컴퓨팅 습관과 관련하여 사람들은 항상 보안과 암호(security and passwords) 에 대해 서툴다 . 우리는 동일한 비밀번호를 계속해서 계속해서 재사용하고 있으며 악의적인 사람들이 우리의 신용 카드(credit card) 세부 정보 및 기타 중요한 정보를 훔치는 것이 얼마나 쉬운지 모릅니다. PlayStation Network 의 해킹이라는 큰 재앙이 있은 후에도 사람과 회사 모두 휴면 상태를 유지하고 있으며 암호 보안(password security) 습관을 바꾸는 데 더디고 있습니다. 나는 모닝콜을 하여 습관을 바꾸고 인터넷(Internet) 에서 안전한 컴퓨팅 생활을 하는 방법을 보여주고 싶습니다 .
LastPass - 새로운 비밀번호 보안 습관(New Password Security Habits) 의 열쇠(Key)
먼저 LastPass 를 다운로드하여 설치해야 합니다 . 모든 브라우저에서 작동하고 여러 브라우저와 컴퓨터에서 암호를 동기화하는 무료 확장 프로그램입니다. 여기(here) 에서 얻을 수 있습니다 .
설치한 후에는 계정을 설정하고 브라우저에서 비밀번호를 가져오십시오. 그런 다음 아래 단계를 실행하고 모든 권장 사항을 읽으십시오.
도전 - 당신의 불안 점수 는 (Insecurity Score)얼마(Challenge) 입니까?
메인 브라우저에서 LastPass 버튼을 클릭하십시오 . 그런 다음 Tools -> Security Check 로 이동합니다 .
LastPass 웹사이트 로 이동합니다 . 감사 프로세스를 시작하려면 "도전 시작"("Start the Challenge") 을 클릭하십시오 .
LastPass 는 모든 암호를 열고 분석하는 데 약간의 시간을 할애합니다.
프로세스가 끝나면 결과가 포함된 긴 페이지로 이동합니다. 상세 결과(Detailed Results) 섹션 에서 암호 보안이 얼마나 취약한지에 대한 좋은 개요를 얻을 수 있습니다. 보시다시피 92개의 웹사이트에서 9개의 중복 비밀번호가 사용되고 있습니다. 설상가상으로 저는 해독하기 쉬운 11개의 약한 암호를 사용합니다. 꽤 걱정스럽죠(Pretty worrying) ?
아래로 스크롤하면 비밀번호가 중복된 모든 웹사이트의 세부 목록이 표시됩니다. 각 사이트에 대해 사용자 이름, 사용된 암호 및 강도를 볼 수 있습니다.
중복된 비밀번호로 각 웹사이트를 방문 하고 (Visit)LastPass 를 사용하여 비밀번호를 변경하십시오 . 이 훌륭한 추가 기능(확장)은 새롭고 고유한 암호를 생성하는 데 도움이 됩니다. Alt+G누르(Simply press) 거나 Tools -> Generate Secure Password 을 클릭하기만 하면 됩니다. 그러면 길이, 포함된 문자 유형, 최소 자릿수 등과 같은 유용한 매개변수를 지정할 수 있는 친숙한 암호 생성 대화 상자 가 열립니다.(password generation dialogue)
비밀번호가 중복된 웹사이트가 많은 경우 비밀번호를 모두 변경하는 데 몇 시간을 할애할 준비를 하십시오. 또한 며칠 동안 매일 몇 분씩 점차적으로 변경할 수 있습니다.
주의!
중복된 비밀번호가 있는 사이트를 검색할 때 중복되는 것이 허용되는 예를 보게 될 것입니다. 예를 들어 Lufthansa ( 유럽(Europe) 의 대형 항공사 )에는 동일한 로그인 세부정보를 사용하는 두 개의 웹 속성이 있습니다. 웹사이트에 다른 비밀번호를 사용하는 것은 불가능합니다. 따라서 당황하고 비밀번호를 변경할 필요가 없습니다.
그러나 두 개의 웹사이트가 같은 회사의 소유가 아니고 동일한 비밀번호를 사용하는 경우 변경하지 않고 그대로 둘 이유가 없습니다.
중복 비밀번호 변경이 완료되면 고유 비밀번호가 있는 사이트를 보여주는 표를 확인하십시오. 목록의 시작 부분에는 매우 약한 비밀번호를 가진 모든 웹사이트가 있습니다. 이 모든 웹사이트로 이동하여 비밀번호를 더 강력한 비밀번호로 변경하십시오. 어떻게? 비밀번호당 최소 8자 이상을 선택하고 최소 2자리 숫자를 포함하고 최대한 다양하게 만드십시오 .(Simply)
암호가 빨간색(약하고 깨지기 쉬움)에서 노란색과 녹색(강하고 깨기 어려움)으로 바뀌는 것을 보면 매우 만족할 수 있습니다.
당신이 직면하게 될 문제들!
수백 개의 웹사이트에서 모든 비밀번호를 변경하는 데 3.5~4시간이 걸렸습니다. 이 일을 하는 동안 나는 몇 가지 부정적이고 놀라운 사실을 배웠습니다.
- 비밀번호 변경을 허용하지 않는 웹사이트가 있습니다. 금융정보를 저장하고 계시다면 주저하지 마시고 웹사이트의 소유자 또는 관리자에게 연락하여 비밀번호 변경(password change) 이나 계정/금융정보 삭제를 요청하세요.
- 신용 카드(credit card) 세부 정보 를 포함하여 귀하 에 대한 매우 중요한 정보를 저장하는 웹사이트에 중복 되거나 취약한 비밀번호가 있습니다. (duplicate)예를 들어, 보안 솔루션이나 컴퓨터 게임을 구매한 웹사이트에 중복(duplicate) 비밀번호와 취약한 비밀번호 가 모두 있었습니다 . EA 또는 Blizzard(EA or Blizzard) 계정을 그렇게 중요하게 여기지 않을 수도 있지만 실제로는 중요합니다. ( PlayStation Network 의 경우와 같이 ) 금이 간다는 것은 권한이 없는 사람들이 당신에게서 돈을 훔치거나 다른 방식으로 해를 끼칠 수 있음을 의미합니다.
- 이전에 방문했던 일부 웹사이트가 더 이상 존재하지 않습니다. 이 경우 LastPass 와 브라우저에서 로그인 세부 정보를 제거하여 기억하지 않아도 됩니다.
보안 강화 원칙
암호 보안(password security) 을 개선하는 연습을 하고 있다면 다음 원칙을 염두에 두는 것이 좋습니다.
- 모든 전자 메일 계정에는 고유하고 매우 강력한 암호가 있어야 합니다. 그들은 온라인 생활과 금융 정보에 대한 관문입니다. 누군가 귀하의 이메일 계정을 해킹하면 아마존 비밀번호(Amazon password) 와 신용 카드(credit card) 세부 정보를 쉽게 얻을 수 있습니다.
- 금융 정보를 저장하는 모든 웹 사이트에는 고유하고 매우 강력한 암호가 있어야 합니다. 여기 Amazon 또는 eBay(Amazon or eBay) 만 생각하지 마십시오 . 소프트웨어(purchase software) , 게임, 책, 서비스 등 을 구매하는 웹사이트를 생각해 보십시오 .(Think)
- 소규모(Small) 포럼 및 온라인 커뮤니티는 보안에 그렇게 많은 투자를 하지 않기 때문에 해킹하기 더 쉽습니다. 대기업도 하지 않습니다. 이러한 웹사이트에서 기본 이메일 계정과 동일한 비밀번호를 사용하면 사람들이 해당 비밀번호에 액세스하여 중요한 정보를 훔칠 것입니다. Gmail 계정(Gmail account) 이 이런 식으로 해킹 된 친구가 있었는데 갑자기 브라질(Brazil) 사람들 이 그의 메일에 액세스했습니다.
- 웹사이트에서 제공하는 서비스나 콘텐츠를 더 이상 사용하지 않는 경우 계정을 유지하는 것보다 삭제하는 것이 더 안전합니다. 예를 들어 내 Digg.com 계정(Digg.com account) 을 1년 이상 사용하지 않았습니다. 그것을 삭제한다는 것은 여전히 활성화되어 있는 것보다 더 안전하다는 것을 의미했습니다.
운동을 반복하십시오!
처음에 말했듯이 하루에 모든 비밀번호를 변경할 필요는 없습니다. 이것을 정기적으로 하기만 하면 됩니다. 며칠 동안 몇 분을 투자하고 LastPass 로 진행 상황을 확인하십시오 . 이 연습이 끝나면 92개 사이트에서 9개의 중복 암호를 사용했지만 17개 사이트에서만 4개의 중복 암호를 만들었습니다. 그리고 중복된 비밀번호로 남겨진 비밀번호는 중복되도록 하거나( Lufthansa 의 예에서와 같이 ) 단순히 비밀번호 변경을 허용하지 않았고 나중에 후속 조치를 위해 지원 서비스 에 연락했습니다.(support service)
LastPass 의 또 다른 훌륭한 기능은 시간 경과에 따른 진행 상황을 볼 수 있다는 것입니다. 각 보고서에는 LastPass(LastPass) 를 사용하여 수행한 각 보안 감사에 대한 점수 및 순위 기록이 있습니다 .
시간이 지남에 따라 많은 발전을 보니 기분이 좋습니다! 🙂
결론
보시다시피 LastPass 를 사용하여 비밀번호 보안(password security) 습관을 변경하는 것은 그리 어렵지 않습니다. 비밀번호 감사 및 변경의 초기 연습을 거치면 온라인 생활이 더욱 즐겁고 안전해집니다. 더 많은 보안 팁은 아래에서 권장하는 기사를 확인하세요.
Password Security - Turn Your Dumb Habits Into Geek Habits
When it comes to cоmputing habits, people are always bad at securіty and passwords. We keep reusing the same paѕsword(s) over and over again and wе don't realize how easy we make it for the bad guyѕ to ѕteal our credit card detaіls and other important infоrmation. Even after the big fiasco that was the hacking of the PlayStаtion Network, both people and companies remain dormant and are slow to change their password security habitѕ. I would like to make a wаke up call and show how to change your habits and have a secure computing life on the Internet.
LastPass - The Key to Your New Password Security Habits
First, you should download and install LastPass. It is a free extension that works on all browsers and syncs your passwords across multiple browsers and computers. You can get it from here.
Once you install it, setup your account and have it import the passwords from your browser. Then, execute the steps below and make sure to read all the recommendations.
Taking The Challenge - What's Your Insecurity Score?
Click on the LastPass button in your main browser. Then, go to Tools -> Security Check.
You are taken to the LastPass website. Click on "Start the Challenge", to start the auditing process.
LastPass will spend a bit of time to open all your passwords and analyze them.
At the end of the process you are taken to a long page with results. In the Detailed Results section, you get a good overview of how weak your password security is. As you can see, I have 9 duplicate passwords being used across 92 websites. To make things worse, I use 11 weak passwords which are easy to crack. Pretty worrying isn't it?
If you scroll down, you see a detailed list of all the websites having duplicate passwords. For each site, you can view the username, the password used and its strength.
Visit each of the websites with duplicate passwords and change passwords using LastPass. This great add-on (extension) will help you generate new & unique passwords. Simply press Alt+G on your keyboard or click on Tools -> Generate Secure Password. This opens a friendly password generation dialogue, where you can specify useful parameters like length, the type of characters included, the minimum number of digits, etc.
If you have lots of websites with duplicate passwords, prepare to spend a few hours changing them all. Also, you can change them gradually, spending a few minutes each day, for a few days.
Pay Attention!
When looking through sites with duplicate passwords, you will encounter examples where it is OK to have duplication. For example, Lufthansa (a big airline from Europe) has two web properties which use the same login details. Having different passwords on their websites is impossible. Therefore, there's no need to panic and change passwords.
However, if two websites are not owned by the same company and you have the same password, there's no excuse for you to leave them unchanged.
Once you are done with changing duplicate passwords, look at the table which shows sites with unique passwords. At the beginning of the list, you have all the websites with very weak passwords. Go to all these websites and change the passwords to stronger ones. How? Simply choose a minimum of 8 characters per password, include at least 2 digits and make them as diverse as possible.
Seeing those passwords turn from red (weak & easy to crack) to yellow and green (strong & hard to crack) can be very satisfying.
Problems You WILL Encounter!
It took me 3.5 to 4 hours to change all my passwords across hundreds of websites. While doing this, I've learned some negative and surprising things:
- There are websites which don't allow you to change the password. If you store financial information on them, don't hesitate to contact the owners or admins of the website, and request a password change or the deletion of your account/financial information.
- You have duplicate or weak passwords on websites which store very important information about you, including credit card details. For example, I had both duplicate & weak passwords on websites where I purchased security solutions or computer games. You might not consider your EA or Blizzard account that important, but it actually is. Having it cracked (like the case with the PlayStation Network), means unauthorized people can steal money from you or do harm in some other way.
- Some websites you used to visit, no longer exist. In that case, it is okay to remove the login details from LastPass and your browser, so that they don't remember them.
Principles for Being More Secure
If you are going through the exercise of improving your password security, it is very good to keep in mind the following principles:
- All your e-mail accounts should have unique & very strong passwords. They are the gateway to your online life and your financial information. If somebody cracks your e-mail account, they can easily obtain your Amazon password and from there your credit card details.
- All the websites where you store financial information should have unique & very strong passwords. Here do not think only of Amazon or eBay. Think of websites from where you purchase software, games, books, services, etc.
- Small forums & online communities are likely to be easier to hack, as they don't invest that much in security. Not even big companies do. If you use the same password on these websites as on your main e-mail account, people will access it and steal any important information they can find. I've had a friend who's Gmail account got cracked this way and suddenly, people from Brazil were accessing his mail.
- If you no longer use the services or content provided by a website, it is safer to delete your account than to keep it. For example, I have not used my Digg.com account for more than a year. Deleting it, meant I am more secure than having it still active.
Repeat the Exercise!
As I said in the beginning, you don't have to change all your passwords in one day. Simply do this regularly. Invest a few minutes for a few days and see your progress with LastPass. At the end of this exercise, I went from 9 duplicate passwords on 92 sites, to 4 duplicate passwords on only 17 sites. And those left with duplicate passwords made sense to have them duplicate (as in the example with Lufthansa) or simply did not allow me to change the password and I contacted their support service for later follow up.
Another great feature of LastPass is that it allows you to see your progress through time. In each report, you have the score and ranking history, for each of the security audits you've made using LastPass.
It feels good to see so much progress over time! 🙂
Conclusion
As you can see, using LastPass to change your password security habits is not that hard. Once you go through the initial exercise of auditing and changing your passwords, your online life can be more pleasant and secure. For more security tips, check out the articles recommended below.