A OneLogin Hack súlyos volt, és tanulságra tett nekünk

Hirdetés

Nagy rajongói vagyunk jelszókezelők Hogyan védik a jelszókezelők a jelszavaikat?A nehezen feltörhető jelszavak szintén nehéz megjegyezni. Biztonságban akar lenni? Szüksége van egy jelszókezelőre. Íme, hogyan működnek, és hogyan tartanak biztonságban. Olvass tovább itt a MakeUseOfban. Megkönnyítik az életed, felgyorsítják a sok folyamatot, és javítják biztonságát. De az érzékeny jelszóinformációkat egyetlen helyre koncentrálják - és ez veszélyes lehet.

Példa: az OneLogin, a vállalati szintű egyszeri bejelentkezés és jelszókezelő alkalmazás gyártója, 2017. május 31-én történt megtámadással. És ez nagyon rossz hír. Itt van, mi történt, mit kell tennie, és néhány tanulságot.

Mi történt a OneLoginnél?

A OneLogin ezt mondja:

„… Egy fenyegető szereplő használta egyik AWS-kulcsunkat, hogy API-n keresztül hozzáférjen az AWS-platformhoz egy közbenső gazdagépről egy másik, kisebb szolgáltatóval az Egyesült Államokban…”

Az mit jelent? Ez azt jelenti, hogy valaki a OneLogin érzékeny adatait keresi. És bár ezen adatok nagy része titkosítva van, a OneLogin úgy véli, hogy a támadók legalább az adatok egy részét visszafejtették.

Amint az OneLogin techs észlelte a behatolást, leállították a beszivárgott rendszereket. Sajnos arról számoltak be, hogy a behatolást csak hét órával az indulása után fedezték fel. Hosszú ideje arra, hogy az érzékeny adatokat megkíséreljük.

Milyen adatokhoz férhetett hozzá a támadók?

"A fenyegető szereplő hozzáférhet az adatbázis táblákhoz, amelyek információkat tartalmaznak a felhasználókról, az alkalmazásokról és a különféle kulcsokról."

Habár nem világos, hogy pontosan mekkora a lista hatálya, ez határozottan sok érzékeny anyag.

Az ő hitükre az OneLogin nagyon nyíltan beszélt erről az eseményről. Ők tartottak egy frissített blogbejegyzés a webhelyen, kommunikáltak az ügyfelekkel a támadásról, és tanácsokat adtak a teendőkhez. Eddig nincs arra utaló jel, hogy a vállalat elfojtotta volna az eseményeket. (Bár valószínűleg kissé alábecsülték a támadás súlyosságát.)

Mit kell tennie, ha OneLogin-t használ?

A OneLogin gyorsan kiadott egy útmutatót, amely segít a felhasználóknak a támadás bármilyen hatásának enyhítésében (A regisztráció szintén feltette ezt a listát nem ügyfelek számára). A lista tartalmazza a jelszó-visszaállításokat, az új hitelesítési tokeneket, a biztonságos megjegyzések megszabadulását és számos más technikai, rendszergazdai szintű javaslatot.

Ha azonban Ön OneLogin felhasználó, akkor a nyilvánvaló cselekvés sokkal egyszerűbb: változtassa meg jelszavát és frissítse a hitelesítő tokeneket. Eltart egy ideig, de érdemes megtenni, mert nagyon nagy esély van arra, hogy valaki hozzáférhet mindazhoz, amit a fiókjában tárolt. Változtassa meg a fő jelszavát, változtassa meg alkalmazásai jelszavait, mindent, amit az OneLogin-ban tárolt.

És dobja el biztonságos jegyzeteit.

Igen, szopni fog. De sokkal kevésbé fog szopni, mint ha egy fontos szolgáltatását egy támadó veszi át (vagy, ami még rosszabb, váltságdíjatért).

Mit lehet megtanulni a OneLogin Hack-ből

Az első és leginkább aggasztó tanulság egyértelmű: az egyszeri bejelentkezés (SSO) és a jelszókezelő társaságok nem mentesek a biztonsági fenyegetésekkel szemben. Ezek a vállalatok tudják, hogy a biztonság nagy ügyet jelent ügyfeleik számára, és óriási mennyiségű értékes információval bírnak.

De rossz dolgok történnek. Ebben az esetben azok a API-kulcsok, amelyek hozzáférést biztosítottak a támadóknak az OneLoginhez, „egy közbenső gazdagépről származtak egy másik, kisebb szolgáltató az Egyesült Államokban. ” Annak ellenére, hogy az OneLogin elkötelezett a biztonság mellett, egy másik cég hiányosságai miatt a támadók elengedhetik magukat ban ben.

Sajnos egyetlen társaság sem hack-biztos. A jelszókezelő és az SSO-társaságok nagyon komolyan veszik a biztonságot, és általában jó munkát végeznek belőle. De erre valószínűleg megtörtént.

Mit tehetsz? Íme néhány szempont, amelyet szem előtt kell tartani az ilyen típusú szolgáltatások használatakor.

Mindent egy helyen tárolni egy rossz ötlet

Nyilvánvaló, hogy jelszavait a jelszókezelő alkalmazásban fogja megtartani. De ha kell-e ez a tároló? minden az Ön érzékeny adatait? Talán nem.

Könnyű használni a LastPass biztonságos jegyzeteit, például a bankszámla adatainak vagy az otthoni Wi-Fi jelszó megőrzéséhez. De ha ezt a szolgáltatást feltörik, akkor most még több problémát keres. Lehet, hogy már tárolta a hitelkártya-adatait. Mégis, ha hozzáteszi még néhány kulcsfontosságú információ 10 darab információ, amelyet személyazonosságod ellopására használnakA személyazonosság-lopás költséges lehet. Íme a 10 olyan információ, amelyet meg kell védenie, hogy személyazonosságát nem lopják el. Olvass tovább , a személyazonosság-lopás sokkal könnyebbé válik.

Fontolja meg egy másik titkosított szolgáltatás használatát, amely például nem tárolja az információkat a felhőben, például SplashID, vagy csak a titkosítás és a jelszó védi a mappát a számítógépen Hogyan lehet jelszóval védeni egy mappát a Windows rendszerbenA Windows mappát titokban kell tartani? Íme néhány módszer, amellyel fájlok jelszóval védhetők meg a Windows 10 számítógépen. Olvass tovább . Kissé kevésbé kényelmes, de jogsértés esetén jelentősen csökkentheti a nehézségek mértékét.

Gondolj kétszer az egyszeri bejelentkezésről

Az SSO nagyszerű, mert rengeteg időt takarít meg, és minimálisra csökkenti a jelszavait. OpenID, Bejelentkezés a szociális háló hitelesítő adataival Közösségi bejelentkezést használ? Tegye meg ezeket a lépéseket fiókja biztonságáhozHa közösségi bejelentkezési szolgáltatást (például Google vagy Facebook) használ, akkor azt gondolja, hogy minden biztonságos. Nem így van - itt az ideje, hogy vessen egy pillantást a társadalmi bejelentkezések gyengeségeire. Olvass tovább , és más hasonló módszerek nagyon népszerűek. (Hogy őszinte legyek, ezeket magam is használom.)

A biztonságosabb megoldás az, ha minden webhelyhez egyszerűen nyit egy fiókot az e-mail címével. Ha jelszókezelőt használ, ez egyszerű. Nem olyan egyszerű, mint az OAuth vagy egy hasonló, egy kattintással történő bejelentkezés, de ez az határozottan biztonságosabb Hogy az alkalmazások milliói sérülékenyek lehetnek az egységes biztonsági hack számáraAz OAuth egy nyílt szabvány, amely lehetővé teszi egy harmadik fél alkalmazásához vagy webhelyre történő bejelentkezéshez egy Facebook, Twitter vagy Google fiók használatával - és érzékeny a hackerekkel szemben. Olvass tovább .

A tisztesség kedvéért néhány ember ösztönzi az egyszeri bejelentkezés biztonsági gyakorlatként történő használatát. Mérlegelje lehetőségeit.

Használjon kétfaktoros hitelesítést a fontos szolgáltatásoknál

Számtalanszor beszéltünk kétfaktoros hitelesítésről, de ha nem ismeri, Olvass el mindent erről Mi a kétfaktoros hitelesítés, és miért kell ezt használni?Két tényezős hitelesítés (2FA) egy olyan biztonsági módszer, amely kétféleképpen megköveteli az identitás igazolását. Általában a mindennapi életben használják. Például hitelkártyával történő fizetés nemcsak a kártyát, hanem a ... Olvass tovább és tanulni mely szolgáltatások használhatják Most zárja le ezeket a szolgáltatásokat kétfaktoros hitelesítésselA két tényezővel történő hitelesítés az online számlák védelmének okos módja. Vessen egy pillantást néhány szolgáltatásra, amelyet biztonságosabbá lehet zárni. Olvass tovább . Ezután kapcsolja be.

Mely szolgáltatásokhoz kell használni kétfaktoros hitelesítést? Röviden: annyi, amennyit csak tudsz. A legfontosabb szolgáltatásait, például az e-maileket, a banki szolgáltatásokat és a felhőalapú tárolást mindenképpen meg kell védenie. Minden más bónusz. Csináld most.

Maradj észnél

A OneLogin felhasználók kemény leckét tanultak: egyetlen szolgáltatás sem 100% -ban biztonságos. Ez különösen kemény módszer volt ennek a leckének megtanulására, de hosszú távon talán a legjobb. Ha OneLogin felhasználó, akkor el kell foglalkoznia a darabok felvételével. Ha nem, úgy gondolja, hogy szerencsés, és tegye meg a lépéseket, hogy megbizonyosodjon arról, hogy nem történik veled.

A OneLogin csapkod érintette Önt? Vajon kétszer gondolkodik-e a jelszókezelőkön vagy az egyszeri bejelentkezési alkalmazásokon? Ossza meg gondolatait az alábbi megjegyzésekben!