Foto: Getty
Die Nachricht von dieser Woche, die so genannte “mega-Verstoß” könnte tief Schwierigkeiten. Wenn dem so ist, das heißt, es ist eine perfekte Zeit, um die Kontrolle Ihrer persönlichen Sicherheit. Ja, jedes Unternehmen sollte verantwortlich gemacht werden für das üben schlampig Sicherheit, so dass Ihre sensiblen Daten in falsche Hände gelangen. Aber an diesem Punkt, es gibt wirklich keinen Grund zu Vertrauen die Bastarde, das richtige zu tun.
Rund 21 Millionen unique Passwörter weggeworfen wurden diese Woche online. Die Benutzer haben wenig zu befürchten, sind diejenigen, die zumindest aktiviert haben irgendeine Art von multi-Faktor-Authentifizierung, die einfachste ist die zwei-Faktor-Authentifizierung oder “2FA.” Noch besser dran sind diejenigen, die haben Sie auch angenommen, ein zuverlässiger Passwort-manager, der Ihnen erlaubt zu schaffen, sehr lange, komplexe und einzigartige Passwörter für jede Website, die Sie anmelden. Fügen Sie in einem physischen Sicherheitsschlüssel ein, und Sie ruhig schlafen kann heute Abend.
Hier ist eine kurze(ish) überblick über die drei wichtigsten Teile der Gestaltung einer gesunden Sicherheits-routine und nie Schwitzen ein anderes Passwort-Leck.
Schritt 1: Aktivieren Sie 2FA
Während 2FA ist nicht perfekt, es ist weit verbreitet, und es ist auch sehr einfach zu bedienen.
2FA funktioniert wie folgt: Du gehst auf anmelden, um beispielsweise Ihre E-Mail-Konto, und nach Eingabe Ihres Kennworts werden Sie aufgefordert, einen code einzugeben, der gesendet wurde, um Ihr Telefon mit text. (Wir bekommen in bessere alternativen als text in einem moment.) Was das bedeutet, theoretisch, dass jemand Zugriff auf Ihr Konto nicht (a) Ihr Passwort bekannt ist und (b) physischen Zugriff auf das Telefon. Also, wenn Sie Ihr Passwort zugespielt bekommt, wird es nicht so große einen deal, und wenn Sie vermissen die Nachricht über eine Verletzung, die Auswirkungen auf Sie, Sie sind ziemlich viel abgedeckt.
Heutzutage, sogar meine technologisch herausgefordert Großmutter, deren online-Bilanz ist neben der null, der weiß, dass Sie nicht log in Ihr E-Mail-Konto oder Ihrem bank-Konto, oder irgendetwas anderes, wirklich, ohne Angabe, dass wenig code an Ihr Telefon. Wenn eine 85-jährige, die noch bezahlt Ihre Rechnungen mit einem Papier-Scheck jeden Monat fassen kann, dieses Konzept, dann verdammt noch mal, so können Sie!
Fast alle großen online-Dienst bietet 2FA. Ich überlasse es an Ihnen, herauszufinden, wo sich die option befindet, für welche service, den Sie versuchen zu sperren (versuchen Sie “Sicherheit” unter “Einstellungen” oder “Einstellungen”), aber ich werde dies hinzufügen: Wenn Sie einen Dienst, der erfordert, dass Sie freiwillig vertrauliche Informationen, und die einzige Sicherheit, die es bietet, ist ein Passwort, dann sollten Sie auf jeden Fall aufhören, es zu benutzen. Bottom line: Dies ist offenbar ein Unternehmen, das nicht geben einen dreck um Ihre Sicherheit und ist wahrscheinlich zu wenige Schritte, um Sie zu schützen.
Der Grund, “Verletzungen”, wie diese Woche so viel Aufmerksamkeit bekommen wird, die Sie erscheinen lassen zig Millionen von Menschen ausgesetzt. Es ist leicht zu fühlen Empörung bei den Unternehmen, die sollte schon gewahrt bleiben diese Informationen besser. Aber die Einstellung, dass ein Benutzer keine Verantwortung tragen, sich zu schützen, ist gefährlich und faul. Es ist ein Begriff, den jeder in 2019 kommen sollte, zu verstehen, und das ist “Sicherheit hygiene.”
Ich sagte, dass 2FA ist nicht perfekt, also werde ich erarbeiten: die Meisten 2FA Dienstleistungen umfassen das senden Sicherheits-codes, in der Regel 5-6-stellig, per Kurzmitteilung (SMS). Es wurde wiederholt gezeigt, dass zwar sicherer, diese Methode der Eingang der code ist weit entfernt von harmlos. Eine Möglichkeit zur Verbesserung der 2FA ist die Verwendung einer authenticator-app auf Ihrem Handy. (Sie können Google Authenticator herunterzuladen, zum Beispiel über den Apple App Store und Google Play Store.) Diese apps ausspucken Zeit-sensitive security codes, anstatt das senden einer text-Nachricht. Viele Dienste, aber leider nicht alle, bieten Sie die Möglichkeit, über eine authenticator-app statt SMS für 2FA.
Schritt 2: Holen Sie sich ein Passwort manager
Passwort-Manager sind die zweite Linie der Verteidigung in diesen Situationen. Sie haben wahrscheinlich schon wiederholt gesagt, nicht wiederverwenden Passwörter, und wenn Sie nicht über ein Passwort-manager, es gibt eine gute chance, dass Sie gebrochen haben diese in der Regel einmal oder zweimal oder immer. Es ist fast unmöglich, ohne eine Gedächtnisstütze, erzeugen einzigartige, komplexe Passwörter für jeden online-service, den Sie verwenden, und denken Sie daran zu allen Zeiten. Der beste Weg, um sicherzustellen, dass Sie immer starke Passwörter zu nutzen, daher ist die Installation eines Passwort-manager, die nicht die harten Teile für Sie. Es gibt mehrere, aber LastPass und 1password funktionieren beide gut.
Password Manager ermöglicht das erstellen sehr lange und komplexe Passwörter, und dann im Grunde vergessen, dass Sie existieren. Das einzige Passwort, das Sie brauchen, zu erinnern ist das, mit dem Sie Zugriff auf den manager selbst. Offensichtlich machen es zu einem guten (und hier ist eine Anleitung, wie das zu tun). Ein langes, Komplexes Kennwort ist Dreh-und Angelpunkt in Situationen, in denen Passwörter durchgesickert (es sei denn, Sie sind durchgesickert in plain text). In vielen Fällen, ein Leck beinhalten die Passwörter verschlüsselt mit einem schwachen oder veralteten Verschlüsselungsprotokoll, wie MD5. Dies erfordert ein Angreifer zu knacken (oder entschlüsseln) diese “gehashte” Passwörter. Je länger und komplexer ein Passwort ist, desto schwieriger wird dies.
Passwort-Manager mag riskant auf den ersten, im wesentlichen wie Sie sind, Wetten alles auf dieses eine Passwort und hoffe, dass es nicht gestohlen oder geknackt wird. Aber jedes würdige password manager erlaubt es Ihnen auch zu ermöglichen, eine gewisse form von multi-Faktor-Authentifizierung. Hier ist eine Liste, zum Beispiel, der 2FA Dienstleistungen, die von LastPass:
Eine Sache, die ich hinzufügen, da ich erwähnt habe das LastPass Passwort-manager, insbesondere mehrmals, ist, dass, um einen physischen token, müssen Sie die kostenpflichtige version. Und das kostet Sie, zu der Zeit des Schreibens, eine satte $2 pro Monat.
Das klingt wie ein Streit, aber Passwort-Manager sind wirklich unglaublich bequem. Nachdem Sie sich angemeldet haben, wird es automatisch mit der Eingabe von Passwörtern für Sie. Passwort-manager mit Handy-apps sind besonders praktisch, weil die Eingabe von langen, komplexen Passwörtern auf winzigen Tastaturen kann ärgerlich. Was mehr ist, anstelle von einem Kennwort, das Sie werde weiterhin in Ihrem browser, können Sie über Touch-oder Face-ID zu entsperren Ihr Passwort-manager auf Ihrem Handy.
Schritt 3: Kaufen Sie physisches Sicherheitstoken
Wenn sich auf einen Passwort-manager, noch erschreckt Sie, haben Sie Glück. Es ist ein weiterer Schritt, die Sie ergreifen können, um sich selbst zu schützen, während der Verwendung, und dies ist auch das, was ich würde empfehlen, tun persönlich: Kaufen Sie einen Yubikey oder Google Titan Security Key. Eigentlich kaufen Sie zwei.
Yubikey und Titan sind “physische security-Token,” von denen jede enthält einen privaten Schlüssel. Wenn Sie aktivieren die körperliche Sicherheit key-option mit Ihrem Passwort-manager, weder Sie noch jemand anderes Zugriff auf Ihr Konto ohne Sie. Dies bedeutet, dass, um hack Ihrem Konto, die ein Angreifer benötigen würde, (a) Ihr Passwort (b) der Zugriff auf Ihr Handy entsperrt, und (c) Ihre Yubikey.
Dies bedeutet auch, Sie können es sich nicht leisten, Ihre Sicherheit verlieren Schlüssel (und das ist der Grund, warum am besten ist es, Sie zu kaufen in Paaren.)
Wenn Sie den Kauf einer security-key für die erste Zeit (oder auf der Suche nach upgrade), nehmen Sie entweder den Yubikey Serie 5 oder die Google-Titan-Taste. Im Gegensatz zu älteren Yubikeys, der Series-5-version enthält einen NFC sowie USB -, während die Titan enthält ein Bluetooth-dongle und einen USB-dongle. Warum braucht man beide? Da diese Optionen machen es so Sie können Sie mit jedem Telefon.
Ihre E-Mail-Konto ist die eine Sache, die Sie wirklich nicht leisten können, verletzt. Nicht nur, dass es wahrscheinlich enthalten eine ganze Reihe privater Kommunikation, eröffnet die Möglichkeit, andere Konten, die verletzt wird durch die Passwort-Wiederherstellung. Ein physisches Sicherheitstoken wird im Grunde reduziert diese Gefahr auf ein nicht vorhandenes Niveau. Vor allem, beide Yubikeys und Google-Titan-Taste kann auch verwendet werden, um sichern Sie sich Ihren social media-accounts erfordert, jemand zu haben, dass physische token, bevor Sie sich in Ihr Facebook-oder Twitter-Konten.
Schritt 4: Genießen
Wenn dies alles neu für Sie ist, es wahrscheinlich scheint, wie… viel. Aber sobald Sie loslegen, es dauert nicht länger als ein paar Tage, bevor Ihre neue Sicherheit-routine ist die zweite Natur.
Wenn die Nachricht von heute morgen gegen Links, die Sie schüttelte, und Sie befürchten, jemand könnte sich in diesem moment auf etwas zutiefst persönliches, ein Foto, einen Brief oder vielleicht ein paar kunstvolle Akte, dann ist es Zeit zu kommen, in den Schoß. Informieren Sie sich, nehmen Sie Ihre Sicherheit in Ihre eigenen Hände, und stop unter Berufung auf die gesichtslosen, meist unverantwortliche Unternehmen, um die Arbeit für Sie tun.
Die Electronic Frontier Foundation, eine der landesweit führenden digital-rights-Organisationen, hat eine unglaubliche Bibliothek von nützlichen Sicherheits-Tipps und Anleitungen, die Abdeckung Themen aus, wie machen Sie super-sichere Passwörter mit Hilfe von würfeln (macht Spaß!) und so erstellen Sie einen Sicherheitsplan, um mehr in-depth-Erklärungen darüber, wie Verschlüsselung wirklich funktioniert, und eine Vielzahl von Sicherheits-tool führt.
Nehmen Sie eine Stunde, um zu verfolgen einige dieser hilfreiche Literatur und sparen Sie sich eine Kopfschmerz nächste mal hören Sie eine Billiarde Passwörter habe gerade durchgesickert.
Teilen Sie Diese Geschichte