Eine kurze Anleitung zu den Grundlagen der Cybersicherheit

Letzten Montag, Ich habe eine E-Mail von Spotify erhalten, die besagt, dass sich jemand in Brasilien bei meinem Konto angemeldet hat.

Ich überprüfte. Sicher genug:Ein Fremder benutzte mein Spotify, um Michael Jackson zu hören. Ich habe Spotify gesagt, er solle mich „überall abmelden“ – aber ich habe mein Passwort nicht geändert.

Am Mittwoch, es ist wieder passiert. Um 2 Uhr morgens, Ich habe eine weitere E-Mail von Spotify bekommen. Diesmal, mein hinterhältiger brasilianischer Freund hörte Prince zu. Und sie mochten anscheinend das Aussehen einer meiner Playlists („Funk Is Its Own Reward“), weil sie das auch gehört hatten.

Ich habe mich überall wieder abgemeldet, und Dies Mal habe ich mein Passwort geändert. Und ich habe einen Beschluss gefasst.

Siehst du, Ich habe bei der Implementierung moderner Online-Sicherheitsmaßnahmen schlechte Arbeit geleistet. Jawohl, Ich habe meine kritischen Finanzkonten mit Zwei-Faktor-Authentifizierung gesperrt, etc., aber meistens bin ich schlampig, wenn es um Cybersicherheit geht.

Zum Beispiel, Ich verwende Passwörter wieder. Ich benutze immer noch Passwörter von vor dreißig Jahren für Situationen mit geringer Sicherheit (wie die Anmeldung für einen Weinclub oder ein Treueprogramm für Unternehmen). Und während ich begonnen habe, starke (aber leicht zu merkende) Passwörter für wichtigere Konten zu erstellen, Diese Passwörter folgen alle einem Muster und sind nicht zufällig. Am aller schlimmsten, Ich pflege ein 20 Jahre altes Klartextdokument, in dem ich speichere alle meiner sensiblen persönlichen Daten.

Das ist dumm. Dumm dumm dumm dumm dumm.

Ich weiß, es ist dumm, Aber ich habe mich nie die Mühe gemacht, Änderungen vorzunehmen – bis jetzt. Jetzt, aus verschiedenen Gründen, Ich habe das Gefühl, dass es an der Zeit ist, mein digitales Leben ein wenig sicherer zu machen. Ich habe am Wochenende mehrere Stunden damit verbracht, Dinge abzusperren. Hier ist wie.

Ein kurzer Leitfaden zur Cybersicherheit

Zufällig, am selben Tag, an dem mein Spotify-Konto verwendet wurde, um Princes größte Hits in Brasilien zu streamen, ein Reddit-Benutzer namens /u/ACheetoBandito hat in /r/fatFIRE einen Leitfaden zur Cybersicherheit gepostet. Wie praktisch!

„Cybersicherheit ist eine kritische Komponente der finanziellen Sicherheit, aber selten in persönlichen Finanzkreisen diskutiert, “ /u/ACheetoBandito schrieb. „Beachten Sie, dass Cybersicherheitsexperten über Best Practices für die persönliche Cybersicherheit uneinig sind. Das ist mein Perspektive, da ich ein gewisses Fachwissen auf diesem Gebiet habe.“

Ich werde hier nicht den gesamten Beitrag wiedergeben – Sie sollten ihn unbedingt lesen, wenn Ihnen dieses Thema wichtig ist – aber ich Wille Listen Sie die Zusammenfassung mit Stichpunkten zusammen mit einigen meiner eigenen Gedanken auf. Unser orangefarbener Freund empfiehlt jedem, der sich mit der Cybersicherheit beschäftigt, die folgenden Schritte zu unternehmen:

1. Holen Sie sich mindestens zwei hardwarebasierte Sicherheitsschlüssel. Mein Kumpel Robert Farrington (von The College Investor) verwendet den YubiKey. Google bietet seinen Titan Security Key an. (Ich habe den YubiKey 5c nano wegen seines minimalen Formfaktors bestellt.)
2. Richten Sie ein geheimes privates E-Mail-Konto ein. Ihre private E-Mail-Adresse sollte nicht verlinkt sein irgendein Weg zu Ihrer öffentlichen E-Mail, und die Adresse sollte niemandem gegeben werden. (Ich habe bereits viele öffentliche E-Mail-Konten, Aber ich hatte keine Privatadresse. Ich mache jetzt.)
3. Aktivieren Sie den erweiterten Schutz sowohl für Ihr öffentliches als auch für Ihr privates Gmail-Konto. Advanced Protection ist ein kostenloses Sicherheits-Add-on von Google. Verknüpfen Sie dies mit den Sicherheitsschlüsseln, die Sie in Schritt 1 erworben haben. (Ich habe dies nicht eingerichtet, da meine Sicherheitsschlüssel erst heute Nachmittag ankommen.)
4. Richten Sie einen Passwort-Manager ein. Welchen Passwort-Manager Sie wählen, bleibt Ihnen überlassen. Der Schlüssel ist, einen auszuwählen, den Sie wählen verwenden . Am besten unterstützt diese App Ihre neuen Sicherheitsschlüssel zur Authentifizierung. (Ich werde einige Optionen im nächsten Abschnitt dieses Artikels behandeln.)
5. Neue Passwörter generieren für alle Konten. Erstellen Sie manuell einprägsame Passwörter für Ihre E-Mail-Adressen, Ihre Computer (und Mobilgeräte), und für den Passwort-Manager selbst. Alle anderen Passwörter sollten starke Passwörter sein, die zufällig vom Passwort-Manager generiert werden.
6. Verknüpfen Sie wichtige Konten mit Ihrer neuen privaten E-Mail-Adresse. Dazu gehören Finanzkonten, wie Ihre Banken, Makler, und Kreditkarten. Es können aber auch andere Konten enthalten sein. (Ich werde meine private E-Mail-Adresse für Kerndienste im Zusammenhang mit dieser Website verwenden, zum Beispiel.)
7. Aktivieren Sie zusätzliche Sicherheitsmaßnahmen für alle Konten. Die verfügbaren Funktionen variieren von Anbieter zu Anbieter, aber im Allgemeinen sollten Sie die Zwei-Faktor-Authentifizierung aktivieren können (mit den Sicherheitsschlüsseln, wann immer möglich) und Login-Benachrichtigungen.
8. Aktivieren Sie Text-/E-Mail-Benachrichtigungen für Finanzkonten. Möglicherweise möchten Sie auch Benachrichtigungen für Änderungen Ihrer Kreditwürdigkeit und/oder Kreditauskunft aktivieren.
9. Aktivieren Sie Sicherheitsmaßnahmen auf Ihren mobilen Geräten. Ihr Telefon sollte durch eine starke Autorisierungsmaßnahme gesperrt werden. Und jede Ihrer individuellen Finanz-Apps sollte mit einem Passwort und allen anderen möglichen Sicherheitsmaßnahmen gesperrt werden.

/u/ACheetoBandito empfiehlt einige zusätzliche, optionale Sicherheitsmaßnahmen. (Und dieser gesamte Reddit-Diskussionsthread ist voller großartiger Sicherheitstipps.)

Vielleicht möchten Sie Ihr Guthaben einfrieren (obwohl wenn Sie tun, Denken Sie daran, dass Sie es gelegentlich brauchen werden un -Ihren Kredit einfrieren, um Finanztransaktionen zu tätigen). Einige Leute werden ihre Telefone und Festplatten verschlüsseln wollen. Und wenn Sie sich große Sorgen um die Sicherheit machen, Kaufen Sie ein günstiges Chromebook und verwenden Sie es als nur Gerät, auf dem Sie Finanztransaktionen durchführen. (Glaub es oder nicht, Ich mache diesen letzten optionalen Schritt. Für mich macht es Sinn – und es könnte eine Chance für mich sein, über Quicken hinauszugehen.)

Entdecken Sie die besten Passwort-Manager

Okay, groß! Ich habe ein neues Chromebook für 150 US-Dollar und zwei hardwarebasierte Sicherheitsschlüssel bestellt. Ich habe ein brandneues, streng geheime E-Mail-Adresse, die ich mit jedem Konto verbinde, das zusätzliche Sicherheit benötigt. Aber den schwächsten Punkt des Prozesses habe ich noch nicht in Angriff genommen:mein mit Passwörtern gefülltes Textdokument.

Ein Teil des Problems ist Selbstzufriedenheit. Mein System ist einfach und ich mag es. Aber ein anderer Teil des Problems ist die Analyselähmung. Es gibt a Menge von Passwort-Managern da draußen, Und ich habe keine Ahnung, wie ich sie unterscheiden soll, herauszufinden, welches für mich und meine Bedürfnisse das Richtige ist.

Für Hilfe, Ich habe meine Facebook-Freunde gebeten, die besten Passwort-Manager aufzulisten. Ich habe jeden ihrer Vorschläge heruntergeladen und installiert, dann habe ich ein paar erste Eindrücke notiert.

• LastPass:16 Stimmen (2 von Tech-Nerds) — LastPass war bei meinen Facebook-Freunden mit Abstand der beliebteste Passwort-Manager. Die Leute lieben es. Ich habe es installiert und herumgestöbert, und es scheint… okay. Die Benutzeroberfläche ist etwas klobig und der Funktionsumfang scheint angemessen (aber nicht robust). Die App verwendet die leicht verständliche „Tresor“-Metapher, was ich mag. LastPass ist kostenlos (mit Premium-Optionen gegen Aufpreis).
• 1Password:7 Stimmen (4 von Tech-Nerds) – Diese App hat ähnliche Funktionen wie Bitwarden oder LastPass. Die Schnittstelle ist nett genug, und es scheint Sicherheitswarnungen bereitzustellen. 1Passwort kostet $36/Jahr.
• Bitwarden:4 Stimmen (2 von Tech-Nerds) — Bitwarden hat eine einfache, leicht verständliche Benutzeroberfläche. Es verwendet die gleiche „Tresor“-Metapher, die Produkte wie LastPass und 1Password verwenden. Es ist ein starker Anwärter darauf, das Werkzeug zu werden, das ich verwende. Bitwarden ist kostenlos. Für 10 US-Dollar pro Jahr, Sie können Premium-Sicherheitsfunktionen hinzufügen.
• KeePass:2 Stimmen — KeePass ist ein kostenloser Open-Source-Passwortmanager. Es gibt KeePass-Installationen für alle gängigen Computer- und mobilen Betriebssysteme. Wenn Sie ein Linux-Fan sind (oder ein Open-Source-Verfechter), das könnte eine gute wahl sein. Ich mag seine eingeschränkte Funktionalität und seine schreckliche Benutzeroberfläche nicht. KeePass ist kostenlos.
• Dashlane:2 Stimmen — Von allen Passwort-Managern, die ich mir angesehen habe, Dashlane hat die schönste Benutzeroberfläche und die meisten Funktionen. Wie viele dieser Tools es verwendet die Metapher „Tresor“, Sie können jedoch mehr Dinge in diesem Tresor speichern als andere Tools. (Sie können ID-Informationen speichern – Führerschein, Reisepass – zum Beispiel. Es gibt auch einen Platz zum Aufbewahren von Quittungen.) Dashlane bietet eine kostenlose Basisoption aber die meisten Leute werden die Premium-Option von $60/Jahr wollen. (Es gibt auch eine Option in Höhe von 120 USD/Jahr, die Kreditüberwachung und eine ID-Diebstahlversicherung umfasst.)
• Blur:1 Stimme — Blur unterscheidet sich von den meisten Passwort-Managern. Es versucht buchstäblich, Ihre Online-Identität zu verwischen. Es verhindert, dass Webbrowser Sie verfolgen, maskiert E-Mail-Adressen und Kreditkarten und Telefonnummern, und (oder natürlich) verwaltet Passwörter. Ich möchte einige Funktionen, die Blur nicht hat – und einige der Funktionen, die es nicht hat tut verfügen über. Unschärfe kostet mindestens 39 USD/Jahr aber dieser Preis kann viel höher werden.
• Apple-Schlüsselbund:1 Stimme – Der Schlüsselbund ist seit 1999 der integrierte Passwort-Manager von Apple. es ist auf Apple-Geräten frei verfügbar. Die meisten Mac- und iOS-Benutzer verwenden den Schlüsselbund, ohne es zu merken. Es ist nicht wirklich robust genug, um etwas anderes zu tun, als Passwörter zu speichern. deshalb habe ich es nicht ernsthaft in Erwägung gezogen. Der Schlüsselbund ist kostenlos und wird auf Apple-Produkten installiert.

Lass mich deutlich sein: Ich habe diese Passwort-Manager nur oberflächlich untersucht. Ich bin nicht tief getaucht. Wenn ich versuche, alle Funktionen jedes Passwort-Managers zu vergleichen, Ich würde nie wählen. Ich würde wieder in Analyselähmung verfallen. So, Ich warf jedem einen kurzen Blick zurück und traf eine Entscheidung auf der Grundlage von Bauchgefühl und Intuition.

Von diesen Werkzeugen, zwei ragten heraus:Bitwarden und Dashlane. Beide Sport schöne Schnittstellen und viele Funktionen. Beide Tools bieten kostenlose Versionen, Ich möchte jedoch auf einen kostenpflichtigen Premium-Plan upgraden, um Zugriff auf die Zwei-Faktor-Authentifizierung (mit meinen neuen Hardware-Sicherheitsschlüsseln) und die Sicherheitsüberwachung zu erhalten. Hier hat Bitwarden einen großen Vorteil. Es sind nur 10 Dollar pro Jahr. Um die gleichen Funktionen zu erhalten, Dashlane kostet 60 USD/Jahr.

Aber hier ist die Sache.

Ich habe tatsächlich angefangen mit beide Tools gleichzeitig, meine Website-Passwörter einzeln eingeben. Ich habe aufgehört, nachdem ich jeweils zehn Seiten eingegeben hatte. Es war klar, dass ich Dashlane gegenüber Bitwarden bei weitem vorzog. Es funktioniert einfach so, wie es für mich Sinn macht. (Ihre Erfahrung könnte anders sein.) Also, zumindest für kurze Zeit, Ich werde Dashlane als Passwort-Manager verwenden.

Das Problem mit Passwörtern

Mein Hauptmotiv für die Verwendung eines Passwort-Managers besteht darin, meine sensiblen Informationen aus einem Klartextdokument in etwas Sichereres zu holen. Aber ich habe ein sekundäres Motiv:Ich möchte die Stärke meiner Passwörter verbessern.

Als ich anfing, das Internet zu nutzen – damals in den 1980er Jahren, Vor dem Aufkommen des World Wide Web habe ich keinen Gedanken an die Passwortstärke verschwendet. Das erste Passwort, das ich erstellte (1989), war einfach der Name meines Freundes, der mir erlaubte, seinen Computer für den Zugriff auf die lokalen Bulletin Board-Systeme zu verwenden. Ich habe dieses Passwort verwendet für Jahre auf alles, von E-Mail-Konten bis hin zu Bankseiten. Ich betrachte es immer noch als mein Passwort mit geringer Sicherheit für Dinge, die nicht kritisch sind.

Ich habe vielleicht acht oder zehn Passwörter wie folgt:kurz, einfache Passwörter, die ich an Dutzenden von Orten verwendet habe. In den letzten fünf Jahren, Ich habe versucht, für jede Site zu eindeutigen Passwörtern zu wechseln. Passwörter, die einem Muster folgen. Diese stellen zwar eine Verbesserung dar, sie sind immer noch nicht toll. Wie ich sage, sie folgen einem Muster. Und während sie Buchstaben enthalten, Zahlen, und Symbole, sie sind alle relativ kurz.

Wie Du vielleicht erwartest, mein schlampiges Passwortprotokoll hat so etwas wie einen Sicherheitsalbtraum geschaffen. Hier ist ein Screenshot aus dem Google Password Checkup-Tool für eines meiner Konten.

Ich erhalte ähnliche Ergebnisse für alle meiner Google-Konten. Huch.

Plus, Es gibt das Problem der Kontofreigabe.

Kim und ich teilen uns ein Netflix-Konto. Und ein Amazon-Konto. Und ein Hulu-Konto. Und ein iTunes-Konto. Eigentlich, wir teilen wahrscheinlich zwanzig oder dreißig Konten. Sie und ich verwenden für alle diese Anmeldungen dasselbe leicht zu merkende Passwort. Obwohl keines dieser Konten sehr sensibel ist, Was wir tun, ist immer noch eine schlechte Idee.

So, Ich möchte zu sichereren Passwörtern übergehen – sogar für die Konten, die ich mit Kim teile.

Die gute Nachricht ist, dass die meisten Passwort-Manager – einschließlich Dashlane – automatisch zufällige Passwörter für Sie generieren. Oder ich könnte etwas Ähnliches wie die in diesem XKCD-Comic vorgeschlagene Idee versuchen:

Die Schwierigkeiten, selbstverständlich, ist, dass jeder Ort unterschiedliche Anforderungen an Passwörter hat. Einige erfordern Zahlen. Einige erfordern Symbole. Manche sagen Nein Symbole. Und so weiter. Ich kenne keine Seiten, auf denen ich vier zufällige gebräuchliche Wörter für ein Passwort verwenden würde!

Zur Zeit, Ich werde einen dreigleisigen Ansatz verfolgen:

• Ich werde lange (aber einprägsame) Passwörter für meine wichtigsten Konten manuell erstellen. Dies ist die XKCD-Methode.
• Für die Konten, die ich mit Kim teile – Netflix, usw. – ich erschaffe neue, einprägsame Passwörter, die einem Muster folgen.
• Für alles andere, Ich lasse meinen Passwort-Manager zufällige Passwörter generieren.

Dies scheint eine gute Balance zwischen Benutzerfreundlichkeit und Sicherheit zu sein. Jedes Passwort wird anders sein. Nur die, die ich mit Kim teile, werden kurz sein; alle anderen werden lang. Und die meisten meiner neuen Passwörter werden zufälliges Kauderwelsch sein.

Abschließende Gedanken zur Cybersicherheit

In diesem kurzen Video von Tech Insider, Ein ehemaliger Sicherheitsexperte der National Security Agency teilt seine fünf wichtigsten Tipps zum Online-Schutz.

Sie werden feststellen, dass diese dem Reddit-Cybersicherheitsleitfaden ähneln, den ich zuvor in diesem Artikel gepostet habe. Hier sind die Schritte, die er zu unternehmen sagt, um sich selbst zu schützen:

• Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
• Verwenden Sie nicht überall das gleiche Passwort.
• Halten Sie Ihr Betriebssystem (und Ihre Software) auf dem neuesten Stand.
• Seien Sie vorsichtig mit dem, was Sie in sozialen Medien posten.
• Tun nicht teile persönliche Informationen, es sei denn, du bist sicher Sie haben es mit einer vertrauenswürdigen Firma oder Person zu tun.

Ich werde nicht so tun, als ob die Schritte, die ich unternehme, mich vollständig schützen würden. Aber mein neues System ist sicherlich ein Upgrade von dem, was ich in den letzten 20+ Jahren gemacht habe – das war, wie ich schon erwähnt habe, dumm dumm dumm.

Und ich muss gestehen:Ich mögen die Idee, mein Online-Finanzleben auf einen Computer zu beschränken – das neue Chromebook für 150 US-Dollar. Ich bin mir nicht sicher, ob das wirklich machbar ist, aber ich werde es mal versuchen. Wenn das geht, dann sehe ich vielleicht, ob ich ein Money-Management-Tool finde, das mir für die Maschine gefällt. Vielleicht kann ich dann Quicken 2007 für Mac endlich hinter mir lassen!