Reklaam

Oleme suured fännid paroolide haldurid Kuidas paroolide haldurid teie paroole turvaliselt hoiavad?Paroole, mida on raske rikkuda, on samuti raske meelde jätta. Kas soovite olla ohutu? Teil on vaja paroolide haldurit. Siit saate teada, kuidas nad töötavad ja kuidas nad teid turvaliselt hoiavad. Loe rohkem siin MakeUseOf'is. Need muudavad teie elu lihtsamaks, kiirendavad palju protsesse ja parandavad teie turvalisust. Kuid nad koondavad ka teie tundliku parooliteabe ühte kohta - ja see võib olla ohtlik.

Juhtum näites: ettevõttesisese sisselogimise ja paroolide haldamise rakenduse tootjat OneLogin häkkiti 31. mail 2017. Ja see on tõesti halb uudis. Siin on juhtunud, mida peaksite tegema ja mõned õppetunnid.

Mis juhtus OneLoginis?

OneLogin ütleb järgmist:

„… Ohuolukorras tegutseja kasutas ühte meie AWS-i võtmeid, et pääseda API kaudu meie AWS-i platvormile vahemahuti juurest teise väiksema teenusepakkujaga USA-s ...”

Mida see tähendab? See tähendab, et keegi otsis OneLogini tundlikke andmeid. Ja kuigi suur osa neist andmetest on krüptitud, usub OneLogin, et ründajad suutsid vähemalt osa andmetest dekrüpteerida.

Niipea kui OneLogini tehnikad sissetungimise avastasid, sulgesid nad sissetunginud süsteemid. Kahjuks teatati, et nad avastasid sissetungimise alles seitse tundi pärast selle algust. Tundlike andmetega tutvumiseks on vaja pikka aega.

Millistele andmetele ründajatel võis olla juurdepääs?

"Ohuränduril oli juurdepääs andmebaasitabelitele, mis sisaldavad teavet kasutajate, rakenduste ja erinevat tüüpi võtmete kohta."

Kuigi on ebaselge, mis selle loendi ulatus on, on see kindlasti palju tundlikke asju.

Nende tunnustuseks on OneLogin selle juhtumi kohta olnud väga otsekohene. Nad on hoidnud värskendatud ajaveebi postitus oma saidil, suhtles klientidega rünnaku kohta ja andis nõu, mida teha. Siiani pole mingeid märke selle kohta, et ettevõte oleks toimunu hägustanud. (Ehkki nad võivad rünnaku tõsidust mõnevõrra alahinnata.)

Mida peaksite tegema, kui kasutate rakendust OneLogin

OneLogin andis kiiresti välja juhendi, mis aitab kasutajatel rünnaku mis tahes tagajärgi leevendada (Registreeri ka postitas selle nimekirja mitteklientidele). Loend sisaldab paroolide lähtestamist, uusi autentimislubasid, turvalistest märkmetest lahti saamist ja mitmeid muid tehnilisi, administraatori tasemel ettepanekuid.

onelogini häkk

Kui olete aga OneLogini kasutaja, on ilmne toimimisviis palju lihtsam: muutke oma paroole ja värskendage autentimislokke. See võtab natuke aega, kuid see on seda väärt, sest on väga hea võimalus, et kellelgi on juurdepääs kõigele, mida teie kontole salvestate. Muutke oma peamist parooli, muutke oma rakenduste paroole, muutke kõike, mida olete OneLoginis salvestanud.

Ja prügige oma turvalised märkmed.

Jah, see hakkab imema. Kuid see imeb palju vähem kui see, kui ründaja võtab üle teie ühe olulise teenuse (või, mis veelgi hullem, lunaraha eest).

Mida me saame OneLogini häkkerist õppida

Esimene ja kõige murettekitavam õppetund on selge: ühekordse sisselogimise (SSO) ja paroolide haldamisega tegelevad ettevõtted pole turvaohtude suhtes immuunsed. Need ettevõtted teavad, et turvalisus on nende klientidele suur asi ja et neil on tohutult palju väärtuslikku teavet.

Kuid juhtuvad halvad asjad. Sel juhul pärinevad API-võtmed, mis andsid ründajatele juurdepääsu OneLoginile, „vaheperemehelt teise, väiksemaga teenusepakkuja USA-s. ” Vaatamata OneLogini pühendumusele turvalisusele, võisid teise ettevõtte puudused ründajad lasta sisse

Kahjuks pole ükski ettevõte häkkikindel. Paroolide haldamine ja SSO-ettevõtted võtavad turvalisust väga tõsiselt ja teevad sellega üldiselt head tööd. Kuid see juhtus kindlasti.

Mida edasi teha, mida saate teha? Siin on mõned asjad, mida seda tüüpi teenuste kasutamisel meeles tuleks pidada.

Kõigi ühes kohas hoidmine on halb idee

Ilmselt hoiate oma paroole oma paroolihaldusrakenduses. Kuid kas see peaks olema? kõik teie tundliku teabe kohta? Võibolla mitte.

LastPassi turvalisi märkmeid on lihtne kasutada näiteks oma pangakonto andmete või koduse WiFi parooli hoidmiseks. Kuid kui seda teenust häkkitakse, vaatate nüüd veelgi rohkem probleeme. Võimalik, et teie krediitkaarditeave on juba salvestatud. Kuid kui lisate veel paar peamist teavet 10 tükki teavet, mida kasutatakse teie identiteedi varastamiseksIdentiteedivargus võib olla kulukas. Siin on kümme teavet, mida peate kaitsma, et teie isikut ei varastataks. Loe rohkem , identiteedivargus muutub palju lihtsamaks.

Kaaluge näiteks mõne muu krüptitud teenuse kasutamist, mis ei salvesta teavet pilve SplashIDvõi lihtsalt krüptimine ja parooliga kaitsevad teie arvuti kausta Kuidas Windowsi kausta parooliga kaitstaKas peate Windowsi kausta privaatsena hoidma? Siin on mõned meetodid, mida saate oma Windows 10 arvutis failide parooliga kaitsta. Loe rohkem . See on pisut vähem mugav, kuid see võib rikkumise korral raskuste hulka märkimisväärselt vähendada.

Mõelge kaks korda ühekordse sisselogimise peale

SSO on suurepärane, kuna see säästab palju aega ja hoiab teie paroolid minimaalsena. OpenID, sisselogimine sotsiaalvõrgustiku mandaatidega Kas kasutate sotsiaalset sisselogimist? Oma konto turvalisuse tagamiseks toimige järgmiseltKui kasutate sotsiaalset sisselogimisteenust (nt Google või Facebook), võite arvata, et kõik on turvaline. Mitte nii - on aeg heita pilk sotsiaalsete sisselogimiste nõrkustele. Loe rohkem ja muud sarnased meetodid on üsna populaarsed. (Kui päris aus olla, siis ma kasutan neid ka ise.)

ühekordne sisselogimine google

Kindlam võimalus on lihtsalt iga saidi jaoks konto avamine oma e-posti aadressiga. Kui kasutate paroolide haldurit, on see lihtne. Pole küll nii lihtne kui OAuth või sarnane ühe klõpsuga sisselogimine, kuid see on nii kindlasti kindlamini Kui miljonid rakendused on ühe turvaaukude jaoks haavatavadOAuth on avatud standard, mida kasutatakse Facebooki, Twitteri või Google'i konto abil kolmanda osapoole rakendusse või veebisaidile sisselogimiseks - ja see on häkkerite jaoks haavatav. Loe rohkem .

Ausalt öeldes julgustavad mõned inimesed ühekordse sisselogimise kasutamist turvapraktikana. Kaaluge oma võimalusi.

Kasutage olulistes teenustes kahefaktorilist autentimist

Oleme rääkinud kahefaktorilisest autentimisest lugematu arv kordi, kuid kui te pole sellega tuttav, loe sellest kõike Mis on kahefaktoriline autentimine ja miks peaksite seda kasutamaKahefaktoriline autentimine (2FA) on turvameetod, mis nõuab teie identiteedi tõestamiseks kahte erinevat viisi. Seda kasutatakse tavaliselt igapäevaelus. Näiteks krediitkaardiga maksmine ei nõua mitte ainult kaarti, ... Loe rohkem ja õppima millised teenused saavad seda kasutada Lukustage need teenused nüüd kahefaktorilise autentimisegaKahefaktoriline autentimine on nutikas viis veebikontode kaitsmiseks. Vaatame mõnda teenust, mille parema turvalisuse tagamiseks lukustada saate. Loe rohkem . Seejärel lülitage see sisse.

Milliste teenuste jaoks peaksite kasutama kahefaktorilist autentimist? Ühesõnaga nii palju kui võimalik. Teie olulisemad teenused, nagu e-post, pangandus ja pilvesalvestus, peaksid seda kindlasti kaitsma. Kõik muu on boonus. Tee seda kohe.

Jää teravaks

OneLogini kasutajad õppisid raske õppetunni: ükski teenus pole 100 protsenti turvaline. See oli eriti karm viis selle õppetunni õppimiseks, kuid pikas perspektiivis võib see olla parim. Kui olete OneLogini kasutaja, peaksite tükkide korjamisega tegelema. Kui te seda ei tee, pidage ennast õnnelikuks ja astuge samme, et veenduda, et seda ei juhtu teiega.

Kas teid mõjutas OneLogini häkk? Kas see paneb teid kaks korda mõtlema paroolide halduritele või ühekordse sisselogimise rakendustele? Jagage oma mõtteid allpool olevates kommentaarides!

Dann on sisestrateegia ja turunduskonsultant, kes aitab ettevõtetel nõudlust tekitada ja viib. Samuti ajaveeb ta veebiaadressil dannalbright.com strateegia- ja sisuturunduse kohta.