Oglas

Veliki smo obožavatelji upravitelji lozinki Kako menadžeri lozinki čuvaju vaše lozinkeTeško je upamtiti i lozinke koje je teško probiti. Želite biti sigurni? Trebate upravitelja lozinki. Evo kako rade i kako vas čuvaju. Čitaj više ovdje na MakeUseOf. Olakšavaju vam život, ubrzavaju mnoge procese i poboljšavaju vašu sigurnost. Ali također vaše osjetljive podatke o zaporkama koncentriraju na jednom mjestu - a to može biti opasno.

Dokazan slučaj: OneLogin, proizvođač aplikacije za jedinstveno prijavljivanje i upravljanje lozinkom na razini poduzeća, hakiran je 31. svibnja 2017. I to su zaista loše vijesti. Evo što se dogodilo, što biste trebali učiniti i neke lekcije koje bismo mogli naučiti.

Što se dogodilo u OneLoginu?

Evo što OneLogin kaže:

"... akter prijetnje upotrijebio je jedan od naših AWS ključeva kako bi pristupio našoj AWS platformi putem API-ja od posredničkog domaćina kod drugog, manjeg pružatelja usluga u SAD-u ..."

Što to znači? To znači da je netko pregledavao osjetljive podatke OneLogina. I dok je velik dio tih podataka šifriran, OneLogin smatra da su napadači uspjeli dešifrirati barem dio podataka.

Čim su OneLogin tehničari otkrili upad, zatvorili su sustav koji je bio infiltriran. Nažalost, prijavljeno je da upad nisu otkrili tek sedam sati nakon što su ga pokrenuli. To bi trebalo dugo da pokuca kroz osjetljive podatke.

Kakve bi podatke napadači mogli imati pristup?

"Akter prijetnji mogao je pristupiti tablicama baza podataka koje sadrže informacije o korisnicima, aplikacijama i raznim vrstama tipki."

Iako nije jasno koji je točno opseg tog popisa, to je definitivno puno osjetljivih stvari.

Njihova zasluga, OneLogin je bio vrlo iskren u vezi s ovim incidentom. Zadržali su ažuriran post na blogu na njihovoj web stranici komunicirali s kupcima o napadu i davali savjete što učiniti. Za sada nema naznaka da je tvrtka krivo shvatila što se dogodilo. (Iako su možda donekle umanjili ozbiljnost napada.)

Što biste trebali učiniti ako koristite OneLogin

OneLogin je brzo izdao vodič koji će pomoći korisnicima da ublaže bilo kakve efekte napada (Registar također objavio ovaj popis za ne-kupce). Popis uključuje resetiranje zaporki, nove tokene za provjeru autentičnosti, uklanjanje sigurnih bilješki i niz drugih tehničkih prijedloga na razini administratora.

onelogin hack

Ako ste korisnik OneLogina, očigledan postupak je mnogo jednostavniji: promijenite zaporke i ažurirajte žetone provjere autentičnosti. Proći će neko vrijeme, ali vrijedi to učiniti, jer postoji vrlo dobra šansa da netko ima pristup svemu što ste pohranili na vašem računu. Promijenite glavnu lozinku, promijenite lozinke za svoje aplikacije, promijenite sve što ste pohranili u OneLogin.

I smeti svoje sigurne bilješke.

Da, to će sisati. Ali sisaće puno manje nego što je napadač preuzeo neku od vaših važnih usluga (ili, što je još gore, zadržavanje otkupnine).

Što možemo naučiti od OneLogin haka

Prva i najviše zabrinjavajuća lekcija je jasna: tvrtke s jednom prijavom (SSO) i tvrtke za upravljanje lozinkom nisu imune na sigurnosne prijetnje. Te tvrtke znaju da je sigurnost njihovim kupcima sigurnost i da posjeduju ogromnu količinu vrijednih informacija.

Ali loše se događaju. U ovom slučaju, API ključevi koji su napadačima dali pristup OneLoginu potječu "od srednjeg domaćina s drugim, manjim davatelj usluga u SAD-u. " Unatoč posvećenosti OneLogina sigurnosti, nedostaci druge tvrtke možda su pustili napadače u.

Nažalost, niti jedna tvrtka nije zaštićena od hakova. Upravljanje lozinkom i SSO tvrtke vrlo ozbiljno shvaćaju sigurnost i obično je čine dobar posao. Ali to se trebalo dogoditi.

Ako idete naprijed, što možete učiniti? Evo nekoliko stvari koje morate imati na umu pri korištenju tih vrsta usluga.

Spremanje svega na jednom mjestu je loša ideja

Očito ćete zadržati zaporke u aplikaciji za upravljanje lozinkama. Ali treba li biti spremište za svi vaših osjetljivih podataka? Možda ne.

Na primjer, možete koristiti sigurne bilješke LastPass-a, na primjer, za čuvanje podataka o vašem bankovnom računu ili zaporke za kućni Wi-Fi. Ali ako vam se ova usluga hakira, sada vidite još više problema. Možda su već pohranjeni podaci o vašoj kreditnoj kartici. Ipak ako dodate još nekoliko ključnih informacija 10 informacija koje se koriste za krađu vašeg identitetaKrađa identiteta može biti skupa. Evo 10 informacija koje trebate zaštititi da vaš identitet ne bude ukraden. Čitaj više , krađa identiteta postaje mnogo lakša.

Razmislite o upotrebi druge šifrirane usluge koja ne pohranjuje informacije u oblak, poput SplashID, ili samo šifriranje i lozinka štite mapu na vašem računalu Kako zaštititi mapu lozinkom u sustavu WindowsTrebate zadržati privatnu mapu sustava Windows? Evo nekoliko metoda pomoću kojih možete zaštititi datoteke lozinkom na računalu sa sustavom Windows 10. Čitaj više . To je malo manje prikladno, ali može značajno smanjiti poteškoće u slučaju kršenja.

Razmislite dvaput o pojedinačnoj prijavi

SSO je sjajan jer štedi tonu vremena i vaše lozinke svode na minimum. OpenID, prijava s vjerodajnicama društvene mreže Koristite društvenu prijavu? Poduzmite ove korake za osiguranje računaAko koristite uslugu za prijavu na društvene mreže (poput Googlea ili Facebooka), možda mislite da je sve sigurno. Nije tako - vrijeme je da pogledate slabosti društvenih podataka. Čitaj više i druge slične metode prilično su popularne. (Da budem potpuno iskren, i sam ih koristim.)

google s jednom prijavom

Sigurnija opcija je jednostavno otvaranje računa s adresom e-pošte za svaku web lokaciju. Ako koristite upravitelj lozinki, to je jednostavno. Nije baš lako kao OAuth ili slična prijava jednim klikom, ali to je definitivno sigurniji Koliko su milijuna aplikacija ranjive na jedan sigurnosni hackOAuth je otvoreni standard koji vam omogućuje prijavu na aplikaciju ili web mjesto treće strane upotrebom Facebooka, Twittera ili Google računa - i podložan je hakerima. Čitaj više .

Da bi bili pošteni, neki ljudi potiču upotrebu jedinstvene prijave kao sigurnosne prakse. Odmjerite svoje mogućnosti.

Na važnim uslugama koristite dvofaktorsku provjeru identiteta

Nebrojeno puta smo razgovarali o provjeri autentičnosti s dva faktora, ali ako s njom niste upoznati, Pročitaj sve o tome Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristitiDvofaktorna autentifikacija (2FA) sigurnosna je metoda koja zahtijeva dva različita načina dokazivanja vašeg identiteta. Uobičajeno se koristi u svakodnevnom životu. Na primjer, plaćanje kreditnom karticom ne zahtijeva samo karticu, ... Čitaj više i učite koje usluge mogu koristiti Zaključajte ove usluge sada s dvofaktorskom provjerom autentičnostiDvofaktorska provjera identiteta je pametan način zaštite mrežnih računa. Pogledajmo nekoliko usluga koje možete zaključati uz bolju sigurnost. Čitaj više . Zatim ga uključite.

Za koje usluge trebate koristiti dvofaktornu provjeru autentičnosti? Ukratko, onoliko koliko možete. Vaše bi najvažnije usluge, poput e-pošte, bankarstva i pohrane u oblaku, svakako trebale biti zaštićene. Sve ostalo je bonus. Učini to sada.

Ostanite oštri

Korisnici OneLogina naučili su tešku lekciju: nijedna usluga nije 100 posto sigurna. Ovo je bio posebno oštar način da naučimo ovu lekciju, ali dugoročno gledano, možda je to najbolje. Ako ste korisnik OneLogina, trebali biste se zauzeti za prikupljanje dijelova. Ako niste, smatrajte se sretnom i poduzmite korake kako biste bili sigurni da vam se to ne dogodi.

Je li vas utjecao haker OneLogin? Znači li vas dvaput razmišljati o upraviteljima lozinki ili aplikacijama za jednu prijavu? Podijelite svoje misli u komentarima ispod!

Dann je sadržajna strategija i marketinški savjetnik koji pomaže tvrtkama da generiraju potražnju i vode. Također, na dannalbright.com piše blogove o marketingu strategije i sadržaja.