Turvallisuusopas

Kuinka tarkistaa, onko salasana vuotanut

Opi turvallisia tapoja reagoida mahdollisiin salasanavuotoihin ilman, että liität oikeita salasanoja epäluotettaviin verkkosivustoihin.

Yhteenveto

Jos epäilet salasanan vuotaneen, turvallisin tapa on usein vaihtaa se sen sijaan, että liittäisit sen tuntemattomiin verkkosivustoihin. Vuodon tarkistus on hyödyllinen vain, jos palvelulla on luotettava yksityisyydensuojan suunnittelu ja ymmärrät, mitä tietoja lähetetään.

Käytä salasanan vahvuuden tarkistinta paikalliseen analyysiin, mutta älä pidä sitä tietomurtokantana.

Mitä tehdä ensin

Vaihda salasana luotetulta laitteelta. Jos sama salasana oli käytössä muualla, vaihda se jokaisella vaarantuneella tilillä. Aloita sähköpostista, pankista, työstä, pilvitallennuksesta ja salasananhallinnan palautustileistä.

Tarkista tilin tila

Kumoa aktiiviset istunnot, tarkista palautussähköposti ja puhelinasetukset, tarkista edelleenohjaussäännöt, poista epäilyttävät sovellukset ja ota käyttöön MFA tai avaimet.

Yksityiskohtainen opas

Tämä opas keskittyy siihen, miten voit tarkistaa, onko salasana esiintynyt tietomurroissa altistamatta sitä huolimattomasti. Se on kirjoitettu käyttäjille, jotka ovat kuulleet tietomurrosta ja haluavat reagoida turvallisesti, joten käytännön tavoitteena ei ole luoda dramaattista turvallisuusväitettä. Tavoitteena on valita salasanatapa, joka kestää jokapäiväistä käyttöä: kirjautumislomakkeet, salasananhallinnat, mobiilinäppäimistöt, tilin palautus, jaetut laitteet ja satunnaiset palvelut, joilla on omituisia validointisääntöjä. Turvallinen suositus on hyödyllinen vain, jos oikea henkilö pystyy noudattamaan sitä johdonmukaisesti.

Turvallisin lähtökohta on satunnaisuus ja ainutlaatuisuus. Satunnaisuus tarkoittaa, että arvo valitaan suuresta avaruudesta kryptografisesti sopivalla satunnaislähteellä, ei keksittynä syntymäpäivästä, lemmikin nimestä, näppäimistökuviosta tai lempilainauksesta. Ainutlaatuisuus tarkoittaa, että samaa salasanaa ei käytetä missään muualla. Pitkä mutta uudelleenkäytetty salasana voi pettää nopeasti yhden asiaan liittymättömän tietomurron jälkeen, kun taas ainutlaatuinen satunnainen salasana rajoittaa vahingon siihen tiliin, jossa sitä käytettiin.

Tässä aiheessa käytännöllinen esiasetus on ensin paikallinen analyysi, sitten luotetut tietomurtohälytyspalvelut tarvittaessa. Voit soveltaa tätä esiasetusta salasanan vahvuuden tarkistimella ja tallentaa lopullisen arvon luotettuun salasananhallintaan. PwdGen luo arvot paikallisesti selaimessa Web Crypton avulla; luotua salasanaa ei lähetetä PwdGen-palvelimelle. Tämä paikallinen suunnittelu vähentää palvelinpuolen altistumista, mutta se ei suojaa kaikilta uhilta. Haitallinen selainlaajennus, vaarantunut laite, tietojenkalastelusivu tai turvaton leikepöydän käsittely voi silti paljastaa salaisuuden sen luomisen jälkeen.

Yleisimmät vältettävät ongelmat ovat oikeiden salasanojen kirjoittaminen tuntemattomiin verkkosivustoihin, tarkkojen salasanojen etsiminen lokitiedoista ja oletus, ettei tulosta tarkoita riskittömyyttä. Nämä ongelmat ovat tärkeitä, koska hyökkääjät harvoin tarvitsevat raa’an voiman kokeilua kaikille mahdollisille salasanoille, kun ihmisten tavat antavat heille oikotien. Tunnusten täyttö, tietojenkalastelu, vuotaneet salasanalistat ja tilinpalautuksen väärinkäyttö ovat usein realistisempia kuin puhdas matemaattinen haku. Siksi paras neuvo yhdistää salasanan laadun tilikohtaisiin hallintakeinoihin, kuten MFA, avaimet, palautuskoodien tallennus ja palautussähköpostin tai puhelimen asetusten säännöllinen tarkistus.

Käytä tätä tarkistuslistaa suositusta soveltaessasi:

• Vaihda uudelleenkäytetyt salasanat tietomurron jälkeen.
• Aloita sähköpostista ja arvokkaista tileistä.
• Käytä vain luotettuja tietomurtoilmoitustyökaluja.
• Älä koskaan liitä arkaluontoista salasanaa satunnaisille sivuille.

Jos verkkosivusto hylkää ihanteellisen asetuksen, älä pakota salasanaa heikompaan malliin käsin. Säädä yhtä muuttujaa kerrallaan. Jos symbolit hylätään, pidä isot kirjaimet, pienet kirjaimet ja numerot käytössä ja lisää pituutta. Jos enimmäispituus on pieni, käytä suurinta hyväksyttyä pituutta ja varmista, että arvo on ainutlaatuinen. Jos salasana on luettava ääneen, tulostettava tai kirjoitettava television tai reitittimen näytöllä, harkitse hämmentävien merkkien poissulkemista ja pituuden lisäämistä kompensoimaan pienempää aakkostoa.

Lopuksi muista salasananeuvonnan rajat. Vahva salasana on yksi suojakerros, ei takuu. Se ei voi tehdä tietojenkalastelusivusta turvallista, korjata haittaohjelmaa tai korvata palvelua, joka tallentaa tunnukset huonosti. Hyödyllinen tapa on tylsä mutta kestävä: luo ainutlaatuinen arvo, tallenna se turvallisesti, suojaa palautuspolku ja vaihda se nopeasti, jos epäilet altistumista.

Turvallinen seuraava askel

Tämän oppaan lukemisen jälkeen tee yksi pieni tilin tarkistus sen sijaan, että yrittäisit korjata kaiken kerralla. Valitse tili, joka aiheuttaisi eniten ongelmia, jos se kaapattaisiin, varmista, että sen salasana on ainutlaatuinen, ja tarkista palautussähköposti, palautuspuhelin, MFA-menetelmä ja varmuuskoodien tallennus. Jos jokin osa ketjusta on heikko, paranna sitä ennen kuin siirryt pienemmän riskin tileihin. Tämä järjestys pitää työn hallittavana ja suojaa tilejä, joita hyökkääjät todennäköisimmin käyttävät ponnahduslautana. Kuinka tarkistaa, onko salasana vuotanut, paras lopputulos on toistettava tapa: luo paikallisesti, tallenna huolellisesti ja vältä uudelleenkäyttöä.

Usein kysytyt kysymykset

Pitäisikö minun liittää salasanani satunnaisiin vuodon tarkistussivustoihin?

Ei. Käytä vain luotettuja tietomurtojen tarkistuspalveluita, joilla on selkeä yksityisyydensuojan suunnittelu, tai vaihda salasana sen testaamisen sijaan.

Mitä minun pitäisi tehdä vuodon jälkeen?

Vaihda vaarantunut salasana, vaihda uudelleenkäytetyt salasanat, kumoa istunnot, tarkista palautusasetukset ja ota käyttöön MFA.

Voiko PwdGen tarkistaa tietomurtokantoja?

Ei. PwdGen tarjoaa paikallisia vahvuus- ja murtamisaika-arvioita, ei etäistä vuotaneiden salasanojen hakua.