コンピューティングの習慣に関して言えば、人々は常にセキュリティとパスワード(security and passwords)が苦手です。私たちは同じパスワードを何度も再利用し続けており、悪意のある人がクレジットカード(credit card)の詳細やその他の重要な情報を簡単に盗むことができることに気づいていません。PlayStation Networkのハッキングであった大失敗の後でも、人々と企業の両方が休眠状態にあり、パスワードのセキュリティ(password security)習慣を変えるのに時間がかかります。モーニングコールを行い、習慣を変えてインターネット上(Internet)で安全なコンピューティングライフを実現する方法を紹介したいと思います。
LastPass-新しいパスワードセキュリティ(New Password Security Habits)習慣の鍵(Key)
まず、 LastPass(LastPass)をダウンロードしてインストールする必要があります。これは無料の拡張機能であり、すべてのブラウザで機能し、複数のブラウザやコンピュータ間でパスワードを同期します。ここ(here)から入手できます。
インストールしたら、アカウントを設定し、ブラウザからパスワードをインポートしてもらいます。次に、以下の手順を実行し、すべての推奨事項を必ずお読みください。
挑戦する(Challenge)-あなたの不安スコア(Insecurity Score)は何ですか?
メインブラウザのLastPassボタンをクリックします。次に、Tools -> Security Checkに移動します。
LastPassのWebサイトに移動します。「チャレンジの開始」を("Start the Challenge")クリックして、監査プロセスを開始します。
LastPassは、すべてのパスワードを開いて分析するために少し時間を費やします。
プロセスの最後に、結果が表示された長いページが表示されます。[詳細な結果](Detailed Results)セクションでは、パスワードのセキュリティがいかに弱いかについての概要を説明しています。ご覧のとおり、92のWebサイトで9つの重複するパスワードが使用されています。さらに悪いことに、私は解読しやすい11個の弱いパスワードを使用しています。かなり心配(Pretty worrying)ですね。
下にスクロールすると、パスワードが重複しているすべてのWebサイトの詳細なリストが表示されます。サイトごとに、ユーザー名、使用されているパスワード、およびその強度を表示できます。
パスワードが重複している各Webサイトにアクセスし、 LastPass(Visit)を使用してパスワードを変更します(LastPass)。この優れたアドオン(拡張機能)は、新しい一意のパスワードを生成するのに役立ちます。キーボードのAlt+G押すか、[(Simply press) Tools -> Generate Secure Password]をクリックするだけです。これにより、わかりやすいパスワード生成ダイアログ(password generation dialogue)が開き、長さ、含まれる文字の種類、最小桁数などの便利なパラメータを指定できます。
パスワードが重複しているWebサイトがたくさんある場合は、それらすべてを変更するために数時間を費やす準備をしてください。また、毎日数分、数日間、徐々に変更することもできます。
注意を払う!
パスワードが重複しているサイトを調べると、重複しても問題ない例があります。たとえば、ルフトハンザ((Lufthansa)ヨーロッパ(Europe)の大手航空会社)には、同じログイン情報を使用する2つのWebプロパティがあります。彼らのウェブサイトで異なるパスワードを持つことは不可能です。したがって、慌ててパスワードを変更する必要はありません。
ただし、2つのWebサイトが同じ会社によって所有されておらず、同じパスワードを使用している場合は、それらを変更しないでおく理由はありません。
重複するパスワードの変更が完了したら、一意のパスワードを持つサイトを示す表を確認してください。リストの最初には、パスワードが非常に弱いすべてのWebサイトがあります。これらすべてのWebサイトにアクセスし、パスワードをより強力なものに変更してください。どのように?パスワード(Simply)ごとに最低8文字を選択し、少なくとも2桁を含めて、可能な限り多様化してください。
これらのパスワードが赤(弱くて解読しやすい)から黄色と緑(強くて解読しにくい)に変わるのを見ると、非常に満足のいくものになります。
あなたが遭遇する問題!
何百ものWebサイトですべてのパスワードを変更するのに3.5〜4時間かかりました。これをしている間、私はいくつかの否定的で驚くべきことを学びました:
- パスワードの変更を許可していないWebサイトがあります。それらに財務情報を保存する場合は、遠慮なくWebサイトの所有者または管理者に連絡し、パスワードの変更(password change)またはアカウント/財務情報の削除を要求してください。
- クレジットカード(credit card)の詳細など、あなたに関する非常に重要な情報を保存しているWebサイトに重複(duplicate)または弱いパスワードがあります。たとえば、セキュリティソリューションやコンピュータゲームを購入したWebサイトで、パスワードが重複している場合と弱い場合があります。(duplicate)EAやBlizzard(EA or Blizzard)のアカウントはそれほど重要だとは思わないかもしれませんが、実際はそうです。( PlayStation Networkの場合のように)ひびが入っているということは、許可されていない人があなたからお金を盗んだり、他の方法で危害を加えたりする可能性があることを意味します。
- 以前アクセスしていた一部のWebサイトは、現在は存在しません。その場合、LastPassとブラウザからログインの詳細を削除して、それらを記憶しないようにすることができます。
より安全であるための原則
パスワードのセキュリティ(password security)を向上させるための演習を行う場合は、次の原則に留意することをお勧めします。
- すべての電子メールアカウントには、一意で非常に強力なパスワードが必要です。彼らはあなたのオンライン生活とあなたの財務情報への入り口です。誰かがあなたの電子メールアカウントをクラックした場合、彼らはあなたのアマゾンパスワード(Amazon password)とそこからあなたのクレジットカード(credit card)の詳細を簡単に取得することができます。
- 財務情報を保存するすべてのWebサイトには、一意で非常に強力なパスワードが必要です。ここでは、 AmazonやeBay(Amazon or eBay)だけを考えないでください。ソフトウェア、ゲーム、本、サービスなどを購入する(purchase software)Webサイトについて考えてみてください。(Think)
- 小規模(Small)なフォーラムやオンラインコミュニティは、セキュリティにそれほど投資していないため、ハッキングしやすい可能性があります。大企業でさえありません。これらのWebサイトでメインの電子メールアカウントと同じパスワードを使用すると、他のユーザーがそのパスワードにアクセスして、見つけた重要な情報を盗むことになります。Gmailアカウント(Gmail account)がこのようにクラックされた友人がいて、突然、ブラジル(Brazil)の人々が彼のメールにアクセスしていました。
- ウェブサイトが提供するサービスやコンテンツを使用しなくなった場合は、アカウントを保持するよりも削除する方が安全です。たとえば、Digg.comアカウント(Digg.com account)を1年以上使用していません。それを削除するということは、それをまだアクティブにしておくよりも安全であることを意味します。
練習を繰り返してください!
最初に言ったように、1日ですべてのパスワードを変更する必要はありません。定期的にこれを行うだけです。数分を数日間投資して、LastPassの進捗状況を確認してください。この演習の最後に、92サイトの9つの重複パスワードから、17サイトのみの4つの重複パスワードに変更しました。また、パスワードが重複している場合は、(ルフトハンザ(Lufthansa)の例のように)重複させるのが理にかなっている、または単にパスワードの変更を許可しなかったため、後でフォローアップするためにサポートサービスに連絡しました。(support service)
LastPassのもう1つの優れた機能は、時間の経過とともに進捗状況を確認できることです。各レポートには、 LastPass(LastPass)を使用して行ったセキュリティ監査ごとのスコアとランキング履歴があります。
時間の経過とともに多くの進歩を見るのは良い気分です!🙂
結論
ご覧のとおり、LastPassを使用して(LastPass)パスワードのセキュリティ(password security)習慣を変更することはそれほど難しくありません。パスワードの監査と変更の最初の演習を終えると、オンライン生活はより快適で安全になります。セキュリティのヒントについては、以下の推奨記事をご覧ください。
Password Security - Turn Your Dumb Habits Into Geek Habits
When it comes to computing habits, people are always bad at ѕecurity and passwords. We keеp reuѕing the ѕame password(s) over and оver agаin and we don't realize how easy we make it for the bad guys to steal our credit card details and other important information. Even after the big fiasco that was the hacking of the PlaуStation Network, both pеople and comрanies remain dormant and are slow to change their password security habits. I would like to make a wake up call and show how to changе your hаbits and have a secure computing life on the Internet.
LastPass - The Key to Your New Password Security Habits
First, you should download and install LastPass. It is a free extension that works on all browsers and syncs your passwords across multiple browsers and computers. You can get it from here.
Once you install it, setup your account and have it import the passwords from your browser. Then, execute the steps below and make sure to read all the recommendations.
Taking The Challenge - What's Your Insecurity Score?
Click on the LastPass button in your main browser. Then, go to Tools -> Security Check.
You are taken to the LastPass website. Click on "Start the Challenge", to start the auditing process.
LastPass will spend a bit of time to open all your passwords and analyze them.
At the end of the process you are taken to a long page with results. In the Detailed Results section, you get a good overview of how weak your password security is. As you can see, I have 9 duplicate passwords being used across 92 websites. To make things worse, I use 11 weak passwords which are easy to crack. Pretty worrying isn't it?
If you scroll down, you see a detailed list of all the websites having duplicate passwords. For each site, you can view the username, the password used and its strength.
Visit each of the websites with duplicate passwords and change passwords using LastPass. This great add-on (extension) will help you generate new & unique passwords. Simply press Alt+G on your keyboard or click on Tools -> Generate Secure Password. This opens a friendly password generation dialogue, where you can specify useful parameters like length, the type of characters included, the minimum number of digits, etc.
If you have lots of websites with duplicate passwords, prepare to spend a few hours changing them all. Also, you can change them gradually, spending a few minutes each day, for a few days.
Pay Attention!
When looking through sites with duplicate passwords, you will encounter examples where it is OK to have duplication. For example, Lufthansa (a big airline from Europe) has two web properties which use the same login details. Having different passwords on their websites is impossible. Therefore, there's no need to panic and change passwords.
However, if two websites are not owned by the same company and you have the same password, there's no excuse for you to leave them unchanged.
Once you are done with changing duplicate passwords, look at the table which shows sites with unique passwords. At the beginning of the list, you have all the websites with very weak passwords. Go to all these websites and change the passwords to stronger ones. How? Simply choose a minimum of 8 characters per password, include at least 2 digits and make them as diverse as possible.
Seeing those passwords turn from red (weak & easy to crack) to yellow and green (strong & hard to crack) can be very satisfying.
Problems You WILL Encounter!
It took me 3.5 to 4 hours to change all my passwords across hundreds of websites. While doing this, I've learned some negative and surprising things:
- There are websites which don't allow you to change the password. If you store financial information on them, don't hesitate to contact the owners or admins of the website, and request a password change or the deletion of your account/financial information.
- You have duplicate or weak passwords on websites which store very important information about you, including credit card details. For example, I had both duplicate & weak passwords on websites where I purchased security solutions or computer games. You might not consider your EA or Blizzard account that important, but it actually is. Having it cracked (like the case with the PlayStation Network), means unauthorized people can steal money from you or do harm in some other way.
- Some websites you used to visit, no longer exist. In that case, it is okay to remove the login details from LastPass and your browser, so that they don't remember them.
Principles for Being More Secure
If you are going through the exercise of improving your password security, it is very good to keep in mind the following principles:
- All your e-mail accounts should have unique & very strong passwords. They are the gateway to your online life and your financial information. If somebody cracks your e-mail account, they can easily obtain your Amazon password and from there your credit card details.
- All the websites where you store financial information should have unique & very strong passwords. Here do not think only of Amazon or eBay. Think of websites from where you purchase software, games, books, services, etc.
- Small forums & online communities are likely to be easier to hack, as they don't invest that much in security. Not even big companies do. If you use the same password on these websites as on your main e-mail account, people will access it and steal any important information they can find. I've had a friend who's Gmail account got cracked this way and suddenly, people from Brazil were accessing his mail.
- If you no longer use the services or content provided by a website, it is safer to delete your account than to keep it. For example, I have not used my Digg.com account for more than a year. Deleting it, meant I am more secure than having it still active.
Repeat the Exercise!
As I said in the beginning, you don't have to change all your passwords in one day. Simply do this regularly. Invest a few minutes for a few days and see your progress with LastPass. At the end of this exercise, I went from 9 duplicate passwords on 92 sites, to 4 duplicate passwords on only 17 sites. And those left with duplicate passwords made sense to have them duplicate (as in the example with Lufthansa) or simply did not allow me to change the password and I contacted their support service for later follow up.
Another great feature of LastPass is that it allows you to see your progress through time. In each report, you have the score and ranking history, for each of the security audits you've made using LastPass.
It feels good to see so much progress over time! 🙂
Conclusion
As you can see, using LastPass to change your password security habits is not that hard. Once you go through the initial exercise of auditing and changing your passwords, your online life can be more pleasant and secure. For more security tips, check out the articles recommended below.