه هي نتيجتي مع سنوات من كلمات المرور العشوائية المختلطة. لا تصدم كثيرًا إذا كانت درجاتك أقل إذا كنت تستخدم نفس عدد كلمات المرور الضعيفة مرارًا وتكرارًا. الآن وقد حصلنا على درجاتنا (مهما كانت رائعة أو مخزية) ، حان الوقت للبحث في البيانات. يمكنك استخدام الروابط السريعة بجانب النسبة المئوية لدرجاتك أو مجرد البدء في التمرير. المحطة الأولى ، دعونا نتحقق من النتائج التفصيلية. ضع في اعتبارك هذا نظرة عامة على 10000 قدم لحالة كلمات المرور الخاصة بك:
بينما يجب الانتباه إلى جميع الإحصائيات هنا ، فإن المهم حقًا هو "متوسط قوة كلمة المرور" ، ومدى ضعف أو قوة متوسط كلمة المرور ، والأهم من ذلك ، "عدد كلمات المرور المكررة" و "الرقم" من المواقع التي تحتوي على كلمات مرور مكررة ". بسبب مراجعتي ، كان هناك 8 مغفلين عبر 43 موقعًا. من الواضح أنني كنت كسولًا جدًا في إعادة استخدام نفس كلمة المرور منخفضة الجودة في أكثر من عدة مواقع.
المحطة التالية ، قسم المواقع التي تم تحليلها. ستجد هنا تقسيمًا ملموسًا للغاية لجميع عمليات تسجيل الدخول وكلمات المرور الخاصة بك مرتبة حسب استخدام كلمة مرور مكررة (إذا كان لديك نسخ مكررة) ، وكلمات مرور فريدة ، وأخيراً ، عمليات تسجيل الدخول بدون كلمة مرور مخزنة في LastPass. أثناء استعراض القائمة ، تعجب من التناقض بين نقاط قوة كلمة المرور. في حالتي ، حصلت إحدى عمليات تسجيل الدخول المالية الخاصة بي على 45٪ من نقاط كلمة المرور بينما حصلت ابنتي على تسجيل دخول Minecraft بنسبة 100٪.مرة أخرى ، آه.
إصلاح نتيجة التحدي الأمني الرهيبة
هناك رابطان مفيدان للغاية مدمجان في قوائم التدقيق. إذا قمت بالنقر فوق "إظهار" ، فسيظهر لك كلمة المرور الخاصة بهذا الموقع ، وإذا قمت بالنقر فوق "زيارة الموقع" ، يمكنك الانتقال مباشرةً إلى موقع الويب حتى تتمكن من تغيير كلمة المرور. لا يجب تغيير كل كلمة مرور مكررة فحسب ، بل يجب إيقاف أي كلمة مرور تم إرفاقها بحساب تم اختراقه (مثل Adobe.com أو LinkedIn) بشكل دائم.
اعتمادًا على عدد كلمات المرور التي تمتلكها (ومدى حرصك على ممارسات كلمات المرور الجيدة) ، قد تستغرق هذه الخطوة من العملية عشر دقائق أو فترة بعد الظهر بأكملها. على الرغم من أن عملية تغيير كلمات المرور الخاصة بك ستختلف بناءً على تخطيط الموقع الذي تقوم بتحديثه ، فإليك بعض الإرشادات العامة التي يجب اتباعها (نحن نستخدم تحديث كلمة المرور الخاص بنا في تذكر الحليب كمثال): قم بزيارة صفحة تغيير كلمة المرور.ستحتاج عادةً إلى إدخال كلمة مرورك الحالية ثم إنشاء كلمة مرور جديدة.
افعل ذلك من خلال النقر على قفل بشعار سهم دائري. يتم إدراج LastPass في فتحة كلمة المرور الجديدة (كما هو موضح في لقطة الشاشة أعلاه). ألقِ نظرة على كلمة مرورك الجديدة وقم بإجراء تعديلات إذا كنت ترغب في ذلك (مثل تطويلها أو إضافة أحرف خاصة):
انقر على "استخدام كلمة المرور" ثم أكد على رغبتك في تحديث الإدخال الذي تعدله:
تأكد من تأكيد التغيير مع الموقع أيضًا. كرر العملية لكل كلمة مرور مكررة وضعيفة في قبو LastPass الخاص بك.
أخيرًا ، آخر شيء تحتاج إلى تدقيقه هو كلمة مرور LastPass الرئيسية الخاصة بك. قم بذلك عن طريق النقر فوق الارتباط الموجود أسفل شاشة التحدي بعنوان "اختبار قوة كلمة المرور الرئيسية الخاصة بي على LastPass". إذا كنت لا ترى هذا:
تحتاج إلى إعادة تعيين كلمة مرور LastPass الرئيسية الخاصة بك وزيادة القوة حتى تتلقى تأكيدًا لطيفًا وإيجابيًا وقوة بنسبة 100٪.
مسح النتائج وزيادة تحسين أمان LastPass الخاص بك
بعد الانتهاء من قائمة كلمات المرور المكررة ، وحذف الإدخالات القديمة ، وتنظيم وتأمين قائمة تسجيل الدخول / كلمة المرور الخاصة بك ، فقد حان الوقت لإجراء التدقيق مرة أخرى. الآن ، للتأكيد ، تم إحضار النتيجة التي تراها أدناه فقط من خلال تحسين أمان كلمة المرور. (إذا قمت بتمكين ميزات أمان إضافية ، مثل المصادقة متعددة العوامل ، فستتلقى دفعة تقارب 10٪).
ليس سيئا! بعد التخلص من كل كلمة مرور مكررة وتقديم جميع كلمات المرور الحالية بقوة تصل إلى 90٪ أو أفضل ، فقد أدى ذلك بالفعل إلى تحسين درجاتنا.إذا كنت تشعر بالفضول بسبب عدم ارتفاعها إلى 100٪ ، فهناك بعض العوامل التي تلعب دورًا ، وأبرزها أن بعض كلمات المرور لا يمكن أبدًا استحضارها وفقًا لمعايير LastPass بسبب السياسات السخيفة المعمول بها بواسطة مديري الموقع. على سبيل المثال ، كلمة مرور تسجيل الدخول لمكتبتي المحلية هي رقم التعريف الشخصي المكون من أربعة أرقام (والذي يسجل 4٪ على مقياس أمان LastPass). سيكون لدى معظم الأشخاص نوع من القيم المتطرفة من هذا القبيل في قائمتهم وسيؤدي ذلك إلى انخفاض درجاتهم.
في مثل هذه الحالات ، من المهم ألا تشعر بالإحباط ، وأن تستخدم التقسيم التفصيلي كمقياس:
في عملية تحديث كلمة المرور ، قمت بتشذيب 17 موقعًا مكررًا / منتهي الصلاحية ، وأنشأت كلمة مرور فريدة لكل موقع وخدمة ، وخفضت عدد المواقع التي تحتوي على كلمات مرور مكررة من 43 إلى 0 في هذه العملية.
استغرق الأمر حوالي ساعة من التركيز الجاد (12.4٪ منها تم إنفاقها على سب مصممي مواقع الويب الذين وضعوا روابط تحديث كلمة المرور في أماكن غامضة) ، وكل ما استغرقته لتحفيزي هو انتهاك كلمة المرور بشكل كارثي النسب! أنا أدون ملاحظة هنا ، لقد حققت نجاحًا هائلاً.
الآن بعد أن قمت بتدقيق كلمات المرور الخاصة بك وكنت متحمسًا للحصول على مجموعة ثابتة من كلمات المرور الفريدة ، فلنستفيد من هذا الزخم إلى الأمام. تابع دليلنا لجعل LastPass أكثر أمانًا عن طريق زيادة تكرارات كلمة المرور وتقييد عمليات تسجيل الدخول حسب البلد والمزيد. بين تشغيل التدقيق الذي حددناه هنا ، باتباع دليل أمان LastPass ، وتشغيل الخوارزميات ذات العاملين ، سيكون لديك نظام إدارة كلمات مرور مضاد للرصاص يمكنك أن تفتخر به.
