reklama
Jsme velcí fanoušci správce hesel Jak správci hesel udržují vaše hesla v bezpečíHesla, která se těžko lámou, je také obtížně zapamatovatelná. Chcete být v bezpečí? Potřebujete správce hesel. Tady je, jak fungují a jak vás udržují v bezpečí. Přečtěte si více zde na MakeUseOf. Usnadňují vám život, zrychlují mnoho procesů a zlepšují vaši bezpečnost. Ale také soustředí vaše citlivé informace o heslech na jednom místě - a to může být nebezpečné.
Příklad: OneLogin, výrobce podnikové aplikace pro jednotné přihlášení a správu hesel, byl hacknut 31. května 2017. A to jsou opravdu špatné zprávy. Tady je to, co se stalo, co byste měli udělat, a pár lekcí, které se můžeme naučit.
Co se stalo v OneLoginu?
OneLogin říká:
„… Subjekt ohrožení použil jeden z našich klíčů AWS k získání přístupu k naší platformě AWS přes API od zprostředkujícího hostitele s jiným, menším poskytovatelem služeb v USA…“
Co to znamená? To znamená, že někdo prohlížel citlivá data OneLoginu. A zatímco většina těchto dat je šifrována, OneLogin věří, že útočníci byli schopni dešifrovat alespoň některá data.
Jakmile technici OneLogin detekovali vniknutí, vypnuli infiltrované systémy. Bohužel bylo zaznamenáno, že nezjistili narušení až do sedmi hodin po zahájení. Je to dlouhá doba, abychom se probíjeli citlivými daty.
K jakým datům by útočníci měli přístup?
"Herec hrozby měl přístup k databázovým tabulkám, které obsahují informace o uživatelích, aplikacích a různých typech klíčů."
I když není jasné, co přesně je rozsah tohoto seznamu, je to určitě spousta citlivých věcí.
OneLogin byl o této nehodě naprosto otevřený. Drželi aktualizovaný blogový příspěvek na svých stránkách, komunikoval se zákazníky o útoku a poskytoval rady, co dělat. Zatím nic nenasvědčuje tomu, že by společnost zatajila, co se stalo. (I když možná trochu bagatelizovali závažnost útoku.)
Co byste měli udělat, pokud používáte OneLogin
OneLogin rychle vydal průvodce, který uživatelům pomůže zmírnit jakékoli účinky útoku (Registrace taky zveřejnil tento seznam pro non-zákazníky). Seznam obsahuje resetování hesel, nové autentizační tokeny, odstranění bezpečných poznámek a řadu dalších technických návrhů na úrovni správce.
Pokud jste však uživatelem OneLogin, je zjevný postup mnohem jednodušší: změnit hesla a aktualizovat autentizační tokeny. Chvíli to potrvá, ale vyplatí se to udělat, protože existuje velmi dobrá šance, že někdo má přístup ke všemu, co jste uložili ve svém účtu. Změňte hlavní heslo, změňte hesla pro své aplikace, změňte vše, co jste uložili v OneLogin.
A zlikvidujte své bezpečné poznámky.
Ano, bude to sát. Ale bude to sát mnohem méně, než aby jednu z vašich důležitých služeb převzal útočník (nebo možná horší, výkupné).
Co se můžeme naučit z hacku OneLogin
První a nejvíce znepokojující lekce je jasná: společnosti pro jednotné přihlášení (SSO) a správu hesel nejsou vůči bezpečnostním hrozbám imunní. Tyto společnosti vědí, že bezpečnost je pro jejich zákazníky velká záležitost a že mají obrovské množství cenných informací.
Ale špatné věci se stávají. V tomto případě klíče API, které poskytly útočníkům přístup k OneLogin, pocházely „z přechodného hostitele s jiným, menším poskytovatel služeb v USA “ Navzdory odhodlání OneLoginu k bezpečnosti mohou útočníci nechat nedostatky jiné společnosti v.
Žádná společnost bohužel není odolná proti hackerům. Správa hesel a společnosti SSO berou zabezpečení velmi vážně a obecně to dělají dobře. Ale to se muselo stát.
Co dál můžete dělat? Při používání těchto typů služeb je třeba mít na paměti několik věcí.
Ukládání všeho na jednom místě je špatný nápad
Je zřejmé, že si v aplikaci pro správu hesel ponecháte svá hesla. Ale mělo by to být úložiště pro Všechno vašich citlivých informací? Možná ne.
Bezpečné poznámky LastPass lze snadno používat, například uchovávat informace o bankovním účtu nebo domácí heslo Wi-Fi. Pokud se však tato služba hackne, díváte se na další problémy. Možná již máte uložené informace o své kreditní kartě. Přesto pokud přidáte pár klíčových informací 10 kusů informací, které se používají k odcizení vaší identityKrádež identity může být nákladná. Zde je 10 informací, které musíte chránit, aby nedošlo k odcizení vaší identity. Přečtěte si více , krádež identity se stává mnohem jednodušší.
Zvažte použití jiné šifrované služby, která neuloží informace do cloudu, jako je SplashID, nebo prostě šifrování a heslo chrání složku v počítači Jak heslem chránit složku ve WindowsPotřebujete ponechat složku Windows soukromou? Zde je několik metod, pomocí kterých můžete chránit své soubory heslem v počítači se systémem Windows 10. Přečtěte si více . Je to o něco méně pohodlné, ale v případě porušení by to mohlo výrazně snížit množství obtíží.
Přemýšlejte dvakrát o jednotném přihlášení
SSO je skvělé, protože šetří spoustu času a udržuje vaše hesla na minimu. OpenID, přihlášení pomocí přihlašovacích údajů k sociální síti Používáte sociální přihlášení? Proveďte tyto kroky k zabezpečení svých účtůPokud používáte sociální přihlašovací službu (například Google nebo Facebook), možná si myslíte, že je vše v bezpečí. Není tomu tak - je čas se podívat na slabiny sociálních přihlášení. Přečtěte si více a další podobné metody jsou velmi populární. (Abych byl upřímný, používám je sám.)
Bezpečnější možností je jednoduše otevřít účet s e-mailovou adresou pro každý web. Pokud používáte správce hesel, je to snadné. Není to tak snadné jako OAuth nebo podobné přihlášení jedním kliknutím, ale je to rozhodně bezpečnější Jak jsou miliony aplikací zranitelné pro jediný bezpečnostní hackOAuth je otevřený standard, který vám umožňuje přihlásit se k aplikaci nebo webové stránce třetí strany pomocí účtu Facebook, Twitter nebo Google - a je zranitelný vůči hackerům. Přečtěte si více .
Abychom byli spravedliví, někteří lidé podporují používání jednotného přihlášení jako bezpečnostní praxe. Zvažte své možnosti.
U důležitých služeb používejte dvoufaktorové ověření
Mluvili jsme o dvoufaktorovém ověřování bezpočet časů, ale pokud s ním nejste obeznámeni, přečti si o tom vše Co je dvoufaktorové ověření a proč byste ho měli používatDvoufázové ověřování (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu, ... Přečtěte si více a učit které služby je mohou využívat Uzamkněte tyto služby nyní pomocí dvoufaktorového ověřeníDvoufaktorové ověřování je chytrý způsob, jak chránit své online účty. Pojďme se podívat na několik služeb, které můžete uzamknout, s lepším zabezpečením. Přečtěte si více . Pak to zapněte.
Pro které služby byste měli používat dvoufaktorové ověřování? Stručně řečeno, tolik, kolik můžete. Vaše nejdůležitější služby, jako je e-mail, bankovnictví a cloudové úložiště, by to mělo být rozhodně chráněno. Všechno ostatní je bonus. Udělej to teď.
Zůstaňte ostré
Uživatelé OneLogin se naučili tvrdou lekci: žádná služba není 100% bezpečná. To byl obzvláště drsný způsob, jak se tuto lekci poučit, ale z dlouhodobého hlediska to může být pro nejlepší. Jste-li uživatelem OneLogin, měli byste mít plné ruce práce s vyzvedáváním kusů. Pokud tak neučiníte, považujte se za štěstí a podnikněte kroky, abyste se ujistili, že se vám to nestane.
Byli jste zasaženi hackerem OneLogin? Přinutí vás přemýšlet dvakrát o správcích hesel nebo aplikacích pro jednotné přihlášení? Podělte se o své myšlenky v komentářích níže!
Dann je konzultant pro obsahovou strategii a marketing, který pomáhá společnostem vytvářet poptávku a vede. Také blogy o strategii a marketingu obsahu na dannalbright.com.