Annonse

Vi er store fans av passord ledere Hvordan passordledere holder passordene dine tryggePassord som er vanskelig å sprekke er også vanskelig å huske. Vil du være trygg? Du trenger en passordbehandling. Slik fungerer de og hvordan de holder deg trygg. Les mer her på MakeUseOf. De gjør livet ditt enklere, fremskynder mange prosesser og forbedrer sikkerheten din. Men de konsentrerer også sensitiv passordinformasjon på et enkelt sted - og det kan være farlig.

Et eksempel: OneLogin, produsenten av en app for enkeltpålogging og passordstyring, ble hacket 31. mai 2017. Og det er virkelig dårlige nyheter. Dette er hva som skjedde, hva du bør gjøre, og noen leksjoner vi kan lære.

Hva skjedde med OneLogin?

Slik sier OneLogin:

"... en trusselaktør brukte en av våre AWS-nøkler for å få tilgang til AWS-plattformen vår via API fra en mellomvert med en annen, mindre tjenesteleverandør i USA ..."

Hva betyr det? Det betyr at noen så gjennom OneLogins sensitive data. Og selv om mye av disse dataene er kryptert, mener OneLogin at angriperne klarte å dekryptere minst noen av dataene.

Så snart OneLogin-teknikere oppdaget inntrengingen, stengte de systemene som ble infiltrert. Dessverre er det rapportert at de ikke oppdaget inntrengingen før syv timer etter at den startet. Det er lang tid å kikke gjennom sensitive data.

Hva slags data kan angriperne ha hatt tilgang til?

"Trusselaktøren kunne få tilgang til databasetabeller som inneholder informasjon om brukere, apper og forskjellige typer nøkler."

Selv om det er uklart nøyaktig hva omfanget av denne listen er, er det definitivt mye sensitive ting.

Som deres anerkjennelse har OneLogin vært veldig direkte på denne hendelsen. De har holdt en oppdatert blogginnlegg på nettstedet deres, kommuniserte med kunder om angrepet, og ga råd om hva de skal gjøre. Det er ingen indikasjoner så langt at selskapet har tilslørt hva som skjedde. (Selv om de kan ha bagatellisert alvoret av angrepet noe.)

Hva du bør gjøre hvis du bruker OneLogin

OneLogin ga raskt ut en guide for å hjelpe brukere å dempe eventuelle effekter av angrepet (Registeret også postet denne listen for ikke-kunder). Listen inkluderer tilbakestillinger av passord, nye godkjenningstokener, kvitter seg med sikre notater og en rekke andre tekniske forslag på administratornivå.

onelogin hack

Hvis du imidlertid er bruker av OneLogin, er det åpenbare handlingsforløpet mye enklere: endre passord og oppdater godkjenningstokener. Det kommer til å ta litt tid, men det er verdt å gjøre, fordi det er en veldig god sjanse for at noen har tilgang til alt du lagret på kontoen din. Endre hovedpassordet ditt, endre passordene til appene dine, endre alt du lagret i OneLogin.

Og søppel dine sikre notater.

Ja, det kommer til å suge. Men det kommer til å suge mye mindre enn å få en av de viktige tjenestene dine overtatt av en angriper (eller, muligens verre, holdt for løsepenger).

Hva vi kan lære av OneLogin Hack

Den første, og mest bekymringsfulle, leksjonen er tydelig: selskaper med enkel pålogging (SSO) og passordbehandling er ikke immun mot sikkerhetstrusler. Disse selskapene vet at sikkerhet er en stor avtale for kundene, og at de har en enorm mengde verdifull informasjon.

Men dårlige ting skjer. I dette tilfellet stammer API-nøklene som ga angriperne tilgang til OneLogin "fra en mellomvert med en annen, mindre tjenesteleverandør i USA. ” Til tross for OneLogins dedikasjon til sikkerhet, kan mangler ved et annet selskap ha latt angriperne i.

Dessverre er ingen selskaper hack-proof. Passordhåndtering og SSO-selskaper tar sikkerhet veldig alvorlig, og gjør generelt en god jobb med det. Men dette skulle helt sikkert skje.

Fremover, hva kan du gjøre? Her er et par ting du må huske på når du bruker denne typen tjenester.

Å lagre alt på ett sted er en dårlig idé

Det er klart at du kommer til å oppbevare passordene dine i passordhåndteringsappen din. Men skulle det være depotet for alle av sensitiv informasjon? Kanskje ikke.

Det er enkelt å bruke LastPasss sikre notater, for eksempel for å oppbevare bankkontoinformasjonen eller ditt hjemlige Wi-Fi-passord. Men hvis den tjenesten blir hacket, ser du nå på enda flere problemer. Du kan ha lagret kredittkortinformasjonen din allerede. Likevel hvis du legger til noen flere viktige opplysninger 10 stykker informasjon som brukes til å stjele identiteten dinIdentitetstyveri kan være kostbart. Her er de 10 opplysningene du trenger for å beskytte slik at identiteten din ikke blir stjålet. Les mer , blir identitetstyveri mye enklere.

Vurder å bruke en annen kryptert tjeneste som ikke lagrer informasjon i skyen, som SplashID, eller bare krypter og passordbeskytter en mappe på datamaskinen din Slik beskytter du en mappe i WindowsTrenger du å holde en Windows-mappe privat? Her er noen metoder du kan bruke for å passordbeskytte filene dine på en Windows 10 PC. Les mer . Det er litt mindre praktisk, men det kan redusere vanskelighetsgraden betydelig i tilfelle brudd.

Tenk to ganger om enkeltpålogging

SSO er flott fordi det sparer massevis av tid og holder passordene dine på et minimum. OpenID, logge på med legitimasjon på sosiale nettverk Bruker du sosial innlogging? Ta disse trinnene for å sikre kontoene dineHvis du bruker en sosial påloggingstjeneste (for eksempel Google eller Facebook), kan du tro at alt er sikkert. Ikke slik - det er på tide å se på svakhetene ved sosiale pålogginger. Les mer , og andre lignende metoder er ganske populære. (For å være helt ærlig bruker jeg disse selv.)

enkelt pålogging google

Det sikrere alternativet er å bare åpne en konto med e-postadressen din for hvert nettsted. Hvis du bruker en passordbehandling, er dette enkelt. Ikke så enkelt som OAuth eller lignende pålogging med ett klikk, men det er definitivt sikrere Hvordan millioner av apper er sårbare for en enkelt sikkerhetshackOAuth er en åpen standard som brukes for å tillate deg å logge inn på en tredjeparts app eller nettsted ved å bruke en Facebook-, Twitter- eller Google-konto - og den er sårbar for hackere. Les mer .

For å være rettferdig, oppfordrer noen til å bruke enkeltpålogging som en sikkerhetspraksis. Vei alternativene dine.

Bruk tofaktorautentisering på viktige tjenester

Vi har snakket om tofaktorautentisering utallige ganger, men hvis du ikke er kjent med det, Les alt om det Hva er tofaktorautentisering, og hvorfor du bør bruke denTo-faktor autentisering (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise identiteten din på. Det brukes ofte i hverdagen. For eksempel å betale med kredittkort krever ikke bare kortet, ... Les mer og lære hvilke tjenester som kan bruke den Lås ned disse tjenestene nå med tofaktorautentiseringTo-faktor autentisering er den smarte måten å beskytte dine online kontoer. La oss ta en titt på noen av tjenestene du kan låse ned med bedre sikkerhet. Les mer . Slå deretter på den.

Hvilke tjenester skal du bruke tofaktorautentisering for? Kort sagt, så mange du kan. Dine viktigste tjenester, som e-post, bank og skylagring, bør absolutt beskyttes av dem. Alt annet er en bonus. Gjør det nå.

Hold deg skarp

OneLogin-brukere lærte en vanskelig leksjon: ingen tjenester er 100 prosent sikre. Dette var en spesielt tøff måte å lære denne leksjonen på, men på sikt kan det være for det beste. Hvis du er en OneLogin-bruker, bør du bli opptatt med å hente brikkene. Hvis du ikke er det, kan du betrakte deg som heldig og ta skritt for å sikre at det ikke skjer med deg.

Ble du påvirket av OneLogin-hacket? Gjør det at du tenker to ganger på passordbehandlere eller enkeltpåloggingsapper? Del tankene dine i kommentarene nedenfor!

Dann er en innholdsstrategi og markedskonsulent som hjelper bedrifter med å generere etterspørsel og potensielle kunder. Han blogger også om strategi og innholdsmarkedsføring på dannalbright.com.