Joseph Goodman
0 
3980
287
Jesteśmy wielkimi fanami menedżerów haseł. Jak menedżerowie haseł dbają o bezpieczeństwo haseł Jak menadżerowie haseł dbają o haseł Trudne do złamania hasła są trudne do zapamiętania. Chcesz być bezpieczny? Potrzebujesz menedżera haseł. Oto jak działają i jak zapewniają ci bezpieczeństwo. tutaj w MakeUseOf. Ułatwiają życie, przyspieszają wiele procesów i poprawiają bezpieczeństwo. Ale koncentrują one także wrażliwe hasła w jednym miejscu - i może to być niebezpieczne.
Przykład: OneLogin, producent aplikacji do pojedynczego logowania i zarządzania hasłami na poziomie przedsiębiorstwa, został zhakowany 31 maja 2017 r. I to jest naprawdę zła wiadomość. Oto, co się stało, co powinieneś zrobić i kilka lekcji, których możemy się nauczyć.
Co się stało w OneLogin?
Oto, co mówi OneLogin:
“… Aktor zagrożenia wykorzystał jeden z naszych kluczy AWS, aby uzyskać dostęp do naszej platformy AWS za pośrednictwem interfejsu API z hosta pośredniego z innym, mniejszym dostawcą usług w USA… ”
Co to znaczy? Oznacza to, że ktoś przeglądał wrażliwe dane OneLogin. I podczas gdy wiele z tych danych jest szyfrowanych, OneLogin uważa, że atakujący byli w stanie odszyfrować co najmniej niektóre dane.
Gdy tylko technicy OneLogin wykryli wtargnięcie, zamknęli infiltrowane systemy. Niestety doniesiono, że nie wykryli włamania aż do siedmiu godzin po jego rozpoczęciu. To długi czas na przeszukiwanie poufnych danych.
Do jakiego rodzaju danych mieli dostęp napastnicy?
“Aktor zagrożeń mógł uzyskać dostęp do tabel bazy danych zawierających informacje o użytkownikach, aplikacjach i różnych typach kluczy.”
Chociaż nie jest do końca jasne, jaki jest zakres tej listy, jest to zdecydowanie wiele wrażliwych rzeczy.
Trzeba przyznać, że OneLogin otwarcie mówi o tym incydencie. Trzymali zaktualizowany post na blogu w swojej witrynie, komunikowali się z klientami na temat ataku i udzielali porad, co robić. Jak dotąd nic nie wskazuje na to, że firma zaciemniła to, co się stało. (Być może w pewnym stopniu lekceważyli powagę ataku).
Co powinieneś zrobić, jeśli korzystasz z OneLogin
OneLogin szybko wydał przewodnik, aby pomóc użytkownikom złagodzić wszelkie skutki ataku (Rejestr opublikował także tę listę dla nie-klientów). Lista obejmuje resetowanie haseł, nowe tokeny uwierzytelniania, pozbycie się bezpiecznych notatek oraz szereg innych technicznych sugestii na poziomie administratora.
Jeśli jednak jesteś użytkownikiem OneLogin, oczywisty sposób działania jest znacznie prostszy: zmień hasła i zaktualizuj tokeny uwierzytelniające. To zajmie trochę czasu, ale warto to zrobić, ponieważ istnieje bardzo duża szansa, że ktoś ma dostęp do wszystkiego, co przechowujesz na koncie. Zmień swoje hasło główne, zmień hasła do swoich aplikacji, zmień wszystko, co zapisałeś w OneLogin.
I wyrzuć swoje bezpieczne notatki.
Tak, to będzie do bani. Ale będzie to znacznie mniej ssać niż przejęcie jednej z ważnych usług przez napastnika (lub, co gorsza, zatrzymanie za okup).
Czego możemy się nauczyć od OneLogin Hack
Pierwsza i najbardziej niepokojąca lekcja jest jasna: pojedyncze logowanie (SSO) i firmy zarządzające hasłami nie są odporne na zagrożenia bezpieczeństwa. Firmy te wiedzą, że bezpieczeństwo jest ważną sprawą dla ich klientów i że posiadają ogromną ilość cennych informacji.
Ale zdarzają się złe rzeczy. W tym przypadku powstały klucze API, które dały atakującym dostęp do OneLogin “od hosta pośredniego z innym, mniejszym dostawcą usług w USA.” Pomimo zaangażowania OneLogin w bezpieczeństwo, niedociągnięcia innej firmy mogły wpuścić atakujących.
Niestety żadna firma nie jest odporna na ataki hakerskie. Firmy zarządzające hasłami i firmy SSO traktują bezpieczeństwo bardzo poważnie i ogólnie dobrze sobie z tym radzą. Ale to musiało się stać.
Idąc dalej, co możesz zrobić? Podczas korzystania z tego rodzaju usług należy pamiętać o kilku kwestiach.
Przechowywanie wszystkiego w jednym miejscu to zły pomysł
Oczywiście będziesz przechowywać hasła w aplikacji do zarządzania hasłami. Ale czy powinno to być repozytorium wszystko twoich poufnych informacji? Może nie.
Bezpieczne notatki LastPass są łatwe na przykład do przechowywania informacji o koncie bankowym lub domowego hasła Wi-Fi. Ale jeśli ta usługa zostanie zhakowana, teraz patrzysz na jeszcze więcej problemów. Być może masz już zapisane informacje o karcie kredytowej. Jeśli jednak dodasz jeszcze kilka kluczowych informacji 10 fragmentów informacji wykorzystywanych do kradzieży tożsamości 10 fragmentów informacji wykorzystywanych do kradzieży tożsamości Według Biura Sprawiedliwości USA kradzież tożsamości kosztowała ofiary ponad 24 miliardy dolarów w 2012 r. , więcej niż włamanie do domu, kradzież samochodu i mienia łącznie. Te 10 informacji jest tym, czego szukają złodzieje… Kradzież tożsamości staje się znacznie łatwiejsza.
Zastanów się nad skorzystaniem z innej zaszyfrowanej usługi, która nie przechowuje informacji w chmurze, takiej jak SplashID, lub po prostu zaszyfruj i chroń hasłem folder na komputerze Jak zabezpieczyć hasłem folder w systemie Windows Jak zabezpieczyć hasłem folder w systemie Windows Musisz zachować system Windows folder prywatny? Oto kilka metod ochrony plików na komputerze za pomocą hasła. . Jest to nieco mniej wygodne, ale może znacznie zmniejszyć poziom trudności w przypadku naruszenia.
Pomyśl dwa razy o jednokrotnym logowaniu
Jednokrotne logowanie jest świetne, ponieważ oszczędza mnóstwo czasu i ogranicza hasła do minimum. OpenID, logowanie za pomocą danych logowania do sieci społecznościowej Korzystasz z logowania społecznościowego? Czy podjąć te kroki, aby zabezpieczyć swoje konta za pomocą logowania społecznościowego? Wykonaj następujące kroki, aby zabezpieczyć swoje konta Jeśli korzystasz z usługi logowania społecznościowego (takiej jak Google lub Facebook), możesz pomyśleć, że wszystko jest bezpieczne. Nie tak - czas przyjrzeć się słabościom logowań społecznościowych. , a inne podobne metody są dość popularne. (Szczerze mówiąc, sam ich używam.)
Bardziej bezpieczną opcją jest po prostu otwarcie konta z adresem e-mail dla każdej witryny. Jeśli używasz menedżera haseł, jest to łatwe. Nie jest to tak łatwe jak OAuth lub podobne logowanie jednym kliknięciem, ale jest zdecydowanie bezpieczniejsze W jaki sposób miliony aplikacji są podatne na pojedynczy hack bezpieczeństwa Jak miliony aplikacji są podatne na pojedynczy hack bezpieczeństwa OAuth jest otwartym standardem służącym do pozwalają zalogować się do aplikacji lub strony internetowej innej firmy przy użyciu konta Facebook, Twitter lub Google - i jest podatna na ataki hakerów. .
Aby być uczciwym, niektóre osoby zachęcają do korzystania z jednokrotnego logowania jako praktyki bezpieczeństwa. Zważ swoje opcje.
Użyj uwierzytelniania dwuskładnikowego w ważnych usługach
Rozmawialiśmy o uwierzytelnianiu dwuskładnikowym niezliczoną ilość razy, ale jeśli nie jesteś z nim zaznajomiony, przeczytaj o nim Czym jest uwierzytelnianie dwuskładnikowe i dlaczego powinieneś go używać Czym jest uwierzytelnianie dwuskładnikowe i dlaczego powinieneś Użyj go Uwierzytelnianie dwuskładnikowe (2FA) to metoda bezpieczeństwa, która wymaga dwóch różnych sposobów potwierdzenia tożsamości. Jest powszechnie stosowany w życiu codziennym. Na przykład płacenie kartą kredytową wymaga nie tylko karty… i dowiedz się, które usługi mogą z niej korzystać Zablokuj te usługi teraz z uwierzytelnianiem dwuskładnikowym Zablokuj te usługi teraz z uwierzytelnieniem dwuskładnikowym Uwierzytelnianie dwuskładnikowe to inteligentny sposób na chroń swoje konta internetowe. Rzućmy okiem na kilka usług, które możesz zablokować z większym bezpieczeństwem. . Następnie włącz.
Do jakich usług należy używać uwierzytelniania dwuskładnikowego? Krótko mówiąc, jak najwięcej. Twoje najważniejsze usługi, takie jak poczta e-mail, bankowość i przechowywanie w chmurze, powinny zdecydowanie być przez nią chronione. Wszystko inne jest bonusem. Zrób to teraz.
Bądź ostry
Użytkownicy OneLogin nauczyli się trudnej lekcji: żadna usługa nie jest w 100 procentach bezpieczna. Był to szczególnie trudny sposób na nauczenie się tej lekcji, ale na dłuższą metę może być najlepiej. Jeśli jesteś użytkownikiem OneLogin, powinieneś zająć się zbieraniem elementów. Jeśli nie, uważaj się za szczęściarza i podejmij kroki, aby upewnić się, że ci się to nie przydarzy.
Czy dotknął Cię hack OneLogin? Czy to sprawia, że myślisz dwa razy o menedżerach haseł lub aplikacjach do pojedynczego logowania? Podziel się swoimi przemyśleniami w komentarzach poniżej!