Reklama
Sme veľkými fanúšikmi správcovia hesiel Ako správcovia hesiel udržiavajú vaše heslá v bezpečíHeslá, ktoré sa ťažko dajú prelomiť, sa tiež ťažko pamätajú. Chcete byť v bezpečí? Potrebujete správcu hesiel. Takto fungujú a ako vás udržiavajú v bezpečí. Čítaj viac tu na MakeUseOf. Uľahčujú vám život, zrýchľujú veľa procesov a zvyšujú bezpečnosť. Sústredia sa však aj na vaše citlivé informácie o hesle na jednom mieste - a to môže byť nebezpečné.
Príklad: OneLogin, výrobca aplikácie na jednotné prihlásenie a správu hesiel na úrovni podniku, bol napadnutý 31. mája 2017. A to sú naozaj zlé správy. Čo sa stalo, čo by ste mali urobiť, a niektoré ponaučenia, ktoré sa môžeme naučiť.
Čo sa stalo v OneLogine?
Toto hovorí OneLogin:
„... aktér hrozby použil jeden z našich kľúčov AWS na získanie prístupu k našej platforme AWS prostredníctvom rozhrania API od sprostredkujúceho hostiteľa s iným, menším poskytovateľom služieb v USA…“
Čo to znamená? Znamená to, že niekto prezeral citlivé údaje OneLogin. A zatiaľ čo väčšina týchto údajov je šifrovaná, OneLogin verí, že útočníci boli schopní dešifrovať aspoň niektoré údaje.
Akonáhle technici OneLogin zistia narušenie, vypnú infiltrované systémy. Bohužiaľ, bolo hlásené, že nezistili prienik do siedmich hodín po jeho začatí. Je to dlhá doba, keď sa budete snažiť preberať citlivé údaje.
K akým údajom mohli mať útočníci prístup?
„Aktér hrozby mal prístup k databázovým tabuľkám, ktoré obsahujú informácie o používateľoch, aplikáciách a rôznych typoch kľúčov.“
Aj keď nie je jasné, v čom presne je rozsah tohto zoznamu, je to určite veľa citlivých vecí.
Spoločnosť OneLogin bola v súvislosti s týmto incidentom veľmi otvorená. Držali aktualizovaný blogový príspevok na svojich stránkach komunikovali so zákazníkmi o útoku a poskytovali rady, čo robiť. Zatiaľ nič nenasvedčuje tomu, že by spoločnosť zahmlila, čo sa stalo. (Aj keď možno trochu znížili závažnosť útoku.)
Čo by ste mali urobiť, ak používate OneLogin
OneLogin rýchlo vydal príručku, ktorá používateľom pomôže zmierniť akékoľvek účinky útoku (Register tiež uverejnil tento zoznam pre zákazníkov, ktorí nie sú zákazníkmi). Zoznam obsahuje obnovenie hesla, nové autentifikačné tokeny, odstránenie bezpečných poznámok a množstvo ďalších technických návrhov na úrovni správcu.
Ak ste používateľom služby OneLogin, je zrejmé, že postup je omnoho jednoduchší: zmeňte svoje heslá a aktualizujte autentifikačné tokeny. Bude to chvíľu trvať, ale oplatí sa to urobiť, pretože existuje veľmi dobrá šanca, že niekto má prístup ku všetkému, čo máte uložené vo svojom účte. Zmeňte svoje hlavné heslo, zmeňte heslá pre svoje aplikácie, zmeňte všetko, čo ste uložili v OneLogin.
A pošlite svoje zabezpečené poznámky do koša.
Áno, bude to cicať. Ale bude to cicať oveľa menej, než aby jednu z vašich dôležitých služieb prevzal útočník (alebo, možno horšie, výkupné).
Čo sa môžeme naučiť z hacku OneLogin
Prvá a najzávažnejšia lekcia je jasná: spoločnosti spravujúce jednotné prihlásenie (SSO) a správy hesiel nie sú odolné voči bezpečnostným hrozbám. Tieto spoločnosti vedia, že bezpečnosť je pre ich zákazníkov veľkým problémom a že majú obrovské množstvo cenných informácií.
Stávajú sa však zlé veci. V tomto prípade kľúče API, ktoré poskytli útočníkom prístup k OneLogin, pochádzali „z prechodného hostiteľa s iným, menším poskytovateľ služieb v USA “ Napriek odhodlaniu spoločnosti OneLogin k bezpečnosti môžu mať nedostatky inej spoločnosti útočníkov prepustený v.
Žiaľ, žiadna spoločnosť nie je odolná voči hackerom. Správa hesiel a spoločnosti SSO berú bezpečnosť veľmi vážne a spravidla to robia dobre. To sa však muselo stať.
Čo budeš robiť v budúcnosti? Pri používaní týchto typov služieb je potrebné pamätať na niekoľko vecí.
Ukladanie všetkého na jednom mieste je zlý nápad
Je zrejmé, že si svoje heslá ponecháte v aplikácii na správu hesiel. Malo by to však byť úložisko všetko vašich citlivých informácií? Možno nie.
Zabezpečené poznámky LastPass sa dajú ľahko používať napríklad na uchovávanie informácií o bankovom účte alebo domácom hesle Wi-Fi. Ak však dôjde k napadnutiu tejto služby, teraz sa pozeráte na ďalšie problémy. Možno už máte uložené informácie o svojej kreditnej karte. Napriek tomu, ak pridáte niekoľko ďalších kľúčových informácií 10 častí informácií, ktoré sa používajú na odcudzenie vašej identityKrádež identity môže byť nákladná. Tu je 10 informácií, ktoré musíte chrániť, aby nedošlo k odcudzeniu vašej identity. Čítaj viac , krádež identity sa stáva oveľa ľahšou.
Zvážte použitie inej šifrovanej služby, ktorá neukladá informácie napríklad v cloude SplashIDalebo len šifrovanie a heslo chránia priečinok v počítači Ako chrániť heslom priečinok v systéme WindowsPotrebujete zachovať priečinok Windows ako súkromný? Tu je niekoľko metód, pomocou ktorých môžete chrániť svoje súbory pomocou hesla v počítači so systémom Windows 10. Čítaj viac . Je to o niečo menej pohodlné, ale v prípade porušenia by to mohlo výrazne znížiť množstvo problémov.
Dvakrát premýšľajte o jednoduchom prihlásení
SSO je skvelé, pretože šetrí veľa času a udržuje vaše heslá na minime. OpenID, prihlasovanie pomocou poverení na sociálnych sieťach Používate sociálne prihlásenie? Vykonajte tieto kroky na zabezpečenie svojich účtovAk používate službu sociálneho prihlásenia (napríklad Google alebo Facebook), môžete si myslieť, že je všetko v bezpečí. Nie je to tak - je čas sa pozrieť na slabé stránky sociálneho prihlásenia. Čítaj viac a ďalšie podobné metódy sú dosť populárne. (Aby som bol úprimný, používam ich sám.)
Bezpečnejšou možnosťou je jednoducho otvoriť účet s e-mailovou adresou pre každú stránku. Ak používate správcu hesiel, je to ľahké. Nie je to také ľahké ako OAuth alebo podobné prihlásenie jedným kliknutím, ale je to určite bezpečnejšie Ako sú milióny aplikácií zraniteľné voči jedinému bezpečnostnému hackuOAuth je otvorený štandard, ktorý vám umožňuje prihlásiť sa do aplikácií alebo webových stránok tretích strán pomocou účtu Facebook, Twitter alebo Google - a je zraniteľný pre hackerov. Čítaj viac .
Aby sme boli spravodliví, niektorí ľudia podporujú používanie jednotného prihlásenia ako bezpečnostnej praxe. Zvážte svoje možnosti.
Na dôležitých službách používajte dvojfaktorové overenie
Hovorili sme o dvojfaktorovom overovaní nespočetne krát, ale ak s tým nie ste oboznámení, čítať o tom všetko Čo je dvojfaktorové overenie a prečo by ste ho mali používaťDvojfaktorová autentifikácia (2FA) je bezpečnostná metóda, ktorá vyžaduje dva rôzne spôsoby preukázania vašej identity. Bežne sa používa v každodennom živote. Napríklad platenie kreditnou kartou si vyžaduje nielen kartu, ... Čítaj viac a učiť sa ktoré služby ich môžu využívať Uzamknite tieto služby teraz pomocou dvojfaktorového overeniaDvojfaktorové overenie predstavuje inteligentný spôsob ochrany vašich online účtov. Pozrime sa na niekoľko služieb, ktoré môžete uzamknúť, s lepšou bezpečnosťou. Čítaj viac . Potom ju zapnite.
Pre ktoré služby by ste mali používať dvojfaktorové overenie? Stručne povedané, toľko, koľko môžete. Vaše najdôležitejšie služby, ako napríklad e-mail, bankovníctvo a cloudové úložisko, by ich mali určite chrániť. Čokoľvek iné je bonus. Urob to teraz.
Ostaňte ostro
Používatelia OneLogin sa naučili tvrdú lekciu: žiadna služba nie je stopercentne bezpečná. Bol to obzvlášť drsný spôsob, ako sa naučiť túto lekciu, ale z dlhodobého hľadiska to môže byť pre najlepšie. Ak ste používateľom OneLogin, mali by ste sa zaoberať vyzdvihnutím kusov. Ak tak neurobíte, zvážte šťastie a podniknite kroky, aby ste sa uistili, že sa tak nestane.
Ovplyvnil vás hacker OneLogin? Prinúti vás to dvakrát premýšľať o správcoch hesiel alebo o aplikáciách jednotného prihlásenia? Podeľte sa o svoje myšlienky v komentároch nižšie!
Dann je konzultant pre obsahovú stratégiu a marketing, ktorý pomáha spoločnostiam vytvárať dopyt a vedie. Blogy venoval aj stratégii a marketingu obsahu na stránke dannalbright.com.